Machine Translated by Google

Capítulo 1
Introdução
Universidade Andrew Martin de Oxford
Universidade Awais Rashid de Bristol
Universidade Howard Chivers de York
George Danezis University College Londres
Universidade Steve Schneider de Surrey
Emil Lupu Imperial College Londres

1
Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org

A segurança cibernética está se tornando um elemento importante nos currículos em todos os níveis
de ensino. No entanto, o conhecimento fundamental sobre o qual o campo da segurança cibernética
está sendo desenvolvido é fragmentado e, como resultado, pode ser difícil para alunos e educadores
mapear caminhos coerentes de progressão no assunto. Em comparação, disciplinas científicas maduras
como matemática, física, química e biologia estabeleceram conhecimentos fundamentais e caminhos
de aprendizado claros. Dentro da engenharia de software, o IEEE Software Engineering Body of
Knowledge [3] codifica o conhecimento fundamental fundamental sobre o qual uma série de programas
educacionais podem ser construídos. Há uma série de esforços anteriores e atuais para estabelecer
estruturas de habilidades, áreas de tópicos-chave e diretrizes curriculares para segurança cibernética.
No entanto, não foi alcançado um consenso sobre o que a comunidade diversificada de pesquisadores,
educadores e profissionais vê como conhecimento fundamental estabelecido em segurança cibernética.

O Cyber Security Body of Knowledge (CyBOK) visa codificar o conhecimento fundamental e

geralmente reconhecido sobre segurança cibernética. Da mesma forma que o SWEBOK, o CyBOK
pretende ser um guia para o corpo de conhecimento; o conhecimento que ele codifica já existe na
literatura , como livros didáticos, artigos de pesquisa acadêmica, relatórios técnicos, white papers e normas.
Nosso foco é, portanto, mapear o conhecimento estabelecido e não replicar integralmente tudo o que
já foi escrito sobre o assunto. Programas educacionais que vão desde o ensino secundário e de
graduação até programas de pós-graduação e desenvolvimento profissional contínuo podem ser
desenvolvidos com base no CyBOK.

Esta introdução pretende colocar as 21 Áreas de Conhecimento (KAs) do CyBOK em uma estrutura
geral coerente . Cada KA assume um acordo básico sobre o vocabulário geral, objetivos e abordagens
de segurança cibernética, e aqui fornecemos o material comum que sustenta todo o corpo de
conhecimento. Começamos com uma visão geral da segurança cibernética como tema e algumas
definições básicas, antes de introduzir as áreas de conhecimento. Os KAs e seus agrupamentos em
categorias não são, obviamente, ortogonais e há uma série de dependências entre os KAs que são
cruzadas e também capturadas visualmente separadamente no site CyBOK ( https://www.cybok.org) .
Em seguida, discutimos como o conhecimento nas KAs pode ser implantado para entender os meios
e objetivos da segurança cibernética, mitigar falhas e incidentes e gerenciar riscos.

Embora tenhamos necessariamente dividido o CyBOK em várias Áreas de Conhecimento (KAs)

discretas, é claro que existem muitas inter-relações entre elas. Aqueles com responsabilidade
profissional por uma área geralmente devem ter pelo menos uma compreensão moderada dos tópicos
adjacentes; alguém responsável por arquitetar um sistema seguro deve entender muitos. Há uma
série de princípios unificadores e temas transversais que sustentam o desenvolvimento de sistemas
que satisfaçam propriedades de segurança específicas. Concluímos a introdução discutindo alguns
deles.

1.1 DEFINIÇÃO DE SEGURANÇA CIBERNÉTICA

As Áreas de Conhecimento CyBOK assumem um vocabulário comum e uma compreensão básica de

vários tópicos centrais para o campo. Embora este Corpo de Conhecimento seja descritivo do
conhecimento existente (em vez de buscar inovar ou restringir), é evidente que o uso de terminologia
amplamente compartilhada em um mapa conceitual estabelecido é crucial para o desenvolvimento da
disciplina como um todo. Como nosso principal objetivo é fornecer um guia para o Corpo de
Conhecimento, forneceremos referências a outras definições, em vez de apresentar as nossas.

A segurança cibernética tornou-se um termo abrangente, como ilustra nossa definição de trabalho:

KA Introdução | julho de 2021 Página 2

Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org

Definição: A segurança cibernética refere-se à proteção dos sistemas de informação (hardware,

software e infraestrutura associada), os dados neles contidos e os serviços que prestam contra acesso
não autorizado, danos ou uso indevido. Isso inclui danos causados intencionalmente pelo operador do
sistema, ou acidentalmente, como resultado do não cumprimento dos procedimentos de segurança.

Estratégia Nacional de Segurança Cibernética do Reino Unido [4]

Esta é uma definição sucinta, mas expressa a amplitude de cobertura dentro do tópico. Muitas outras
definições estão em uso, e um documento da ENISA [5] examina algumas delas.

A consideração dos comportamentos humanos é um elemento crucial de tal definição – mas sem dúvida
ainda falta uma menção ao impacto sobre eles da perda de informações ou segurança reduzida, ou de
como as violações de segurança e privacidade afetam a confiança em sistemas e infraestruturas conectados.
Além disso, a segurança deve ser equilibrada com outros riscos e requisitos – do ponto de vista dos
fatores humanos, é necessário não interromper a tarefa principal.

Um grande contribuinte para a noção de segurança cibernética é a Segurança da Informação, amplamente considerada
como composta por três elementos principais:

Definição: Segurança da informação. Preservação da confidencialidade, integridade e disponibilidade

das informações.

Além disso, outras propriedades, como autenticidade, responsabilidade, não repúdio e confiabilidade
também podem estar envolvidas.
Definição ISO 27000 [6]

Para definições dos termos subsidiários, o leitor deve consultar as definições da ISO 27000 [6].
Durante o desenvolvimento da era digital, outras 'seguranças' tiveram destaque, incluindo Segurança de
Computadores e Segurança de Redes; noções relacionadas incluem Garantia de Informações e Segurança
de Sistemas — talvez dentro do contexto de Engenharia de Sistemas ou Engenharia de Segurança. Esses
termos são facilmente confundidos, e parece que muitas vezes um termo é usado quando se quer dizer outro.

Muitos desses termos foram alvo de críticas de que confiam demais em controles técnicos e se concentram
quase exclusivamente em informações. Estendê-los para se relacionarem com sistemas físicos cibernéticos
pode estar levando-os longe demais: de fato, nossa definição de trabalho acima privilegia a noção de
informação (enquanto também menciona serviços) – enquanto no caso de atuadores conectados à rede, o
desafio premente é evitar danos físicos indesejados. ações.

Além disso, em alguns relatos sobre o tema, o ciberespaço é melhor entendido como um "lugar" no qual os
negócios são conduzidos, as comunicações humanas ocorrem, a arte é feita e apreciada, os relacionamentos
são formados e desenvolvidos e assim por diante. Nesse local, podem ocorrer crimes cibernéticos, terrorismo
cibernético e guerra cibernética, com impactos tanto 'reais' quanto 'virtuais'. Tomado como um todo, o CyBOK
delineia uma grande variedade de tópicos que parecem estar dentro do amplo escopo da segurança
cibernética, mesmo que uma redução sucinta deles em uma definição curta permaneça elusiva. O escopo
completo do CyBOK pode servir como uma definição estendida do tópico – conforme resumido a seguir.

KA Introdução | julho de 2021 Página 3

Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org

Figura 1.1: As 21 Áreas de Conhecimento (KAs) no escopo CyBOK

1.2 ÁREAS DE CONHECIMENTO CYBOK

O CyBOK é dividido em 21 Áreas de Conhecimento (KAs) de nível superior, agrupadas em cinco categorias
amplas , conforme mostrado na Figura 1.1. Claramente, outras possíveis categorizações desses KAs
podem ser igualmente válidas e, em última análise, parte da estrutura é relativamente arbitrária. O Prefácio
CyBOK descreve o processo pelo qual esses KAs foram identificados e escolhidos.

Nossas categorias não são totalmente ortogonais. Eles visam capturar o conhecimento
relacionado à segurança cibernética em si: para dar sentido a parte desse conhecimento, é
necessário conhecimento auxiliar e de fundo – seja no design de hardware e software, ou
em diversos outros campos, como direito.

KA Introdução | julho de 2021 Página 4

Machine Translated by Google

Aspectos Humanos, Organizacionais e Regulatórios Sistemas

Gerenciamento de riscos & de gerenciamento de segurança e controles de segurança organizacional, incluindo padrões, melhores práticas e abordagens para avaliação
Governança e mitigação de riscos.

Requisitos estatutários e regulatórios internacionais e nacionais, obrigações de conformidade e ética de segurança, incluindo proteção de
Lei e Regulamento
dados e desenvolvimento de doutrinas sobre guerra cibernética.

Segurança utilizável, fatores sociais e comportamentais que afetam a segurança, cultura de segurança e conscientização, bem como o
Fatores humanos
impacto dos controles de segurança nos comportamentos do usuário.

Técnicas para proteger informações pessoais, incluindo comunicações, aplicativos e inferências de bancos de dados e
processamento de dados. Também inclui outros sistemas de suporte a direitos online relacionados a censura e evasão, sigilo, eleições
Privacidade e direitos on-line
eletrônicas e privacidade em sistemas de pagamento e identidade.

Ataques e defesas Detalhes

Malware e ataque técnicos de explorações e sistemas maliciosos distribuídos, juntamente com abordagens associadas de descoberta e análise.
Tecnologias

As motivações, comportamentos e métodos usados pelos invasores, incluindo cadeias de suprimentos de malware, vetores de ataque
Comportamentos Adversários
e transferências de dinheiro.

Operações de segurança e A configuração, operação e manutenção de sistemas seguros, incluindo a detecção e resposta a incidentes de segurança e a
Gerenciamento de Incidentes coleta e uso de inteligência de ameaças.

forense A coleta, análise e relatório de evidências digitais em apoio a incidentes ou eventos criminais.

Segurança de Sistemas
Primitivos centrais da criptografia como algoritmos atualmente praticados e emergentes, técnicas para análise destes e os protocolos que
Criptografia
os utilizam.

Mecanismos de proteção de sistemas operacionais, implementando abstração segura de hardware e compartilhamento de recursos,
Sistemas operacionais &
incluindo isolamento em sistemas multiusuários, virtualização segura e segurança em sistemas de banco de dados.
Segurança de virtualização

Mecanismos de segurança relacionados a sistemas distribuídos coordenados de maior escala, incluindo aspectos de consenso
Sistemas distribuídos
seguro, tempo, sistemas de eventos, sistemas ponto a ponto, nuvens, data centers multilocatários e livros contábeis distribuídos.
Segurança

Métodos formais para Especificação formal, modelagem e raciocínio sobre a segurança de sistemas, softwares e protocolos, abrangendo as abordagens
Segurança fundamentais, técnicas e ferramentas de suporte.

Autenticação,
Todos os aspectos de gerenciamento de identidade e tecnologias de autenticação e arquiteturas e ferramentas para dar suporte à
Autorização e
autorização e responsabilidade em sistemas isolados e distribuídos.
Responsabilidade

Segurança de software e plataforma

Categorias conhecidas de erros de programação que resultam em bugs de segurança e técnicas para evitar esses erros - tanto por
Segurança de software meio da prática de codificação quanto de design de linguagem aprimorado - e ferramentas, técnicas e métodos para detecção de tais
erros em sistemas existentes.

Questões relacionadas a aplicativos e serviços web distribuídos entre dispositivos e frameworks, incluindo os diversos paradigmas de
Segurança na Web e em dispositivos móveis
programação e modelos de proteção.

A aplicação de técnicas de engenharia de software de segurança em todo o ciclo de vida de desenvolvimento de sistemas
Ciclo de vida de software seguro
resultando em software que é seguro por padrão.

Segurança de infraestrutura
A aplicação de algoritmos, esquemas e protocolos criptográficos, incluindo questões relacionadas à implementação,
Criptografia Aplicada
gerenciamento de chaves e seu uso em protocolos e sistemas.

Aspectos de segurança de protocolos de rede e telecomunicações, incluindo a segurança de roteamento, elementos de segurança
Segurança de rede
de rede e protocolos criptográficos específicos usados para segurança de rede.

Segurança no projeto, implementação e implantação de hardware especializado e de uso geral, incluindo tecnologias de computação
Segurança de hardware
confiáveis e fontes de aleatoriedade.

Sistemas Ciber-Físicos Desafios de segurança em sistemas ciberfísicos, como a Internet das Coisas e sistemas de controle industrial, modelos de
Segurança invasores, designs seguros e segurança de infraestruturas de grande escala.

Camada física &

Preocupações de segurança e limitações da camada física, incluindo aspectos de codificações de radiofrequência e técnicas de
Telecomunicações
transmissão, radiação não intencional e interferência.
Segurança

Figura 1.2: Breves descrições das Áreas de Conhecimento CyBOK

Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org

1.3 IMPLANTAÇÃO DO CONHECIMENTO CYBOK PARA ABORDAR QUESTÕES

DE SEGURANÇA

1.3.1 Meios e objetivos de segurança cibernética

Implícito nas definições acima está que a segurança cibernética envolve proteção contra um adversário
ou, possivelmente, contra algum outro processo físico ou aleatório. Este último implica alguma sobreposição
entre as noções de segurança e proteção, embora seja possível ter uma sem a outra. Dentro do domínio
da segurança, se nossa modelagem levar em conta a malícia, ela necessariamente abrangerá acidentes
e processos aleatórios. Portanto, o núcleo de qualquer consideração de segurança é a modelagem desses
adversários: seus motivos de ataque, as ameaças que representam e os recursos que podem utilizar.

Ao considerar essas ameaças, a segurança cibernética geralmente é expressa em termos de instituir uma
série de controles que afetam pessoas, processos e tecnologia. Algumas delas se concentrarão na
prevenção de maus resultados, enquanto outras são mais bem abordadas por meio da detecção e reação.
A seleção desses controles geralmente é abordada por meio de um processo de Gerenciamento de
Riscos (veja abaixo e a Área de Conhecimento de Gerenciamento de Riscos e Governança (Capítulo
2)) - embora seja dada ênfase crescente aos Fatores Humanos (consulte a Área de Conhecimento
de Fatores Humanos (Capítulo 4) ) . _ _

Da mesma forma, a segurança requer uma análise das vulnerabilidades dentro do sistema em
consideração: um sistema (hipotético) sem vulnerabilidades seria impermeável a todas as ameaças; um
sistema altamente vulnerável colocado em circunstâncias totalmente benignas (sem ameaças) também
não teria incidentes de segurança.

O uso pretendido de controles de segurança levanta suas próprias questões sobre se eles são implantados
adequadamente e se são eficazes: eles pertencem ao domínio da garantia de segurança, que possui
processos e controles próprios. Isso envolverá análise de risco residual (veja abaixo e a Área de
Conhecimento de Gerenciamento e Governança de Riscos (Capítulo 2)) , que inclui uma tentativa de
medir e quantificar a presença de vulnerabilidades.

1.3.2 Falhas e Incidentes

Quando os adversários atingem seu objetivo (total ou parcialmente) – quando os ataques são bem-
sucedidos – pode-se dizer que a coleção de controles de segurança falhou. Alternativamente, podemos
dizer que havia controles insuficientes ou ineficazes. Operacionalmente falando, uma ou mais falhas
podem dar origem a um incidente de segurança. Normalmente, esses incidentes podem ser descritos
em termos do dano que causam: de acordo com nossa definição de segurança cibernética, normalmente
equivalem a danos por roubo ou danos de informações, dispositivos, serviços ou redes. O domínio
físico cibernético (consulte a Área de Conhecimento de Segurança de Sistemas Ciber-Físicos (Capítulo
21)) dá origem a muitos danos potenciais adicionais – danos aos seres humanos podem vir de qualquer
informação ou de ação física não intencional, ou de ambos.

Uma subdisciplina significativa de segurança operacional considera a detecção de falhas de segurança

e as reações a elas (correção sempre que possível). A Área de Conhecimento de Operações de
Segurança e Gerenciamento de Incidentes (Capítulo 8) aborda o contexto; a Área de Conhecimento
de Tecnologias de Ataque e Malware (Capítulo 6) trata da análise de vetores de ataque enquanto o

KA Introdução | julho de 2021 Página 6

Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org

A Área de Conhecimento Forense (Capítulo 9) considera os detalhes técnicos e processos para análise pós-
ataque de forma robusta e confiável.

Um tema recorrente na análise de segurança é que não é suficiente definir bons controles de segurança apenas
dentro de uma determinada abstração ou quadro de referência: é necessário considerar também o que pode acontecer
se um adversário optar por ignorar essa abstração ou quadro.

Isso surge, por exemplo, em canais laterais de comunicação, onde um adversário pode inferir muito
da captura de emissões de radiofrequência de um cabo, digamos, sem precisar tocar fisicamente
nesse cabo. Efeitos de espionagem semelhantes foram observados contra a criptografia implementada
em smartcards: a simples análise do consumo de energia do processador à medida que ele endereça
cada bit pode ser suficiente para divulgar a chave criptográfica (consulte a Área de Conhecimento de
Segurança de Hardware (Capítulo 20) e o Software Área de Conhecimento de Segurança (Capítulo
15)). O uso e manuseio apropriados de chaves criptográficas são considerados na Área de
Conhecimento de Criptografia Aplicada (Capítulo 18), com a teoria subjacente considerada na Área
de Conhecimento de Criptografia (Capítulo 10).
Esses problemas ocorrem em todos os níveis do projeto do sistema. Em software, surge o ataque de injeção de SQL
(consulte Áreas de conhecimento de segurança de software e segurança na Web e em dispositivos móveis) porque
uma sequência de caracteres destinada a ser interpretada como uma entrada de banco de dados é forçada a se tornar
um comando de banco de dados. Arquivos que contêm segredos escritos por um aplicativo podem desistir desses
segredos quando lidos por outro, ou por um depurador ou programa de despejo de uso geral.

As teorias matemáticas de refinamento (e contratos de desenvolvimento de software) exploram a relação de uma

expressão 'abstrata' de um algoritmo e uma versão mais 'concreta' que é implementada: mas as propriedades de
segurança comprovadas de uma podem não ser verdadeiras da outra (por exemplo, Por exemplo, reduzir a incerteza
pode aumentar o conteúdo da informação e levar ao vazamento de informações como uma chave criptográfica), por
isso deve-se ter muito cuidado na construção das teorias. O 'teste de caixa preta' baseia-se na mesma noção e, uma
vez que não é possível testar todas as entradas, pode facilmente perder a combinação específica de circunstâncias
que - por acidente ou design - destroem a segurança do programa. Teorias e modelos matemáticos cuidadosamente
construídos para fins de segurança evitam essas armadilhas e permitem um raciocínio preciso sobre as propriedades
de segurança. Alguns deles são discutidos na Área de Conhecimento de Métodos Formais para Segurança (Capítulo
13).

A segurança operacional de um sistema pode ser baseada nos operadores que seguem um procedimento específico
ou evitam circunstâncias perigosas específicas: há uma suposição de que se as pessoas são instruídas em um
contexto profissional a (não) fazer algo, elas (não) o farão. Isso é comprovadamente falso (veja a Área de
Conhecimento de Fatores Humanos (Capítulo 4)).

Esses – e uma infinidade de outros – problemas de segurança surgem porque é necessário pensar (e
projetar sistemas) usando abstrações. Não só nenhum indivíduo pode compreender todos os detalhes da
operação de um sistema de computação em rede (da física do dispositivo para cima), mesmo que tenha o
conhecimento necessário, deve trabalhar em abstrações para progredir e evitar ser sobrecarregado com
detalhes. Mas, para a maioria dos controles de segurança, a abstração não é mais do que uma ferramenta
de pensamento: e assim o adversário pode ignorá-la completamente.

Como as abstrações geralmente são construídas em camadas (e os sistemas de computação geralmente

são explicitamente projetados dessa maneira), isso às vezes é conhecido como o problema da 'camada
abaixo' [7] porque o adversário geralmente ataca a camada abaixo daquela na qual a abstração que define
o controle fica (veja, por exemplo, as ameaças e ataques discutidos no Operating Systems
Área de Conhecimento e Virtualização (Capítulo 11) e a Área de Conhecimento de Segurança de Hardware

KA Introdução | julho de 2021 Página 7

Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org

(Capítulo 20)).

1.3.3 Risco
Não há limite, em princípio, para a quantidade de esforço ou dinheiro que pode ser gasto em controles
de segurança. Para equilibrá-los com os recursos disponíveis e os danos e oportunidades que podem
surgir de ameaças emergentes à segurança, uma abordagem abrangente comum à análise de
segurança é um processo de avaliação de risco – e seleção de controles, um processo de
gerenciamento de risco. Estes são explorados em profundidade na Área de Conhecimento de Gestão
de Riscos e Governança (Capítulo 2).
Como em qualquer processo de gestão de risco, um cálculo chave refere-se ao impacto esperado, sendo
calculado a partir de alguma estimativa de probabilidade de eventos que possam gerar impacto, e uma
estimativa do impacto decorrente desses eventos. A probabilidade tem dois elementos: a presença de
vulnerabilidades (conhecidas ou desconhecidas – as últimas nem sempre passíveis de mitigação) e a
natureza da ameaça. A resposta da administração à avaliação de risco pode assumir muitas formas, incluindo
controles adicionais para reduzir o impacto ou a probabilidade de uma ameaça, aceitar o risco ou transferi-lo/
compartilhar com terceiros (por exemplo, seguro) ou, em alguns casos, decidir não prosseguir porque todos
esses resultados são inaceitáveis.

O gerenciamento de segurança engloba todas as ações de gerenciamento e segurança necessárias

para manter a segurança de um sistema durante sua vida útil. Importantes neste contexto, mas fora do
escopo do CyBOK, são as práticas de gestão da qualidade. Tais práticas são estabelecidas há muito
tempo na indústria, exigindo essencialmente que todo o trabalho siga processos documentados e que
os processos forneçam métricas que, por sua vez, são revisadas e usadas para corrigir processos que
não são adequados à finalidade ('não conformidades').

A analogia entre gerenciamento de qualidade e segurança não é perfeita porque o ambiente de ameaças
não é estático; no entanto, a tendência é que os padrões de gerenciamento de segurança, como o ISO/IEC
27001, incorporem processos padrão de gerenciamento de qualidade que são especializados em segurança.
A especialização principal é o uso periódico do gerenciamento de riscos (consulte a Área de Conhecimento
de Gerenciamento e Governança de Riscos (Capítulo 2)), que também deve levar em conta o ambiente de
ameaças em constante mudança. É necessário complementar a gestão periódica de riscos com medidas
contínuas da eficácia dos processos de segurança. Por exemplo, a correção e a manutenção do sistema
podem ser continuamente revisadas por meio de varredura de vulnerabilidades, logs relacionados a
tentativas de acesso com falha, bloqueios de usuários ou redefinições de senha podem fornecer indicadores
da usabilidade dos recursos de segurança.

As funções dentro de um sistema de gerenciamento de segurança podem ser agrupadas em Física,

Pessoal, Sistemas de Informação e Gerenciamento de Incidentes e são uma mistura de funções padrão
de gerenciamento de sistemas de TI e aquelas específicas da segurança cibernética.

A segurança física inclui a proteção física do sistema, incluindo controle de acesso, gerenciamento de
ativos e manuseio e proteção da mídia de armazenamento de dados. Esses aspectos estão fora do
escopo do CyBOK.

A segurança de pessoal está preocupada com uma ampla gama de usabilidade de segurança e modelagem
de comportamento, incluindo educação e treinamento (consulte a Área de Conhecimento de Fatores
Humanos (Capítulo 4)). Também inclui elementos formais de gestão de recursos humanos, como seleção e
verificação de pessoal, termos e condições de uso aceitável para sistemas de TI (consulte a Área de
Conhecimento de Lei e Regulamentação (Capítulo 3)) e sanções disciplinares por violações de segurança.

KA Introdução | julho de 2021 Página 8

Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org

O gerenciamento do sistema de informações inclui o gerenciamento de acesso (consulte a Área de

Conhecimento sobre Autenticação, Autorização e Responsabilidade (Capítulo 14)) e o registro do sistema
(consulte a Área de Conhecimento sobre Operações de Segurança e Gerenciamento de Incidentes (Capítulo
8)). A função de auditoria é dividida em monitoramento de segurança (consulte a Área de Conhecimento de
Operações de Segurança e Gerenciamento de Incidentes (Capítulo 8)) e outras funções de TI, como revisão
volumétrica para provisionamento do sistema. O gerenciamento do sistema de informações também envolve
funções padrão de TI , como backup e recuperação, e o gerenciamento de relacionamentos com fornecedores.

As funções de gerenciamento de incidentes (consulte a Área de Conhecimento de Operações de Segurança e

Gerenciamento de Incidentes (Capítulo 8)) são específicas para segurança cibernética e incluem monitoramento de
segurança, detecção e resposta a incidentes.

1.4 PRINCÍPIOS

O pensamento sólido e as boas práticas em segurança foram codificados por vários autores. Os
princípios que eles descrevem tocam muitos KAs diferentes e, juntos, ajudam a desenvolver uma
abordagem holística para o projeto, desenvolvimento e implantação de sistemas seguros.

1.4.1 Princípios de Saltzer e Schroeder

Os primeiros princípios de projeto coletados para controles de segurança de engenharia foram enumerados
por Saltzer e Schroeder em 1975 [8]. Estes foram propostos no contexto da engenharia de sistemas
operacionais multiusuários seguros que suportam propriedades de confidencialidade para uso em
organizações governamentais e militares. Essa motivação os influencia de algumas maneiras, no entanto,
eles também resistiram ao teste do tempo ao serem aplicáveis ao projeto de controles de segurança de
maneira muito mais ampla.

Os oito princípios que eles enumeram são os seguintes:

• Economia de mecanismo. O projeto dos controles de segurança deve permanecer o mais simples
possível, para garantir alta garantia. Projetos mais simples são mais fáceis de raciocinar formal ou
informalmente, para argumentar a correção. Além disso, projetos mais simples têm implementações
mais simples que são mais fáceis de auditar ou verificar manualmente para alta garantia. Esse princípio
está subjacente à noção de Trusted Computing Base (TCB) — ou seja, a coleção de todos os
componentes de software e hardware dos quais um mecanismo ou política de segurança depende.
Isso implica que o TCB de um sistema deve permanecer pequeno para garantir que ele mantenha as
propriedades de segurança esperadas.

• Padrões à prova de falhas. Os controles de segurança precisam definir e habilitar operações que
possam ser identificadas positivamente como estando de acordo com uma política de segurança e
rejeitar todas as outras. Em particular, Saltzer e Schroeder alertam contra mecanismos que
determinam o acesso ao tentar identificar e rejeitar comportamentos maliciosos. O comportamento
malicioso, uma vez que está sob o controlo do adversário e, portanto, irá adaptar-se, é difícil de
enumerar e identificar exaustivamente. Como resultado, basear os controles na exclusão da violação
detectada, em vez da inclusão de um bom comportamento conhecido, é propenso a erros. É notável
que alguns controles de segurança modernos violam esse princípio, incluindo software antivírus
baseado em assinatura e detecção de intrusão.

• Mediação completa. Todas as operações em todos os objetos em um sistema devem ser verificadas
para garantir que estejam de acordo com a política de segurança. Essas verificações normalmente

KA Introdução | julho de 2021 Página 9

Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org

envolvem garantir que o sujeito que iniciou a operação está autorizado a realizá-la, presumindo
um mecanismo robusto de autenticação. No entanto, os controles de segurança modernos
podem não basear as verificações na identidade de tal sujeito, mas em outras considerações,
como manter uma 'capacidade'.

• Design aberto. A segurança do controle não deve depender do sigilo de seu funcionamento, mas apenas de
segredos ou senhas bem especificados. Esse princípio sustenta a segurança cibernética como um campo
de estudo aberto: permite que acadêmicos, engenheiros, auditores e reguladores examinem como os
controles de segurança operam para garantir sua correção ou identificar falhas, sem prejudicar sua
segurança. A abordagem oposta, geralmente chamada de 'segurança por obscuridade', é frágil, pois
restringe quem pode auditar um controle de segurança e é ineficaz contra ameaças internas ou controles
que podem sofrer engenharia reversa.

• Separação de privilégios. Os controles de segurança que dependem de vários assuntos para autorizar uma
operação fornecem maior garantia do que aqueles que dependem de um único assunto. Este princípio está
incorporado em sistemas bancários tradicionais e é levado adiante para controles de segurança cibernética.
No entanto, embora geralmente o aumento do número de autoridades envolvidas na autorização de uma
operação aumente a garantia em relação às propriedades de integridade, geralmente também diminui a
garantia em torno das propriedades de disponibilidade. O princípio também tem limites, relacionados à
diluição excessiva da responsabilidade levando a uma 'tragédia dos bens comuns de segurança' em que
nenhuma autoridade tem incentivos para investir em segurança assumindo que as outras o farão.

• Privilégio mínimo. Os sujeitos e as operações que eles realizam em um sistema devem ser executados
usando o menor número possível de privilégios. Por exemplo, se uma operação precisar apenas ler algumas
informações, ela também não deve receber privilégios para gravar ou excluir essas informações. Conceder
o conjunto mínimo de privilégios garante que, se o assunto estiver corrompido ou o software estiver
incorreto, o dano que eles podem causar às propriedades de segurança do sistema é diminuído. Definir
arquiteturas de segurança depende muito desse princípio e consiste em separar grandes sistemas em
componentes, cada um com o mínimo de privilégios possível – para garantir que comprometimentos parciais
não possam afetar ou ter um efeito mínimo nas propriedades gerais de segurança de um sistema inteiro.

• Mecanismo menos comum. É preferível minimizar o compartilhamento de recursos e mecanismos do

sistema entre diferentes partes. Este princípio é fortemente influenciado pelo contexto de engenharia de
sistemas multiusuários seguros. Em tais sistemas, mecanismos comuns (como memória compartilhada,
disco, CPU, etc.) são vetores para possíveis vazamentos de informações confidenciais de um usuário
para outro, bem como para possíveis interferências de um usuário nas operações de outro. Sua
realização extrema vê sistemas que não devem interferir uns com os outros sendo 'air-gapped'. No
entanto, o princípio tem limites quando se trata de usar infraestruturas compartilhadas (como a Internet)
ou recursos de computação compartilhados (como sistemas operacionais multiusuário, que naturalmente
compartilham CPUs e outros recursos).

• Aceitabilidade psicológica. O controle de segurança deve ser naturalmente utilizável para que os usuários
'rotineira e automaticamente' apliquem a proteção. Saltzer e Schroeder, afirmam especificamente que "na
medida em que a imagem mental do usuário de seus objetivos de proteção corresponde aos mecanismos
que ele deve usar, os erros serão minimizados". Este princípio é a base da Área de Conhecimento de
Fatores Humanos (Capítulo 4).

Saltzer e Schroeder também fornecem dois outros princípios, mas alertam que eles são apenas imperfeitamente
aplicáveis aos controles de segurança cibernética:

• Fator de trabalho. Bons controles de segurança exigem mais recursos para contornar do que aqueles
disponíveis para o adversário. Em alguns casos, como o custo de força bruta de uma chave, o

KA Introdução | julho de 2021 Página 10

Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org

o fator de trabalho pode ser calculado e os projetistas podem ter certeza de que os adversários não
podem ser suficientemente dotados para experimentar todos eles. Para outros controles, no entanto,
esse fator de trabalho é mais difícil de calcular com precisão. Por exemplo, é difícil estimar o custo de
um insider corrupto ou o custo de encontrar um bug no software.

• Gravação de compromisso. Às vezes, é sugerido que registros ou logs confiáveis, que permitem a
detecção de um comprometimento, possam ser usados em vez de controles que impedem um comprometimento.
A maioria dos sistemas registra eventos de segurança e as operações de segurança dependem muito
desses logs confiáveis para detectar intrusões. Os méritos relativos – e custos – das duas abordagens são
altamente dependentes do contexto.

Esses princípios, por sua vez, baseiam-se em precedentes muito mais antigos, como os princípios de Kerckhoff
relativos a sistemas criptográficos [9]. Kerchoff destaca que os sistemas criptográficos devem ser praticamente
seguros, sem exigir o sigilo de como operam (design aberto). Ele também destaca que as chaves devem ser
curtas e memoráveis, o equipamento deve ser fácil de usar e aplicável às telecomunicações – tudo relacionado
à aceitabilidade psicológica dos projetos.

1.4.2 Princípios NIST

Princípios mais contemporâneos no projeto de sistemas são enumerados pelo NIST[10, Apêndice F]. Eles
incorporam e estendem os princípios de Saltzer e Schroeder. Eles são categorizados em três grandes famílias
relacionadas a: 'Arquitetura e Design de Segurança' (ou seja, organização, estrutura e interfaces); 'Capacidade de
Segurança e Comportamentos Intrínsecos' (ou seja, sobre o que são as proteções ); e 'Segurança do Ciclo de
Vida' (ou seja, aqueles relacionados ao processo e gestão). Como tal, esses princípios referem-se especificamente
à arquitetura de segurança, controles específicos, bem como gerenciamento de processos de engenharia.

Vários dos princípios do NIST são mapeados diretamente para os de Saltzer e Schroeder, como o mecanismo
menos comum, acesso mediado com eficiência, compartilhamento minimizado, elementos de segurança
minimizados, complexidade reduzida, privilégio mínimo, padrões seguros e permissão de predicado e segurança
aceitável.

Notavelmente, os novos princípios lidam com o aumento da complexidade dos sistemas de computação
modernos e enfatizam o design modular limpo, ou seja, com Abstração Clara, Modularidade e Camadas,
Dependências Parcialmente Ordenadas, Evolução Segura. Outros princípios reconhecem que nem todos os
componentes em um sistema seguro podem operar no mesmo nível de garantia e exigem que eles se beneficiem
de uma estrutura de Confiança Hierárquica, na qual a falha de segurança de alguns componentes não coloque
em risco todas as propriedades do sistema. O princípio do Inverse Modification Threshold afirma que os
componentes mais críticos para a segurança também devem ser os mais protegidos contra modificações ou
adulterações não autorizadas. A proteção hierárquica afirma que os componentes de segurança menos críticos
não precisam ser protegidos dos mais críticos.

A estrutura do NIST também reconhece que os sistemas modernos estão interconectados e fornece
princípios de como protegê-los. Eles devem ser conectados em rede usando Canais de Comunicação
Confiáveis . Eles devem desfrutar de Composição Distribuída Segura, o que significa que se dois
sistemas que impõem a mesma política são compostos, sua composição também deve, pelo menos,
aplicar a mesma política. Finalmente, o princípio da Confiabilidade Autossuficiente afirma que um
sistema seguro deve permanecer seguro mesmo se desconectado de outros componentes remotos.

Os princípios do NIST expandem quais tipos de mecanismos de segurança são aceitáveis para
sistemas do mundo real. Em particular os princípios de Segurança Econômica, Segurança de Desempenho,

KA Introdução | julho de 2021 Página 11

Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org

Segurança Fatorada e Segurança Aceitável afirmam que os controles de segurança não devem ser
excessivamente caros, degradar excessivamente o desempenho ou ser inutilizáveis ou inaceitáveis para os usuários.
Este é um reconhecimento de que os controles de segurança suportam as propriedades funcionais dos sistemas
e não são um objetivo em si.

Além dos princípios, o NIST também descreve três estratégias principais de arquitetura de segurança. O
Conceito de Monitor de Referência é um controle abstrato suficiente para impor as propriedades de
segurança de um sistema. Defense in Depth descreve uma arquitetura de segurança composta por vários
controles sobrepostos. O isolamento é uma estratégia pela qual diferentes componentes são separados
física ou logicamente para minimizar a interferência ou o vazamento de informações.

Tanto o NIST quanto Saltzer e Schroeder destacam que os princípios fornecem apenas orientação e
precisam ser aplicados com habilidade a problemas específicos para projetar arquiteturas e controles
seguros. O desvio de um princípio não leva automaticamente a nenhum problema, mas esses desvios
precisam ser identificados para garantir que quaisquer problemas que possam surgir foram mitigados
adequadamente.

1.4.3 Condições de projeto latentes

À medida que mais e mais sistemas ciberfísicos são conectados a outros sistemas e à Internet, a
complexidade inerente que emerge dessa conectividade em larga escala e a natureza crítica de segurança
de alguns dos sistemas ciberfísicos significa que outros princípios também se tornam altamente relevantes.
Um desses princípios é o das condições latentes de projeto de pesquisa no domínio de sistemas críticos
de segurança por James Reason [11]. No contexto da segurança cibernética, as condições de projeto
latentes surgem de decisões anteriores sobre um sistema (ou sistemas). Eles geralmente permanecem
ocultos (ou desconsiderados) e só vêm à tona quando certos eventos ou configurações se alinham – no
caso de vulnerabilidades de segurança de sistemas ciber-físicos sendo expostas à medida que se
conectam a outros sistemas ou à Internet. Reason se refere a isso como o modelo do queijo suíço, onde
diferentes furos nas fatias se alinham. Essas questões são discutidas mais detalhadamente na Área de
Conhecimento de Fatores Humanos (Capítulo 4). O ponto-chave a ser observado é que não podemos
mais considerar apenas a perda de informações como uma consequência potencial de violações de
segurança cibernética, mas também devemos considerar as implicações de segurança. Além disso, a
segurança desde o design nem sempre é uma possibilidade e, à medida que os sistemas legados se
conectam a outros ambientes de rede, deve-se considerar as condições de design latentes (inseguras)
que podem se manifestar e como mitigar seu impacto.

1.4.4 O Princípio da Precaução

À medida que a economia participativa de dados leva a uma gama de produtos e serviços inovadores, também
há preocupações crescentes sobre privacidade e potencial uso indevido de dados, como foi destacado por
casos recentes de interferência em processos democráticos. Como tal, o Princípio da Precaução — refletindo
sobre o potencial efeito nocivo das escolhas de design antes que as inovações tecnológicas sejam implantadas
em larga escala — também se torna relevante. Os designers devem considerar as implicações de segurança e
privacidade de suas escolhas desde a concepção, passando pela modelagem, implementação, manutenção,
evolução e também descomissionamento de sistemas e infraestruturas conectadas em larga escala , nas quais
a sociedade depende cada vez mais. Função fluência à medida que o sistema evolui ao longo de sua vida e
seu impacto na sociedade em geral também deve ser considerado [12].

KA Introdução | julho de 2021 Página 12

Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org

1.5 TEMAS TRANSVERSAIS

Uma série de tópicos e temas se repetem em vários KAs - implícita ou explicitamente - e
fornecem um contexto ou unificação de ideias entre esses KAs que atravessam a estrutura
escolhida para o CyBOK. Em uma decomposição diferente do CyBOK , eles podem ter sido
KAs por direito próprio. Estes são uma parte importante do corpo de conhecimento, e por isso
documentamos aqui o mais substancial deles.

1.5.1 Economia de Segurança

A economia da segurança da informação é uma síntese entre a computação e a ciência social.
Ele combina a teoria microeconômica e, em menor grau, a teoria dos jogos, com a segurança da
informação para obter uma compreensão profunda das compensações e incentivos desalinhados
no projeto e implantação de políticas e mecanismos técnicos de segurança de computadores [13, 14].
Por exemplo, Van Eeten e Bauer estudaram os incentivos de participantes legítimos do mercado —
como provedores de serviços de Internet (ISPs) e fornecedores de software — quando confrontados
com malware1 e como as ações impulsionadas por esses incentivos levam a uma segurança ideal ou
abaixo do ideal para o sistema interligado. A economia do atacante também está ganhando
importância (por exemplo, [15, 16, 17]). A economia do invasor expõe análises de custo-benefício dos
invasores para explorar vulnerabilidades na segurança do alvo da vítima, para posteriormente formular
contramedidas de proteção para entidades cumpridoras da lei [18]. Por último, há a economia da
segurança desviante [19]. Essa subdisciplina da economia do invasor se concentra em entender
como os criminosos cibernéticos aplicam, ou seja, praticam a segurança para defender seus sistemas
e operações contra interrupções da aplicação da lei (por exemplo, mecanismos de resiliência
incorporados em botnets [20] ou técnicas anti-forense [21]).

A economia de segurança é, portanto, de alta relevância nos vários ataques e contramedidas

discutidas nas diferentes KAs do CyBOK. Ele também desempenha um papel fundamental na
compreensão do custo da segurança para usuários legítimos do sistema e para os cibercriminosos
– a força de tal abordagem sociotécnica é o reconhecimento de que a segurança é um problema
humano e o custo versus benefício comercial -offs são fundamentais para aumentar nossa
compreensão das decisões de defensores e atacantes para proteger seus sistemas ou otimizar
ataques respectivamente [13].

1.5.2 Arquitetura de segurança e ciclo de vida

A palavra 'arquitetura' é usada em todos os níveis de detalhe dentro de um sistema; aqui estamos
preocupados com o design de alto nível de um sistema de uma perspectiva de segurança, em particular
como os controles de segurança primários são motivados e posicionados dentro do sistema. Isso, por sua
vez, está vinculado a uma compreensão do ciclo de vida dos sistemas , desde a concepção até o
descomissionamento. Dentro disso, o ciclo de vida do software seguro é crucial (o assunto da Área de
Conhecimento do Ciclo de Vida do Software Seguro).

A decisão fundamental do projeto é como um sistema é compartimentado – como os usuários,

dados e serviços são organizados para garantir que as interações potenciais de maior risco sejam
protegidas pelos mecanismos de segurança mais simples e autocontidos (consulte a Seção 1.4).
Por exemplo, uma rede pode ser dividida em compartimentos front-office/back-office por um
roteador de rede ou firewall que não permite conexões internas da frente para trás. Tal mecanismo é

1http://www.oecd.org/internet/ieconomy/40722462.pdf

KA Introdução | julho de 2021 Página 13

Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org

mais simples e robusto do que aquele que usa controles de acesso para separar as duas funções em uma
rede compartilhada.

O primeiro passo é revisar a proposta de uso do sistema. Os processos de negócios a serem suportados devem
identificar as interações entre os usuários, dados ou serviços no sistema.
Potenciais interações de alto risco entre usuários (consulte a Área de Conhecimento de
Comportamentos Adversários (Capítulo 7) e os dados devem ser identificados com uma avaliação de
risco delineada (consulte a Área de Conhecimento de Gerenciamento e Governança de Riscos
(Capítulo 2)), que também precisará levar em consideração requisitos externos, como conformidade
(consulte a área de conhecimento de leis e regulamentos ( capítulo 3)) e obrigações contratuais. para
um resultado de segurança indesejado, o próprio processo de negócios deve ser revisto.Muitas
vezes , esses casos exigem uma regra de 'duas pessoas', por exemplo, contra-autorização para
pagamentos.
A próxima etapa é agrupar usuários e dados em categorias amplas usando os requisitos de acesso à função,
juntamente com a classificação formal de dados e a liberação do usuário. Essas categorias são compartimentos
de sistema em potencial, por exemplo, usuários da Internet e dados públicos ou engenheiros e dados de projeto.
Os compartimentos devem garantir que as interações de dados do usuário de maior risco ultrapassem os limites
do compartimento e que as interações comuns de dados do usuário não o façam. Esses compartimentos
geralmente são aplicados com controles de particionamento de rede (consulte a Área de conhecimento de
segurança de rede (Capítulo 19)). O design detalhado é então necessário dentro dos compartimentos, com os
primeiros passos sendo o foco em funções concretas do usuário, design de dados e controles de acesso
(consulte a Área de Conhecimento de Autenticação, Autorização e Responsabilidade (Capítulo 14)), com
avaliações de risco mais detalhadas sendo conduzidas conforme o design amadurece.

Os sistemas se beneficiam de uma abordagem uniforme à infraestrutura de segurança, por exemplo, o

gerenciamento de chaves e protocolos de rede (consulte a Área de Conhecimento de Segurança de Rede
(Capítulo 19)), gerenciamento e coordenação de recursos (consulte a Área de Conhecimento de Segurança de
Sistemas Distribuídos (Capítulo 12) ), funções (consulte a Área de Conhecimento de Autenticação, Autorização
e Responsabilidade (Capítulo 14)), acesso do usuário (consulte a Área de Conhecimento de Fatores Humanos
(Capítulo 4)) e detecção de intrusão (consulte a Área de Conhecimento de Operações de Segurança e
Gerenciamento de Incidentes (Capítulo 8 ) )). O CyBOK fornece conhecimento básico importante nessas áreas,
mas nem isso nem a avaliação de risco são suficientes para motivar a implementação detalhada da
infraestrutura; eles precisam ser complementados pelas boas práticas atuais. Em algumas indústrias, as
melhores práticas são obrigatórias (por exemplo, as indústrias de cartões de pagamento). Em outros casos,
pode estar disponível em fontes abertas (por exemplo, OWASP2 ) ou como resultado de benchmarking corporativo.

Ortogonais a essas preocupações estão vários tópicos que se relacionam com o contexto de
desenvolvimento e operação do sistema. Está cada vez mais claro que um código de conduta,
conforme prescrito por muitos órgãos profissionais, oferece uma estrutura valiosa para projetistas
de sistemas e para aqueles que exploram fraquezas e vulnerabilidades nesses sistemas. Iniciativas
em torno de pesquisa e inovação responsáveis estão ganhando terreno. A descoberta de
vulnerabilidades exige uma política de divulgação – e os parâmetros de divulgação responsável têm
suscitado muito debate, juntamente com o papel disso em um processo de ações de segurança.

Essas considerações amplas de arquitetura e ciclo de vida foram capturadas dentro das noções de 'segurança
por design' e 'seguro por padrão'3 . O primeiro termo é frequentemente aplicado a práticas detalhadas em
engenharia de software, como verificação de entrada, para evitar estouros de buffer e similares (consulte a
Área de Conhecimento do Ciclo de Vida do Software Seguro (Capítulo 17)). De forma geral,

2 https://www.owasp.org
3Uma noção relacionada é 'privacidade desde a concepção' (consulte a Área de Conhecimento de Privacidade e Direitos Online (Capítulo 5)).

KA Introdução | julho de 2021 Página 14

Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org

a consideração da segurança ao longo do ciclo de vida, inclusive na configuração padrão 'fora da

caixa' (embora não haja muito software entregue em caixas hoje em dia), comprovadamente leva a
menos insegurança nos sistemas implantados.

RECONHECIMENTOS
Os autores agradecem a Erik van de Sandt a permissão para usar o texto de sua tese de doutorado [19] na
seção sobre Economia da Segurança.

KA Introdução | julho de 2021 Página 15