Escolar Documentos
Profissional Documentos
Cultura Documentos
Capítulo 1
Introdução
Universidade Andrew Martin de Oxford
Universidade Awais Rashid de Bristol
Universidade Howard Chivers de York
George Danezis University College Londres
Universidade Steve Schneider de Surrey
Emil Lupu Imperial College Londres
1
Machine Translated by Google
O Corpo de Conhecimento de Segurança
Cibernética www.cybok.org
A segurança cibernética está se tornando um elemento importante nos currículos em todos os níveis
de ensino. No entanto, o conhecimento fundamental sobre o qual o campo da segurança cibernética
está sendo desenvolvido é fragmentado e, como resultado, pode ser difícil para alunos e educadores
mapear caminhos coerentes de progressão no assunto. Em comparação, disciplinas científicas maduras
como matemática, física, química e biologia estabeleceram conhecimentos fundamentais e caminhos
de aprendizado claros. Dentro da engenharia de software, o IEEE Software Engineering Body of
Knowledge [3] codifica o conhecimento fundamental fundamental sobre o qual uma série de programas
educacionais podem ser construídos. Há uma série de esforços anteriores e atuais para estabelecer
estruturas de habilidades, áreas de tópicos-chave e diretrizes curriculares para segurança cibernética.
No entanto, não foi alcançado um consenso sobre o que a comunidade diversificada de pesquisadores,
educadores e profissionais vê como conhecimento fundamental estabelecido em segurança cibernética.
Esta introdução pretende colocar as 21 Áreas de Conhecimento (KAs) do CyBOK em uma estrutura
geral coerente . Cada KA assume um acordo básico sobre o vocabulário geral, objetivos e abordagens
de segurança cibernética, e aqui fornecemos o material comum que sustenta todo o corpo de
conhecimento. Começamos com uma visão geral da segurança cibernética como tema e algumas
definições básicas, antes de introduzir as áreas de conhecimento. Os KAs e seus agrupamentos em
categorias não são, obviamente, ortogonais e há uma série de dependências entre os KAs que são
cruzadas e também capturadas visualmente separadamente no site CyBOK ( https://www.cybok.org) .
Em seguida, discutimos como o conhecimento nas KAs pode ser implantado para entender os meios
e objetivos da segurança cibernética, mitigar falhas e incidentes e gerenciar riscos.
A segurança cibernética tornou-se um termo abrangente, como ilustra nossa definição de trabalho:
Esta é uma definição sucinta, mas expressa a amplitude de cobertura dentro do tópico. Muitas outras
definições estão em uso, e um documento da ENISA [5] examina algumas delas.
A consideração dos comportamentos humanos é um elemento crucial de tal definição – mas sem dúvida
ainda falta uma menção ao impacto sobre eles da perda de informações ou segurança reduzida, ou de
como as violações de segurança e privacidade afetam a confiança em sistemas e infraestruturas conectados.
Além disso, a segurança deve ser equilibrada com outros riscos e requisitos – do ponto de vista dos
fatores humanos, é necessário não interromper a tarefa principal.
Um grande contribuinte para a noção de segurança cibernética é a Segurança da Informação, amplamente considerada
como composta por três elementos principais:
Além disso, outras propriedades, como autenticidade, responsabilidade, não repúdio e confiabilidade
também podem estar envolvidas.
Definição ISO 27000 [6]
Para definições dos termos subsidiários, o leitor deve consultar as definições da ISO 27000 [6].
Durante o desenvolvimento da era digital, outras 'seguranças' tiveram destaque, incluindo Segurança de
Computadores e Segurança de Redes; noções relacionadas incluem Garantia de Informações e Segurança
de Sistemas — talvez dentro do contexto de Engenharia de Sistemas ou Engenharia de Segurança. Esses
termos são facilmente confundidos, e parece que muitas vezes um termo é usado quando se quer dizer outro.
Muitos desses termos foram alvo de críticas de que confiam demais em controles técnicos e se concentram
quase exclusivamente em informações. Estendê-los para se relacionarem com sistemas físicos cibernéticos
pode estar levando-os longe demais: de fato, nossa definição de trabalho acima privilegia a noção de
informação (enquanto também menciona serviços) – enquanto no caso de atuadores conectados à rede, o
desafio premente é evitar danos físicos indesejados. ações.
Além disso, em alguns relatos sobre o tema, o ciberespaço é melhor entendido como um "lugar" no qual os
negócios são conduzidos, as comunicações humanas ocorrem, a arte é feita e apreciada, os relacionamentos
são formados e desenvolvidos e assim por diante. Nesse local, podem ocorrer crimes cibernéticos, terrorismo
cibernético e guerra cibernética, com impactos tanto 'reais' quanto 'virtuais'. Tomado como um todo, o CyBOK
delineia uma grande variedade de tópicos que parecem estar dentro do amplo escopo da segurança
cibernética, mesmo que uma redução sucinta deles em uma definição curta permaneça elusiva. O escopo
completo do CyBOK pode servir como uma definição estendida do tópico – conforme resumido a seguir.
O CyBOK é dividido em 21 Áreas de Conhecimento (KAs) de nível superior, agrupadas em cinco categorias
amplas , conforme mostrado na Figura 1.1. Claramente, outras possíveis categorizações desses KAs
podem ser igualmente válidas e, em última análise, parte da estrutura é relativamente arbitrária. O Prefácio
CyBOK descreve o processo pelo qual esses KAs foram identificados e escolhidos.
Nossas categorias não são totalmente ortogonais. Eles visam capturar o conhecimento
relacionado à segurança cibernética em si: para dar sentido a parte desse conhecimento, é
necessário conhecimento auxiliar e de fundo – seja no design de hardware e software, ou
em diversos outros campos, como direito.
Requisitos estatutários e regulatórios internacionais e nacionais, obrigações de conformidade e ética de segurança, incluindo proteção de
Lei e Regulamento
dados e desenvolvimento de doutrinas sobre guerra cibernética.
Segurança utilizável, fatores sociais e comportamentais que afetam a segurança, cultura de segurança e conscientização, bem como o
Fatores humanos
impacto dos controles de segurança nos comportamentos do usuário.
Técnicas para proteger informações pessoais, incluindo comunicações, aplicativos e inferências de bancos de dados e
processamento de dados. Também inclui outros sistemas de suporte a direitos online relacionados a censura e evasão, sigilo, eleições
Privacidade e direitos on-line
eletrônicas e privacidade em sistemas de pagamento e identidade.
As motivações, comportamentos e métodos usados pelos invasores, incluindo cadeias de suprimentos de malware, vetores de ataque
Comportamentos Adversários
e transferências de dinheiro.
Operações de segurança e A configuração, operação e manutenção de sistemas seguros, incluindo a detecção e resposta a incidentes de segurança e a
Gerenciamento de Incidentes coleta e uso de inteligência de ameaças.
forense A coleta, análise e relatório de evidências digitais em apoio a incidentes ou eventos criminais.
Segurança de Sistemas
Primitivos centrais da criptografia como algoritmos atualmente praticados e emergentes, técnicas para análise destes e os protocolos que
Criptografia
os utilizam.
Mecanismos de proteção de sistemas operacionais, implementando abstração segura de hardware e compartilhamento de recursos,
Sistemas operacionais &
incluindo isolamento em sistemas multiusuários, virtualização segura e segurança em sistemas de banco de dados.
Segurança de virtualização
Mecanismos de segurança relacionados a sistemas distribuídos coordenados de maior escala, incluindo aspectos de consenso
Sistemas distribuídos
seguro, tempo, sistemas de eventos, sistemas ponto a ponto, nuvens, data centers multilocatários e livros contábeis distribuídos.
Segurança
Métodos formais para Especificação formal, modelagem e raciocínio sobre a segurança de sistemas, softwares e protocolos, abrangendo as abordagens
Segurança fundamentais, técnicas e ferramentas de suporte.
Autenticação,
Todos os aspectos de gerenciamento de identidade e tecnologias de autenticação e arquiteturas e ferramentas para dar suporte à
Autorização e
autorização e responsabilidade em sistemas isolados e distribuídos.
Responsabilidade
Questões relacionadas a aplicativos e serviços web distribuídos entre dispositivos e frameworks, incluindo os diversos paradigmas de
Segurança na Web e em dispositivos móveis
programação e modelos de proteção.
A aplicação de técnicas de engenharia de software de segurança em todo o ciclo de vida de desenvolvimento de sistemas
Ciclo de vida de software seguro
resultando em software que é seguro por padrão.
Segurança de infraestrutura
A aplicação de algoritmos, esquemas e protocolos criptográficos, incluindo questões relacionadas à implementação,
Criptografia Aplicada
gerenciamento de chaves e seu uso em protocolos e sistemas.
Aspectos de segurança de protocolos de rede e telecomunicações, incluindo a segurança de roteamento, elementos de segurança
Segurança de rede
de rede e protocolos criptográficos específicos usados para segurança de rede.
Segurança no projeto, implementação e implantação de hardware especializado e de uso geral, incluindo tecnologias de computação
Segurança de hardware
confiáveis e fontes de aleatoriedade.
Sistemas Ciber-Físicos Desafios de segurança em sistemas ciberfísicos, como a Internet das Coisas e sistemas de controle industrial, modelos de
Segurança invasores, designs seguros e segurança de infraestruturas de grande escala.
Ao considerar essas ameaças, a segurança cibernética geralmente é expressa em termos de instituir uma
série de controles que afetam pessoas, processos e tecnologia. Algumas delas se concentrarão na
prevenção de maus resultados, enquanto outras são mais bem abordadas por meio da detecção e reação.
A seleção desses controles geralmente é abordada por meio de um processo de Gerenciamento de
Riscos (veja abaixo e a Área de Conhecimento de Gerenciamento de Riscos e Governança (Capítulo
2)) - embora seja dada ênfase crescente aos Fatores Humanos (consulte a Área de Conhecimento
de Fatores Humanos (Capítulo 4) ) . _ _
Da mesma forma, a segurança requer uma análise das vulnerabilidades dentro do sistema em
consideração: um sistema (hipotético) sem vulnerabilidades seria impermeável a todas as ameaças; um
sistema altamente vulnerável colocado em circunstâncias totalmente benignas (sem ameaças) também
não teria incidentes de segurança.
O uso pretendido de controles de segurança levanta suas próprias questões sobre se eles são implantados
adequadamente e se são eficazes: eles pertencem ao domínio da garantia de segurança, que possui
processos e controles próprios. Isso envolverá análise de risco residual (veja abaixo e a Área de
Conhecimento de Gerenciamento e Governança de Riscos (Capítulo 2)) , que inclui uma tentativa de
medir e quantificar a presença de vulnerabilidades.
A Área de Conhecimento Forense (Capítulo 9) considera os detalhes técnicos e processos para análise pós-
ataque de forma robusta e confiável.
Um tema recorrente na análise de segurança é que não é suficiente definir bons controles de segurança apenas
dentro de uma determinada abstração ou quadro de referência: é necessário considerar também o que pode acontecer
se um adversário optar por ignorar essa abstração ou quadro.
Isso surge, por exemplo, em canais laterais de comunicação, onde um adversário pode inferir muito
da captura de emissões de radiofrequência de um cabo, digamos, sem precisar tocar fisicamente
nesse cabo. Efeitos de espionagem semelhantes foram observados contra a criptografia implementada
em smartcards: a simples análise do consumo de energia do processador à medida que ele endereça
cada bit pode ser suficiente para divulgar a chave criptográfica (consulte a Área de Conhecimento de
Segurança de Hardware (Capítulo 20) e o Software Área de Conhecimento de Segurança (Capítulo
15)). O uso e manuseio apropriados de chaves criptográficas são considerados na Área de
Conhecimento de Criptografia Aplicada (Capítulo 18), com a teoria subjacente considerada na Área
de Conhecimento de Criptografia (Capítulo 10).
Esses problemas ocorrem em todos os níveis do projeto do sistema. Em software, surge o ataque de injeção de SQL
(consulte Áreas de conhecimento de segurança de software e segurança na Web e em dispositivos móveis) porque
uma sequência de caracteres destinada a ser interpretada como uma entrada de banco de dados é forçada a se tornar
um comando de banco de dados. Arquivos que contêm segredos escritos por um aplicativo podem desistir desses
segredos quando lidos por outro, ou por um depurador ou programa de despejo de uso geral.
A segurança operacional de um sistema pode ser baseada nos operadores que seguem um procedimento específico
ou evitam circunstâncias perigosas específicas: há uma suposição de que se as pessoas são instruídas em um
contexto profissional a (não) fazer algo, elas (não) o farão. Isso é comprovadamente falso (veja a Área de
Conhecimento de Fatores Humanos (Capítulo 4)).
Esses – e uma infinidade de outros – problemas de segurança surgem porque é necessário pensar (e
projetar sistemas) usando abstrações. Não só nenhum indivíduo pode compreender todos os detalhes da
operação de um sistema de computação em rede (da física do dispositivo para cima), mesmo que tenha o
conhecimento necessário, deve trabalhar em abstrações para progredir e evitar ser sobrecarregado com
detalhes. Mas, para a maioria dos controles de segurança, a abstração não é mais do que uma ferramenta
de pensamento: e assim o adversário pode ignorá-la completamente.
(Capítulo 20)).
1.3.3 Risco
Não há limite, em princípio, para a quantidade de esforço ou dinheiro que pode ser gasto em controles
de segurança. Para equilibrá-los com os recursos disponíveis e os danos e oportunidades que podem
surgir de ameaças emergentes à segurança, uma abordagem abrangente comum à análise de
segurança é um processo de avaliação de risco – e seleção de controles, um processo de
gerenciamento de risco. Estes são explorados em profundidade na Área de Conhecimento de Gestão
de Riscos e Governança (Capítulo 2).
Como em qualquer processo de gestão de risco, um cálculo chave refere-se ao impacto esperado, sendo
calculado a partir de alguma estimativa de probabilidade de eventos que possam gerar impacto, e uma
estimativa do impacto decorrente desses eventos. A probabilidade tem dois elementos: a presença de
vulnerabilidades (conhecidas ou desconhecidas – as últimas nem sempre passíveis de mitigação) e a
natureza da ameaça. A resposta da administração à avaliação de risco pode assumir muitas formas, incluindo
controles adicionais para reduzir o impacto ou a probabilidade de uma ameaça, aceitar o risco ou transferi-lo/
compartilhar com terceiros (por exemplo, seguro) ou, em alguns casos, decidir não prosseguir porque todos
esses resultados são inaceitáveis.
A analogia entre gerenciamento de qualidade e segurança não é perfeita porque o ambiente de ameaças
não é estático; no entanto, a tendência é que os padrões de gerenciamento de segurança, como o ISO/IEC
27001, incorporem processos padrão de gerenciamento de qualidade que são especializados em segurança.
A especialização principal é o uso periódico do gerenciamento de riscos (consulte a Área de Conhecimento
de Gerenciamento e Governança de Riscos (Capítulo 2)), que também deve levar em conta o ambiente de
ameaças em constante mudança. É necessário complementar a gestão periódica de riscos com medidas
contínuas da eficácia dos processos de segurança. Por exemplo, a correção e a manutenção do sistema
podem ser continuamente revisadas por meio de varredura de vulnerabilidades, logs relacionados a
tentativas de acesso com falha, bloqueios de usuários ou redefinições de senha podem fornecer indicadores
da usabilidade dos recursos de segurança.
A segurança física inclui a proteção física do sistema, incluindo controle de acesso, gerenciamento de
ativos e manuseio e proteção da mídia de armazenamento de dados. Esses aspectos estão fora do
escopo do CyBOK.
A segurança de pessoal está preocupada com uma ampla gama de usabilidade de segurança e modelagem
de comportamento, incluindo educação e treinamento (consulte a Área de Conhecimento de Fatores
Humanos (Capítulo 4)). Também inclui elementos formais de gestão de recursos humanos, como seleção e
verificação de pessoal, termos e condições de uso aceitável para sistemas de TI (consulte a Área de
Conhecimento de Lei e Regulamentação (Capítulo 3)) e sanções disciplinares por violações de segurança.
1.4 PRINCÍPIOS
O pensamento sólido e as boas práticas em segurança foram codificados por vários autores. Os
princípios que eles descrevem tocam muitos KAs diferentes e, juntos, ajudam a desenvolver uma
abordagem holística para o projeto, desenvolvimento e implantação de sistemas seguros.
• Economia de mecanismo. O projeto dos controles de segurança deve permanecer o mais simples
possível, para garantir alta garantia. Projetos mais simples são mais fáceis de raciocinar formal ou
informalmente, para argumentar a correção. Além disso, projetos mais simples têm implementações
mais simples que são mais fáceis de auditar ou verificar manualmente para alta garantia. Esse princípio
está subjacente à noção de Trusted Computing Base (TCB) — ou seja, a coleção de todos os
componentes de software e hardware dos quais um mecanismo ou política de segurança depende.
Isso implica que o TCB de um sistema deve permanecer pequeno para garantir que ele mantenha as
propriedades de segurança esperadas.
• Padrões à prova de falhas. Os controles de segurança precisam definir e habilitar operações que
possam ser identificadas positivamente como estando de acordo com uma política de segurança e
rejeitar todas as outras. Em particular, Saltzer e Schroeder alertam contra mecanismos que
determinam o acesso ao tentar identificar e rejeitar comportamentos maliciosos. O comportamento
malicioso, uma vez que está sob o controlo do adversário e, portanto, irá adaptar-se, é difícil de
enumerar e identificar exaustivamente. Como resultado, basear os controles na exclusão da violação
detectada, em vez da inclusão de um bom comportamento conhecido, é propenso a erros. É notável
que alguns controles de segurança modernos violam esse princípio, incluindo software antivírus
baseado em assinatura e detecção de intrusão.
• Mediação completa. Todas as operações em todos os objetos em um sistema devem ser verificadas
para garantir que estejam de acordo com a política de segurança. Essas verificações normalmente
envolvem garantir que o sujeito que iniciou a operação está autorizado a realizá-la, presumindo
um mecanismo robusto de autenticação. No entanto, os controles de segurança modernos
podem não basear as verificações na identidade de tal sujeito, mas em outras considerações,
como manter uma 'capacidade'.
• Design aberto. A segurança do controle não deve depender do sigilo de seu funcionamento, mas apenas de
segredos ou senhas bem especificados. Esse princípio sustenta a segurança cibernética como um campo
de estudo aberto: permite que acadêmicos, engenheiros, auditores e reguladores examinem como os
controles de segurança operam para garantir sua correção ou identificar falhas, sem prejudicar sua
segurança. A abordagem oposta, geralmente chamada de 'segurança por obscuridade', é frágil, pois
restringe quem pode auditar um controle de segurança e é ineficaz contra ameaças internas ou controles
que podem sofrer engenharia reversa.
• Separação de privilégios. Os controles de segurança que dependem de vários assuntos para autorizar uma
operação fornecem maior garantia do que aqueles que dependem de um único assunto. Este princípio está
incorporado em sistemas bancários tradicionais e é levado adiante para controles de segurança cibernética.
No entanto, embora geralmente o aumento do número de autoridades envolvidas na autorização de uma
operação aumente a garantia em relação às propriedades de integridade, geralmente também diminui a
garantia em torno das propriedades de disponibilidade. O princípio também tem limites, relacionados à
diluição excessiva da responsabilidade levando a uma 'tragédia dos bens comuns de segurança' em que
nenhuma autoridade tem incentivos para investir em segurança assumindo que as outras o farão.
• Privilégio mínimo. Os sujeitos e as operações que eles realizam em um sistema devem ser executados
usando o menor número possível de privilégios. Por exemplo, se uma operação precisar apenas ler algumas
informações, ela também não deve receber privilégios para gravar ou excluir essas informações. Conceder
o conjunto mínimo de privilégios garante que, se o assunto estiver corrompido ou o software estiver
incorreto, o dano que eles podem causar às propriedades de segurança do sistema é diminuído. Definir
arquiteturas de segurança depende muito desse princípio e consiste em separar grandes sistemas em
componentes, cada um com o mínimo de privilégios possível – para garantir que comprometimentos parciais
não possam afetar ou ter um efeito mínimo nas propriedades gerais de segurança de um sistema inteiro.
• Aceitabilidade psicológica. O controle de segurança deve ser naturalmente utilizável para que os usuários
'rotineira e automaticamente' apliquem a proteção. Saltzer e Schroeder, afirmam especificamente que "na
medida em que a imagem mental do usuário de seus objetivos de proteção corresponde aos mecanismos
que ele deve usar, os erros serão minimizados". Este princípio é a base da Área de Conhecimento de
Fatores Humanos (Capítulo 4).
Saltzer e Schroeder também fornecem dois outros princípios, mas alertam que eles são apenas imperfeitamente
aplicáveis aos controles de segurança cibernética:
• Fator de trabalho. Bons controles de segurança exigem mais recursos para contornar do que aqueles
disponíveis para o adversário. Em alguns casos, como o custo de força bruta de uma chave, o
o fator de trabalho pode ser calculado e os projetistas podem ter certeza de que os adversários não
podem ser suficientemente dotados para experimentar todos eles. Para outros controles, no entanto,
esse fator de trabalho é mais difícil de calcular com precisão. Por exemplo, é difícil estimar o custo de
um insider corrupto ou o custo de encontrar um bug no software.
• Gravação de compromisso. Às vezes, é sugerido que registros ou logs confiáveis, que permitem a
detecção de um comprometimento, possam ser usados em vez de controles que impedem um comprometimento.
A maioria dos sistemas registra eventos de segurança e as operações de segurança dependem muito
desses logs confiáveis para detectar intrusões. Os méritos relativos – e custos – das duas abordagens são
altamente dependentes do contexto.
Esses princípios, por sua vez, baseiam-se em precedentes muito mais antigos, como os princípios de Kerckhoff
relativos a sistemas criptográficos [9]. Kerchoff destaca que os sistemas criptográficos devem ser praticamente
seguros, sem exigir o sigilo de como operam (design aberto). Ele também destaca que as chaves devem ser
curtas e memoráveis, o equipamento deve ser fácil de usar e aplicável às telecomunicações – tudo relacionado
à aceitabilidade psicológica dos projetos.
Vários dos princípios do NIST são mapeados diretamente para os de Saltzer e Schroeder, como o mecanismo
menos comum, acesso mediado com eficiência, compartilhamento minimizado, elementos de segurança
minimizados, complexidade reduzida, privilégio mínimo, padrões seguros e permissão de predicado e segurança
aceitável.
Notavelmente, os novos princípios lidam com o aumento da complexidade dos sistemas de computação
modernos e enfatizam o design modular limpo, ou seja, com Abstração Clara, Modularidade e Camadas,
Dependências Parcialmente Ordenadas, Evolução Segura. Outros princípios reconhecem que nem todos os
componentes em um sistema seguro podem operar no mesmo nível de garantia e exigem que eles se beneficiem
de uma estrutura de Confiança Hierárquica, na qual a falha de segurança de alguns componentes não coloque
em risco todas as propriedades do sistema. O princípio do Inverse Modification Threshold afirma que os
componentes mais críticos para a segurança também devem ser os mais protegidos contra modificações ou
adulterações não autorizadas. A proteção hierárquica afirma que os componentes de segurança menos críticos
não precisam ser protegidos dos mais críticos.
A estrutura do NIST também reconhece que os sistemas modernos estão interconectados e fornece
princípios de como protegê-los. Eles devem ser conectados em rede usando Canais de Comunicação
Confiáveis . Eles devem desfrutar de Composição Distribuída Segura, o que significa que se dois
sistemas que impõem a mesma política são compostos, sua composição também deve, pelo menos,
aplicar a mesma política. Finalmente, o princípio da Confiabilidade Autossuficiente afirma que um
sistema seguro deve permanecer seguro mesmo se desconectado de outros componentes remotos.
Os princípios do NIST expandem quais tipos de mecanismos de segurança são aceitáveis para
sistemas do mundo real. Em particular os princípios de Segurança Econômica, Segurança de Desempenho,
Segurança Fatorada e Segurança Aceitável afirmam que os controles de segurança não devem ser
excessivamente caros, degradar excessivamente o desempenho ou ser inutilizáveis ou inaceitáveis para os usuários.
Este é um reconhecimento de que os controles de segurança suportam as propriedades funcionais dos sistemas
e não são um objetivo em si.
Além dos princípios, o NIST também descreve três estratégias principais de arquitetura de segurança. O
Conceito de Monitor de Referência é um controle abstrato suficiente para impor as propriedades de
segurança de um sistema. Defense in Depth descreve uma arquitetura de segurança composta por vários
controles sobrepostos. O isolamento é uma estratégia pela qual diferentes componentes são separados
física ou logicamente para minimizar a interferência ou o vazamento de informações.
Tanto o NIST quanto Saltzer e Schroeder destacam que os princípios fornecem apenas orientação e
precisam ser aplicados com habilidade a problemas específicos para projetar arquiteturas e controles
seguros. O desvio de um princípio não leva automaticamente a nenhum problema, mas esses desvios
precisam ser identificados para garantir que quaisquer problemas que possam surgir foram mitigados
adequadamente.
1http://www.oecd.org/internet/ieconomy/40722462.pdf
mais simples e robusto do que aquele que usa controles de acesso para separar as duas funções em uma
rede compartilhada.
O primeiro passo é revisar a proposta de uso do sistema. Os processos de negócios a serem suportados devem
identificar as interações entre os usuários, dados ou serviços no sistema.
Potenciais interações de alto risco entre usuários (consulte a Área de Conhecimento de
Comportamentos Adversários (Capítulo 7) e os dados devem ser identificados com uma avaliação de
risco delineada (consulte a Área de Conhecimento de Gerenciamento e Governança de Riscos
(Capítulo 2)), que também precisará levar em consideração requisitos externos, como conformidade
(consulte a área de conhecimento de leis e regulamentos ( capítulo 3)) e obrigações contratuais. para
um resultado de segurança indesejado, o próprio processo de negócios deve ser revisto.Muitas
vezes , esses casos exigem uma regra de 'duas pessoas', por exemplo, contra-autorização para
pagamentos.
A próxima etapa é agrupar usuários e dados em categorias amplas usando os requisitos de acesso à função,
juntamente com a classificação formal de dados e a liberação do usuário. Essas categorias são compartimentos
de sistema em potencial, por exemplo, usuários da Internet e dados públicos ou engenheiros e dados de projeto.
Os compartimentos devem garantir que as interações de dados do usuário de maior risco ultrapassem os limites
do compartimento e que as interações comuns de dados do usuário não o façam. Esses compartimentos
geralmente são aplicados com controles de particionamento de rede (consulte a Área de conhecimento de
segurança de rede (Capítulo 19)). O design detalhado é então necessário dentro dos compartimentos, com os
primeiros passos sendo o foco em funções concretas do usuário, design de dados e controles de acesso
(consulte a Área de Conhecimento de Autenticação, Autorização e Responsabilidade (Capítulo 14)), com
avaliações de risco mais detalhadas sendo conduzidas conforme o design amadurece.
Ortogonais a essas preocupações estão vários tópicos que se relacionam com o contexto de
desenvolvimento e operação do sistema. Está cada vez mais claro que um código de conduta,
conforme prescrito por muitos órgãos profissionais, oferece uma estrutura valiosa para projetistas
de sistemas e para aqueles que exploram fraquezas e vulnerabilidades nesses sistemas. Iniciativas
em torno de pesquisa e inovação responsáveis estão ganhando terreno. A descoberta de
vulnerabilidades exige uma política de divulgação – e os parâmetros de divulgação responsável têm
suscitado muito debate, juntamente com o papel disso em um processo de ações de segurança.
Essas considerações amplas de arquitetura e ciclo de vida foram capturadas dentro das noções de 'segurança
por design' e 'seguro por padrão'3 . O primeiro termo é frequentemente aplicado a práticas detalhadas em
engenharia de software, como verificação de entrada, para evitar estouros de buffer e similares (consulte a
Área de Conhecimento do Ciclo de Vida do Software Seguro (Capítulo 17)). De forma geral,
2 https://www.owasp.org
3Uma noção relacionada é 'privacidade desde a concepção' (consulte a Área de Conhecimento de Privacidade e Direitos Online (Capítulo 5)).
RECONHECIMENTOS
Os autores agradecem a Erik van de Sandt a permissão para usar o texto de sua tese de doutorado [19] na
seção sobre Economia da Segurança.