Proteção de um domínio de segurança cibernética

A proteção do seu domínio é um processo contínuo para proteger a

infraestrutura da rede da organização. Requer que os indivíduos permaneçam
constantemente vigilantes com relação a ameaças e tomem medidas para evitar
qualquer exposição ao risco. Este capítulo discute as tecnologias, processos e
procedimentos que os profissionais de segurança cibernética usam para defender
sistemas, dispositivos e dados que compõem a infraestrutura da rede.
Uma rede segura é tão forte quanto o seu elo mais fraco. É importante
proteger os dispositivos finais que residem na rede. A segurança de endpoints inclui
proteção dos dispositivos de infraestrutura da rede na LAN (Local Area Network,
rede de área local) e sistemas finais, como estações de trabalho, servidores,
telefones IP e access points.
A codificação dos dispositivos é uma tarefa crítica para a proteção da rede.
Envolve a implementação de métodos comprovados para proteger, fisicamente, os
dispositivos de rede. Alguns desses métodos envolvem a proteção do acesso
administrativo, a manutenção de senhas e a implementação de comunicações
seguras.

Software de sistema operacional

O sistema operacional desempenha um papel crítico na operação de um
computador e é alvo de muitos ataques. A segurança do sistema operacional tem
um efeito em cascata sobre a segurança geral de um computador.
Um administrador codifica um sistema operacional ao modificar a configuração
padrão para torná-lo mais seguro em relação a ameaças externas. Esse processo
inclui a remoção de programas e serviços desnecessários. Outro requisito crítico de
codificação de sistemas operacionais é a aplicação de patches e atualizações de
segurança. Patches e atualizações de segurança são correções que as empresas
liberam, em uma tentativa de reduzir a vulnerabilidade e corrigir falhas em seus
produtos.
Uma organização deve ter uma abordagem sistemática para endereçamento de
atualizações do sistema:
 Estabelecendo procedimentos de monitoramento de informações
relacionadas à segurança
 Avaliando as atualizações para aplicabilidade
 Planejamento da instalação de atualizações e patches de aplicativos
 Instalação de atualizações usando um plano documentado
Outro requisito fundamental de proteção dos sistemas operacionais é identificar
possíveis vulnerabilidades. Isso pode ser feito por meio do estabelecimento de uma
linha de base. Estabelecer uma linha de base permite que o administrador faça uma
comparação de como um sistema está sendo executado versus suas expectativas
geradas pela de linha de base.
O MBSA (Microsoft Baseline Security Analyzer, Analisador de segurança de
parâmetro Microsoft) avalia as atualizações de segurança ausentes e problemas de
configuração de segurança no Microsoft Windows. O MBSA verifica senhas em
branco, simples ou inexistentes, configurações de firewall, status de conta de
convidado, detalhes da conta de administrador, a auditoria de eventos de
segurança, serviços desnecessários, compartilhamentos de rede e configurações do
registro. Depois da codificação do sistema operacional, o administrador cria as
políticas e procedimentos para manter um alto nível de segurança.

Antimalware
Malware inclui vírus, worms, cavalos de Troia, keyloggers, spyware, e adware.
Todos eles invadem a privacidade, roubam informações, danificam o sistema ou
excluem e corrompem os dados.
É importante proteger os computadores e dispositivos móveis com software
antimalware de qualidade. Estão disponíveis os seguintes tipos de programas
antimalware:
 Proteção antivírus - Programa que monitora, continuamente, por vírus.
Quando detecta um vírus, o programa avisa o usuário e ele tenta colocar em
quarentena ou excluir o vírus, como mostrado na Figura 1.
 Proteção contra adware – O programa procura continuamente por
programas que exibem publicidade em um computador.
 Proteção contra phishing – O programa bloqueia endereços IP de sites de
phishing conhecidos na web e avisa o usuário sobre sites suspeitos.
 Proteção contra spyware – Programa que varre o computador em busca de
keyloggers e ouros tipos de spyware.
 Fontes confiáveis / não confiáveis – O programa avisa o usuário sobre
programas ou sites não seguros que tentam se instalar, antes de um usuário
visitá-los.
Pode ser necessário usar vários programas diferentes e fazer várias varreduras
para remover completamente todos os softwares mal-intencionados. Execute
apenas um programa de proteção contra malware por vez.
Várias empresas de segurança confiáveis, como McAfee, Symantec e Kaspersky,
oferecem proteção completa contra malware para computadores e dispositivos
móveis.
Desconfie de produtos antivírus falsos mal-intencionados que podem aparecer
durante a navegação na Internet. A maioria desses produtos antivírus falso exibe
um anúncio ou um pop-up que parece como uma janela de aviso real do Windows,
como mostra a Figura 2. Geralmente, elas afirmam que o malware está infectando o
computador e solicita ao usuário que o limpe. Clicar em qualquer lugar na janela
pode iniciar o download e a instalação do malware.
Software não aprovado ou não compatível não é apenas um software que é
instalado de forma não intencional em um computador. Também pode vir de
usuários que queriam instalá-lo. Pode não ser mal-intencionado, mas ainda pode
violar a política de segurança. Esse tipo de sistema não compatível pode interferir
no software da empresa ou nos serviços de rede. Os usuários devem remover
software não aprovado imediatamente.

Gerenciamento de patches
Os patches são atualizações de código que os fabricantes fornecem para evitar que
um vírus ou um worm recém-descoberto façam um ataque bem-sucedido. De
tempos em tempos, os fabricantes combinam patches e atualizações em uma
aplicação completa de atualização chamada de service pack. Muitos ataques
devastadores de vírus poderiam ter sido muito menos graves, se mais usuários
tivessem baixado e instalado o service pack mais recente.
O Windows verifica, regularmente, o site Windows Update, por atualizações de alta
prioridade e que podem ajudar a proteger o computador contra as mais recentes
ameaças de segurança. Essas atualizações incluem atualizações de segurança,
atualizações críticas e service packs. Dependendo da configuração escolhida, o
Windows baixa e instala, automaticamente, todas as atualizações de alta prioridade
que o computador precisa ou notifica o usuário conforme essas atualizações
estiverem disponíveis.
Algumas organizações podem querer testar um patch antes de implantá-lo em toda
a organização. A organização usaria um serviço para gerenciar patches localmente,
em vez de usar o serviço de atualização on-line do fornecedor. Os benefícios de
usar um serviço de atualização automática de patch incluem o seguinte:
 Os administradores podem aprovar ou recusar atualizações
 Os administradores podem forçar a atualização de sistemas para uma data
específica
 Os administradores podem obter relatórios sobre a atualização necessária
para cada sistema
 Cada computador não tem que se conectar ao serviço do fornecedor para
baixar os patches. Um sistema obtém a atualização de um servidor local
 Os usuários não podem desativar ou contornar as atualizações
Um serviço de patches automáticos fornece aos administradores um ambiente mais
controlado.

Firewalls baseados em host e sistemas de detecção de invasão

Uma solução baseada em host é uma aplicação de software que é executada em
um computador local para protegê-lo. O software funciona com o sistema
operacional para ajudar a evitar ataques.
Firewalls baseados em host
Um firewall de software é um programa que é executado em um computador para
permitir ou negar tráfego entre o computador e outros computadores conectados. O
firewall por software aplica um conjunto de regras a transmissões de dados por meio
da inspeção e filtragem de pacotes de dados. O Firewall do Windows é um exemplo
de firewall de software. O sistema operacional Windows o instala por padrão durante
a instalação.
O usuário pode controlar o tipo de dados enviados de e para o computador abrindo
ou bloqueando as portas selecionadas. Os firewalls bloqueiam conexões de rede de
entrada e de saída, a menos que sejam definidas exceções para abrir e fechar as
portas necessárias para um programa.
Na Figura 1, o usuário seleciona regras de entrada para configurar os tipos de
tráfego permitido no sistema. Configurar regras de entrada ajudará a proteger o
sistema contra tráfego indesejado.
Sistemas de detecção de invasão do host
Um sistema de detecção de invasão do host (HIDS) é um software que é executado
em um computador que monitora atividades suspeitas. Cada sistema de servidor ou
de desktop que exibe proteção precisará ter o software instalado, conforme
mostrado na Figura 2. O HIDS monitora chamadas do sistema e o acesso ao
sistema de arquivos para garantir que as solicitações não sejam o resultado de uma
atividade maliciosa. Ele também pode monitorar as configurações do registro do
sistema. O registro mantém informações de configuração sobre o computador.
O HIDS armazena todos os dados de registro localmente. Ele também pode afetar o
desempenho do sistema, pois é intensivo em recursos. Um sistema de detecção de
invasão do host (HIDS) não pode monitorar nenhum tráfego de rede que não
chegue ao sistema do host, mas monitora o sistema operacional e processos
críticos do sistema específicos desse host.

Comunicações seguras
Ao se conectar à rede local e compartilhar arquivos, a comunicação entre
computadores permanece dentro dessa rede. Os dados permanecem seguros
porque são mantidos fora de outras redes e fora da Internet. Para comunicar e
compartilhar recursos por uma rede que não seja segura, os usuários empregam
uma rede privada virtual (VPN).
A VPN é uma rede privada que conecta usuários ou sites remotos por uma rede
pública, como a Internet. O tipo mais comum de VPN acessa uma rede privada
corporativa. A VPN usa conexões seguras dedicadas, roteadas pela Internet, da
rede corporativa privada para o usuário remoto. Quando conectados à rede privada
corporativa, os usuários se tornam parte dela e têm acesso a todos os serviços e
recursos, como se estivessem fisicamente conectados à LAN corporativa.
Os usuários de acesso remoto devem ter o cliente VPN instalado em seus
computadores para formar uma conexão segura com a rede privada corporativa. O
software do cliente VPN criptografa os dados antes de enviá-los pela Internet para o
gateway VPN na rede privada corporativa. Os gateways VPN estabelecem,
gerenciam e controlam conexões VPN, também conhecidas como túneis VPN.
Os sistemas operacionais incluem um cliente VPN que o usuário configura para uma
conexão VPN.

WEP
Um dos componentes mais importantes da computação moderna são os
dispositivos móveis. A maioria dos dispositivos encontrados nas redes atuais são
laptops, tablets, smartphones e outros dispositivos sem fio. Dispositivos móveis
transmitem dados usando sinais de rádio que qualquer dispositivo com antena
compatível pode receber. Por esse motivo, o setor de computadores desenvolveu
um conjunto de padrões, produtos e dispositivos de segurança sem fio ou móveis.
Esses padrões criptografam as informações transmitidas via ondas aéreas pelos
dispositivos móveis.
WEP (Wired Equivalent Privacy, Privacidade equivalente por cabo) é um dos
primeiros padrões de segurança Wi-Fi amplamente usado. O padrão WEP fornece
autenticação e proteções por criptografia. Os padrões WEP são obsoletos, mas
muitos dispositivos ainda suportam WEP para compatibilidade com versões
anteriores. O padrão WEP se tornou um padrão de segurança Wi-Fi em 1999,
quando a comunicação sem fio estava apenas engatinhando. Apesar de revisões no
padrão e de um tamanho de chave maior, o WEP tinha inúmeras falhas de
segurança. Os criminosos virtuais podem quebrar senhas WEP em minutos, usando
software gratuito disponível. Apesar das melhorias, o WEP permanece altamente
vulnerável e os usuários devem atualizar os sistemas que dependem do WEP.

WPA/WPA2
A próxima grande melhoria na segurança sem fio foi a introdução de WPA e WPA2.
O WPA (Wi-Fi Protected Access, Acesso protegido por WiFi) foi a resposta do setor
de computadores para a fraqueza do padrão WEP. A configuração mais comum de
WPA é WPA-PSK (Pre-Shared Key, Chave pré-compartilhada). As chaves usadas
pelo WPA são 256 bits, um aumento significativo sobre as chaves de 64 bits e 128
bits usadas no sistema WEP.
O padrão WPA forneceu várias melhorias de segurança. Primeiro, o WPA fornecia
verificações de integridade da mensagem (Message Integrity Checks - MIC) que
poderiam detectar se um invasor tinha capturado e alterado os dados transmitidos
entre o ponto de acesso sem fio e um cliente sem fio. Outra melhoria importante de
segurança foi o protocolo TKIP (Temporal Key Integrity Protocol, Protocolo de
integridade da chave temporal). O padrão TKIP proporcionou a capacidade de
tratar, proteger e alterar melhor as chaves de criptografia. O AES (Advanced
Encryption Standard, Padrão de criptografia avançada) substituiu o TKIP por um
melhor gerenciamento de chaves e proteção de criptografia..
O WPA, assim como seu antecessor, o WEP, incluiu várias vulnerabilidades
amplamente reconhecidas. Como resultado, o lançamento do padrão WPA2 (Wi-Fi
Protected Access II, Acesso protegido por Wi-Fi II) aconteceu em 2006. Uma das
melhorias de segurança mais significativas do WPA para o WPA2 foi o uso
obrigatório de algoritmos AES e a introdução do Modo de cifra do contador com
protocolo de código de autenticação de mensagem de encadeamento de bloco
(CCM) como um substituto para TKIP.

Autenticação mútua
Uma das grandes vulnerabilidades das redes sem fio é o uso de access points não
autorizados. Access points são os dispositivos que se comunicam com os
dispositivos sem fio e os conectam de volta à rede cabeada. Qualquer dispositivo
que tenha uma interface transmissora sem fio e cabeada ligada a uma rede pode,
possivelmente, agir como access point não autorizado. O access point não
autorizado pode imitar um access point autorizado. O resultado é que os
dispositivos sem fio na rede sem fio estabelecem comunicação com o access point
não autorizado, em vez de com o access point autorizado.
O impostor pode receber solicitações de conexão, copiar os dados na solicitação e
encaminhar os dados para o access point autorizado da rede. Esse tipo de ataque
man in the middle é muito difícil de detectar e pode resultar em credenciais de logon
roubadas e dados transmitidos. Para evitar access points não autorizados, o setor
de computadores desenvolveu a autenticação mútua. A autenticação mútua,
também chamada de autenticação bidirecional, é um processo ou tecnologia em
que as duas entidades de um link de comunicação se autenticam. Em um ambiente
de rede sem fio, o cliente faz a autenticação no access point e o access point
autentica o cliente. Essa melhoria permitiu aos clientes detectar access points não
autorizados, antes de se conectarem a esse dispositivo.

Controle de acesso de arquivos

As permissões são regras que você configura para limitar o acesso de um indivíduo
ou de um grupo de usuários a uma pasta ou a um arquivo. A figura lista as
permissões disponíveis para arquivos e pastas.
Princípio de Menos Privilégio
Os usuários devem ser limitados apenas aos recursos que precisam em um sistema
computacional ou em uma rede. Por exemplo, não devem poder acessar todos os
arquivos de um servidor se só precisarem acessar uma única pasta. Pode ser mais
fácil fornecer acesso de usuários à unidade inteira, mas é mais seguro limitar o
acesso somente à pasta que o usuário precisa para realizar seu trabalho. Esse é o
princípio de menos privilégio. Limitar o acesso aos recursos também evita que os
programas mal-intencionados acessem esses recursos, se o computador do usuário
ficar infectado.
Restringindo Permissões de Usuário
Se um administrador negar permissões a um indivíduo ou a um grupo para um
compartilhamento de rede, essa negação substituirá todas as outras configurações
de permissões. Por exemplo, se o administrador negar a alguém permissão para um
compartilhamento de rede, o usuário não poderá acessar esse compartilhamento,
mesmo se o usuário for o administrador ou fizer parte do grupo administrador. A
política de segurança local deve descrever quais recursos e o tipo de acesso são
permitidos para cada usuário e grupo.
Quando um usuário altera as permissões de uma pasta, tem a opção de aplicar as
mesmas permissões para todas as subpastas. Isso se chama propagação de
permissões. A propagação de permissões é uma maneira fácil de aplicar
permissões rapidamente a vários arquivos e pastas. Depois que as permissões da
pasta pai tiverem sido definidas, as pastas e os arquivos criados dentro da pasta pai
herdam as permissões da pasta pai.
Além disso, o local dos dados e a ação realizada nos dados determinam a
propagação das permissões:
 Os dados movidos para o mesmo volume manterão as permissões originais
 Os dados copiados para o mesmo volume herdarão novas permissões
 Os dados movidos para um volume diferente herdarão novas permissões
 Os dados copiados para um volume diferente herdarão novas permissões

Criptografia de arquivo
A criptografia é uma ferramenta usada para proteger os dados. A criptografia
transforma os dados usando um algoritmo complicado para torná-los ilegíveis. Uma
chave especial transforma as informações ilegíveis novamente em dados legíveis.
Programas são usados para criptografar arquivos, pastas e, até mesmo, unidades
inteiras.
O EFS (Encrypting File System, Sistema de Criptografia de Arquivos) é uma
característica do Windows que pode criptografar dados. A implementação do
Windows EFS leva-o diretamente para uma conta de usuário específica. Apenas o
usuário que criptografou os dados poderá acessar os arquivos ou pastas
criptografados.
Um usuário também pode escolher criptografar um disco rígido inteiro no Windows,
usando um recurso chamado BitLocker. Para usar BitLocker, pelo menos dois
volumes devem estar presentes em um disco rígido.
Antes de usar o BitLocker, o usuário precisa ativar o TPM (Trusted Platform Module,
Módulo de plataforma confiável) na BIOS. O TPM é um chip especializado instalado
na placa-mãe. O TPM armazena informações específicas do sistema host, como
chaves de criptografia, certificados digitais e senhas. Os aplicativos, como o
BitLocker, que usam criptografia, podem usar o chip de TPM. Clique em
Administração do TPM para visualizar os detalhes do TPM, como mostrado na
Figura.
O BitLocker To Go criptografa unidades removíveis. O BitLocker To Go não usa um
chip de TPM, mas ainda fornece criptografia dos dados e exige uma senha.
Sistema e backups de dados
Uma organização pode perder dados se criminosos virtuais roubá-los, se houver
falha do equipamento ou ocorrer um desastre. Por isso, é importante realizar,
regularmente, um backup dos dados.
Um backup dos dados armazena uma cópia das informações de um computador na
mídia de backup removível. O operador armazena a mídia de backup em um local
seguro. Fazer backup de dados é uma das formas mais eficazes de proteção contra
perda de dados. Se houver falha no hardware do computador, o usuário pode
restaurar os dados do backup, depois que o sistema estiver funcional.
A política de segurança da organização deve incluir backups dos dados. Os
usuários devem realizar backups dos dados regularmente. Os backups de dados
são, normalmente, armazenados em outro local, para proteger a mídia de backup,
se algo acontecer com a instalação principal.
Estas são algumas considerações para backup de dados:
 Frequência - Os backups podem levar muito tempo. Às vezes é mais fácil
fazer um backup completo mensal ou semanal, e depois backups parciais
frequentes de todos os dados que tiverem mudado, desde o último backup
completo. No entanto, ter muitos backup parciais aumenta o tempo
necessário para restaurar os dados.
 Armazenamento - Para segurança adicional, os backups devem ser
transportados para um local de armazenamento externo aprovado em uma
rotação diária, semanal ou mensal, conforme estipulado pela política de
segurança.
 Segurança-Proteja os backups com senhas. Em seguida, o operador digita a
senha, antes de restaurar os dados na mídia de backup.
 Validação - Valide sempre os backups para garantir a integridade dos dados.

Triagem e bloqueio de conteúdo

O software de controle de conteúdo restringe o conteúdo que um usuário pode
acessar usando um navegador da Web na Internet. O software de controle de
conteúdo pode bloquear sites que contenham certos tipos de material, como
pornografia ou conteúdo controverso político ou religioso. Um pai pode implementar
o software de controle de conteúdo no computador usado pelo filho. Escolas e
bibliotecas também implementam o software para impedir o acesso a conteúdos
considerados inadequados.
Um administrador pode implementar os seguintes tipos de filtros:
 Filtros baseados em navegador por meio de uma extensão de navegador de
terceiros
 Filtros de e-mail por meio de um filtro baseado em cliente ou servidor
 Filtros de cliente instalados em um computador específico
 Filtros de conteúdo baseados no roteador que bloqueiam a entrada do
tráfego na rede
  Filtros de conteúdo baseados em dispositivo semelhante ao baseado em
roteador
 Filtragem de conteúdo baseado na nuvem
Os mecanismo de pesquisa, como o Google, oferecem a opção de ligar um filtro de
segurança para excluir links inapropriados nos resultados da pesquisa.

Clonagem de disco e Deep Freeze

Muitos aplicativos de terceiros estão disponíveis para restaurar um sistema para um
estado padrão. Isso permite que o administrador proteja o sistema operacional e os
arquivos de configuração para um sistema.
A clonagem de disco copia o conteúdo do disco rígido do computador em um
arquivo de imagem. Por exemplo, um administrador cria as partições necessárias
em um sistema, formata a partição e, em seguida, instala o sistema operacional. Ele
instala todos os softwares de aplicativo necessários e configura todo o hardware.
Em seguida, o administrador usa um software de clonagem de disco para criar o
arquivo de imagem O administrador pode usar a imagem clonada da seguinte
forma:
 Para limpar automaticamente um sistema e restaurar uma imagem principal
limpa
 Para implantar novos computadores dentro da organização
 Para fornecer um backup completo do sistema
Clique aqui para ver uma comparação de softwares de clonagem de disco.
Deep Freeze "congela" a partição do disco rígido. Quando um usuário reinicia o
sistema, o sistema é revertido para sua configuração congelada. O sistema não
salva as alterações que o usuário faz, portanto, todos os aplicativos instalados ou
arquivos salvos são perdidos quando o sistema é reiniciado.
Se o administrador precisar alterar a configuração do sistema, deverá, primeiro,
"descongelar" a partição protegida, desativando o Deep Freeze. Depois de fazer as
alterações, deverá reativar o programa. O administrador pode configurar o Deep
Freeze para reiniciar depois que um usuário fizer logoff, desligar depois de um
período de inatividade ou desligar em um horário agendado.
Esses produtos não oferecem proteção em tempo real. Um sistema permanece
vulnerável, até que o usuário ou um evento agendado reinicie o sistema. Um
sistema infectado com código malicioso fica como novo, assim que o sistema é
reiniciado.

Cabos e bloqueios de segurança

Existem vários métodos de proteger fisicamente o hardware:
 Use bloqueios de cabos nos equipamentos, como mostra a Figura 1.
 Mantenha as salas de telecomunicações trancadas.
 Use gaiolas de segurança ao redor do equipamento.
Muitos dispositivos portáteis e monitores de computadores caros têm um slot de
segurança de suporte especial em aço construído para usar em conjunto com
fechaduras de cabo de aço.
O tipo mais comum de trava da porta é uma trava de entrada com uma chave
padrão. Ele não trava automaticamente quando a porta se fecha. Além disso, um
indivíduo pode colocar um cartão de plástico fino, como um cartão de crédito, entre
a fechadura e a porta, para forçar a porta a abrir. Fechaduras em edifícios
comerciais são diferentes das fechaduras residenciais. Para segurança adicional,
uma trava deadbolt oferece segurança extra. Qualquer fechadura que requeira uma
chave, porém, apresenta uma vulnerabilidade, se as chaves forem perdidas,
roubadas ou duplicadas.
Uma trava de cifra, mostrada na Figura 2, usa botões que um usuário pressiona em
uma determinada sequência, para abrir a porta. É possível programar uma trava de
cifra. Isso significa que o código de um usuário só pode funcionar durante certos
dias ou em determinados momentos. Por exemplo, uma trava de cifra só pode
permitir o acesso de Bob à sala do servidor entre as 7 horas e as 18 horas de
segunda à sexta. Travas de cifra também podem manter um registro de quando a
porta se abriu e do código usado para abri-la.

Temporizadores de logoff
Um funcionário se levanta e deixa o seu computador para fazer uma pausa. Se o
funcionário não tomar nenhuma medida para proteger sua estação de trabalho,
qualquer informação nesse sistema estará vulnerável a um usuário não autorizado.
Uma organização pode tomar as seguintes medidas para impedir o acesso não
autorizado:
Limite de Tempo de inatividade e Bloqueio de Tela
Os funcionários podem ou não podem fazer logoff do computador quando saem do
local de trabalho. Portanto, é uma prática recomendada de segurança configurar um
temporizador de inatividade que fará, automaticamente, o logoff do usuário e
bloqueará a tela, depois de um período especificado. O usuário deve fazer login
novamente para desbloquear a tela.
Horário de Login
Em algumas situações, uma organização pode querer que os funcionários façam
logon durante horas específicas, como das 7 horas às 18 horas. O sistema bloqueia
logons durante as horas que estão fora do horário de logon permitido.

Inventário e etiquetas RFID

A RFID (Radio Frequency Identification, Identificação por radiofrequência) usa
ondas de rádio para identificar e rastrear objetos. Os sistemas de inventário de RFID
usam tags fixadas em todos os itens que uma empresa quer rastrear. Os
identificadores contêm um circuito integrado que se conecta a uma antena. As
etiquetas RFID são pequenas e exigem muito pouca energia e, portanto, não
precisam de uma bateria para armazenar informações a serem trocadas com um
leitor. A RFID pode ajudar a automatizar o rastreio de ativos ou o
bloqueio/desbloqueio sem fio ou, ainda, a configurar dispositivos eletrônicos.
Os sistemas RFID operam em frequências diferentes. Sistemas de baixa frequência
têm um intervalo de leitura mais curto e taxas de leitura de dados mais lentas, mas
não são tão sensíveis à interferência de ondas de rádio causadas por líquidos e
metais presentes. Frequências mais altas têm uma taxa de transferência de dados
mais rápida e intervalos de leitura mais longos, mas são mais sensíveis à
interferência de ondas de rádio.

Gerenciamento de acesso remoto

Acesso remoto refere-se a qualquer combinação de hardware e software que
permite aos usuários acessar remotamente uma rede local interna.
Com o sistema operacional Windows, os técnicos podem usar o desktop remoto e a
assistência remota para reparar e atualizar computadores. O desktop remoto, como
mostrado na figura , permite que os técnicos visualizem e controlem um computador
de um local remoto. A Assistência Remota permite que os técnicos ajudem os
clientes com problemas de um local remoto. A assistência remota também permite
que o cliente visualize o reparo ou atualização em tempo real na tela.
O processo de instalação do Windows não ativa o desktop remoto por padrão. Ativar
esse recurso abre a porta 3389 e pode resultar em uma vulnerabilidade, se um
usuário não precisar desse serviço.

Telnet, SSH e SCP

O Secure Shell (SSH) é um protocolo que fornece uma conexão de gerenciamento
seguro (criptografado) a um dispositivo remoto. O SSH deve substituir o Telnet nas
conexões de gerenciamento. O Telnet é um protocolo mais antigo que usa
transmissão de texto não criptografado, não protegido, tanto para autenticação de
logon (nome de usuário e senha) quanto para dados transmitidos entre os
dispositivos de comunicação. O SSH fornece segurança para conexões remotas,
proporcionando criptografia forte quando um dispositivo é autenticado (nome de
usuário e senha) e também para a transmissão dos dados entre os dispositivos de
comunicação. O SSH usa a porta TCP 22. Já o Telnet usa a porta 23.
Na Figura 1, os criminosos virtuais monitoram pacotes usando o Wireshark. Na
Figura 2, os criminosos virtuais capturam o nome de usuário e a senha do
administrador a partir da sessão Telnet de texto simples.
A figura 3 mostra a visão do Wireshark de uma sessão de SSH. Os criminosos
virtuais rastreiam a sessão usando o endereço IP do dispositivo do administrador,
mas na Figura 4, a sessão criptografa o nome de usuário e a senha.
A SCP (Secure Copy, cópia segura), transfere, com segurança, arquivos de
computador entre dois sistemas remotos. O SCP usa o SSH para a transferência de
dados (incluindo o elemento de autenticação), para que o SCP garanta a
autenticidade e a confidencialidade dos dados em trânsito.
Proteção de portas e serviços
Os criminosos virtuais exploram os serviços em execução em um sistema, porque
eles sabem que a maioria dos dispositivos executam mais serviços ou programas do
que precisam. Um administrador deve olhar para cada serviço para verificar a sua
necessidade e avaliar o risco. Remova todos os serviços desnecessários.
Um método simples aplicado por muitos administradores para proteger a rede
contra acesso não autorizado consiste em desativar todas as portas não utilizadas
em um switch. Por exemplo, se um switch tem 24 portas e há três conexões Fast
Ethernet em uso, é boa prática desativar as 21 portas não utilizadas.
O processo de ativação e desativação de portas pode consumir muito tempo, mas
aumenta a segurança na rede e compensa o esforço.

Contas privilegiadas
Os criminosos virtuais exploram as contas com privilégios, pois são as contas mais
poderosas da organização. Contas com privilégios têm as credenciais para acessar
sistemas e fornecem acesso elevado e irrestrito. Os administradores usam essas
contas para implantar e gerenciar sistemas operacionais, aplicativos e dispositivos
de rede. A figura resume os tipos de contas com privilégios.
A organização deve adotar as seguintes melhores práticas para proteger as contas
com privilégios:
 Identificar e reduzir o número de contas com privilégios
 Aplicar o princípio de menor privilégio
 Estabelecer um processo de extinção dos direitos, quando os funcionários
saem ou mudam de emprego
 Eliminar contas compartilhadas com senhas que não expiram
 Armazenar a senha de forma segura
 Eliminar as credenciais compartilhadas por vários administradores
 Alterar automaticamente as senhas de contas com privilégio a cada 30 ou 60
dias
 Registro de sessões com privilégios
 Implementar um processo para alterar senhas incorporadas para scripts e
contas de serviço
 Registrar todas as atividades do usuário
 Gerar alertas para comportamento incomum
 Desativar contas inativas com privilégios
 Use a autenticação de vários fatores para todos os acessos administrativos
 Implementar um gateway entre o usuário final e os recursos ativos sensíveis
para limitar a exposição da rede ao malware
Bloquear contas com privilégios é fundamental para a segurança da organização.
Proteger essas contas deve ser um processo contínuo. Uma organização deve
avaliar esse processo para realizar os ajustes necessários para melhorar a
segurança.
Políticas de grupo
Na maioria das redes que usam computadores Windows, um administrador
configura o Active Directory com domínios em um Windows Server. Computadores
Windows são membros de um domínio. O administrador configura uma política de
segurança de domínio que se aplica a todos os computadores que participam do
domínio. As diretivas de contas são configuradas automaticamente, quando um
usuário faz login no Windows.
Quando um computador não faz parte de um domínio do Active Directory, o usuário
configura políticas por meio da Política de Segurança Local do Windows Em todas
as versões do Windows exceto na Home Edition, digite secpol. msc no comando
Executar para abrir a ferramenta de Política de Segurança Local.
Um administrador configura políticas de conta de usuário, como políticas de senha e
políticas de bloqueio, expandindo o menu Políticas de conta > Política de senha.
Com as configurações mostradas na Figura 1, os usuários devem alterar suas
senhas a cada 90 dias e usar essa nova senha por pelo menos um (1) dia. As
senhas devem conter oito (8) caracteres e três das quatro categorias a seguir: letras
maiúsculas, letras minúsculas, números e símbolos. Por último, o usuário pode
reutilizar uma senha somente depois de 24 senhas exclusivas.
Uma política de bloqueio de conta bloqueia um computador por uma período
configurado quando ocorrem muitas tentativas de logon incorretas. Por exemplo, a
política mostrada na Figura 2 permite que o usuário digite o nome de usuário e/ou
senha errados cinco vezes. Depois de cinco tentativas, a conta é bloqueada por 30
minutos. Depois de 30 minutos, o número de tentativas é redefinido para zero e o
usuário pode tentar entrar novamente.
Mais configurações de segurança estão disponíveis ao expandir a pasta Políticas
locais. Uma política de auditoria cria um arquivo de log de segurança usado para
rastrear os eventos listados na Figura 3.

Ativar logs e alertas

Um log registra todos os eventos que ocorrem. Entradas de log compõem um
arquivo de log e uma entrada de log contém todas as informações relacionadas a
um evento específico. Registros relacionados à segurança de computador têm tido
cada vez mais importância.
Por exemplo, um log de auditoria rastreia as tentativas de autenticação do usuário e
um log de acesso fornece todos os detalhes sobre as solicitações para arquivos
específicos de um sistema. O monitoramento dos logs do sistema pode determinar
como um ataque ocorreu e se as defesas implantadas foram bem-sucedidas.
Com o aumento do número de arquivos de log gerados para fins de segurança do
computador, a empresa deve considerar um processo de gerenciamento de logs. O
gerenciamento de logs determina o processo para gerar, transmitir, armazenar,
analisar e eliminar dados do log de segurança do computador.
Logs do sistema operacional
Os logs do sistema operacional registram eventos que ocorrem por causa de ações
operacionais executadas pelo sistema operacional. Eventos do sistema incluem o
seguinte:
 Solicitações do cliente e respostas do servidor, como autenticações de
usuário bem-sucedidas
 Informações de uso que contêm o número e o tamanho das transações em
um determinado período de tempo
Logs de aplicativos de segurança
As empresas usam software de segurança pela rede ou pelo sistema para detectar
atividade mal-intencionada. Esse software gera um log de segurança para fornecer
dados de segurança do computador. Os logs são úteis para a realização de análise
de auditoria e para a identificação de tendências e de problemas no longo prazo. Os
logs também permitem que uma empresa forneça documentação que mostre que
está em conformidade com as leis e os requisitos regulatórios.

Alimentação
Uma questão crítica na proteção de sistemas de informação são os sistemas de
energia elétrica e as considerações sobre energia. Um fornecimento contínuo de
energia elétrica é fundamental nas enormes instalações de armazenamento de
dados e de servidores atuais. Aqui estão algumas regras gerais na construção de
sistemas eficazes de alimentação elétrica:
 Data centers devem estar em uma fonte de alimentação diferente do resto do
edifício
 Fontes de alimentação redundantes: dois ou mais feeds (fontes de
alimentação) provenientes de duas ou mais subestações elétricas
 Condições de alimentação
 Backup de sistemas de energia são, muitas vezes, necessários
 Uma UPS deve estar disponível para sistemas de desligamento normais
Uma organização deve proteger-se de vários problemas, ao projetar seus sistemas
de fornecimento de energia elétrica.
Excesso de energia
 Pico: alta tensão momentânea
 Sobrecarga: alta tensão prolongada
Perda de energia
 Falha: perda momentânea de energia
 Blackout - Perda completa de energia
Degradação de energia
 Sag/dip: baixa tensão momentânea
 Queda de energia: baixa tensão prolongada
 Corrente de Inrush (Pico de Corrente): sobrecarga inicial de energia
Aquecimento, ventilação e ar-condicionado (HVAC)
Sistemas HVAC são críticos para a segurança de pessoas e sistemas de
informação nas instalações da empresa. Ao projetar instalações modernas de TI,
esses sistemas desempenham um papel muito importante na segurança geral.
Sistemas HVAC controlam o meio ambiente (temperatura, umidade, fluxo de ar e
filtragem do ar) e devem ser planejados e operados juntamente com outros
componentes do data center, como hardware de computação, cabeamento,
armazenamento de dados, proteção contra incêndio, sistemas de segurança física e
energia. Quase todos os dispositivos de hardware de computador físicos vêm com
requisitos ambientais que incluem temperatura aceitável e faixas de umidade. Os
requisitos ambientais estão em um documento de especificações do produto ou em
um guia de planejamento físico. É fundamental manter esses requisitos ambientais
para evitar falhas de sistema e prolongar a vida dos sistemas de TI. Sistemas HVAC
comerciais e outros sistemas de gerenciamento de edifício agora se conectam à
Internet para monitoramento e controle remotos. Eventos recentes mostraram que
esses sistemas (geralmente chamados “sistemas inteligentes”) também criam
grandes implicações de segurança.
Um dos riscos associados a sistemas inteligentes é que os indivíduos que acessam
e gerenciam o sistema trabalham para um empreiteiro ou um fornecedor
terceirizado. Como os técnicos de HVAC precisam conseguir encontrar informações
rapidamente, dados vitais tendem ser armazenados em diferentes lugares,
tornando-os acessíveis para um número ainda maior de pessoas. Essa situação
permite que uma ampla gama de indivíduos, inclusive associados de empreiteiros,
obtenham acesso às credenciais de um sistema HVAC. A interrupção desses
sistemas pode representar um risco considerável para a segurança da informação
da empresa.

Monitoramento de hardware
O monitoramento de hardware geralmente é encontrado em grandes parques de
servidores (Server farm). Um parque de servidores (server farm) é uma instalação
que abriga centenas ou milhares de servidores para empresas. A Google tem vários
parques de servidores em todo o mundo para fornecer ótimos serviços. Mesmo as
menores empresas estão construindo parques de servidores locais para abrigar o
número crescente de servidores necessários para a realização de seus negócios.
Sistemas de monitoramento de hardware são usados para monitorar a saúde
desses sistemas e para minimizar o tempo de inatividade do servidor e do aplicativo.
Sistemas de monitoramento de hardware modernos usam portas USB e portas de
rede para transmitir a condição de temperatura da CPU, status da fonte de
alimentação, velocidade e temperatura do ventilador, status da memória, espaço em
disco e status da placa de rede. Sistemas de monitoramento de hardware permitem
que um técnico monitore centenas ou milhares de sistemas em um único terminal.
Como o número de parques de servidores continua a crescer, os sistemas de
monitoramento de hardware se tornaram uma contramedida de segurança
essencial.
Centros de operação
O NOC (Network Operation Center, Centro de operação de rede) é um ou mais
locais que contêm as ferramentas que fornecem aos administradores um status
detalhado da rede da empresa. O NOC é a base da solução de problemas de rede,
monitoramento de desempenho, distribuição e atualizações de software e
gerenciamento de dispositivo.
O SOC (Security Operation Center, Centro de operação de segurança) é um site
dedicado que monitora, avalia e defende os sistemas de informação da empresa,
como sites, aplicações, bancos de dados, data centers, redes, servidores e sistemas
de usuários. Um SOC é uma equipe de analistas de segurança que detecta, analisa,
responde, relata e previne incidentes de segurança cibernética.
Essas duas entidades usam uma estrutura de camadas hierárquicas para processar
eventos. A primeira camada trata todos os eventos e escalona qualquer evento que
não puder processar para a segunda camada. A equipe da camada 2 analisa o
evento em detalhes para tentar resolvê-lo. Se não conseguirem, eles escalonam o
evento para a Camada 3, os especialistas no assunto.
Para medir a eficácia geral de um centro de operação, uma empresa irá realizar
exercícios e treinos realistas. Um exercício de simulação tabletop é um
procedimento estruturado por uma equipe para simular um evento e avalia a eficácia
do centro de operação. Uma medida mais eficaz é simular uma invasão completa,
sem nenhum aviso. Isso envolve o uso de uma equipe vermelha (Red Team), um
grupo de indivíduos independentes que desafia os processos dentro de uma
empresa, para avaliar a eficácia da empresa. Por exemplo, a equipe vermelha deve
atacar um sistema de missão crítica e incluir o reconhecimento e ataque,
escalonamento de privilégios e acesso remoto

Switches, roteadores e dispositivos de rede

Os dispositivos de rede são enviados sem senhas ou com senhas padrão. Altere as
senhas padrão, antes de conectar qualquer dispositivo à rede. Documente as
alterações nos dispositivos de rede e registre as alterações. Por fim, examine todos
os logs de configuração.
As seções a seguir abordam várias medidas que um administrador pode tomar para
proteger vários dispositivos de rede.
Switches
Switches de rede são o coração da rede de comunicação de dados moderna. A
principal ameaça aos switches de rede são roubo, acesso remoto e invasão,
ataques contra os protocolos de rede, como ARP/STP ou ataques contra o
desempenho e a disponibilidade. Várias contramedidas e controles podem proteger
switches de rede, incluindo a melhoria da segurança física, configuração avançada
e a implementação de atualizações e patches adequados do sistema, conforme
necessário. Outro controle eficaz é a implementação da segurança de porta. Um
administrador deve proteger todas as portas do switch (interfaces), antes de
implantar o switch para uso em produção. Uma maneira de proteger as portas
consiste em implementar um recurso chamado segurança de portas. A segurança
de portas limita o número de endereços MAC válidos permitidos em uma porta. O
switch permite o acesso a dispositivos com endereços MAC legítimos, enquanto
nega outros endereços MAC.
VLANs
As VLANs fornecem uma forma de agrupar dispositivos em uma LAN e em switches
individuais. As VLANs usam conexões lógicas em vez de físicas. Portas individuais
de um switch podem ser atribuídas a uma VLAN específica. Outras portas podem
ser usadas para interconectar fisicamente os switches e permitir o tráfego de várias
VLANs entre os switches. Essas portas são chamadas Trunks (troncos).
Por exemplo, o departamento de RH pode precisar proteger dados confidenciais. As
VLANs permitem que um administrador segmente redes com base em fatores como
função, equipe de projeto ou aplicação, sem considerar o local físico do usuário ou
do dispositivo, conforme mostrado na Figura 1. Os dispositivos em uma VLAN
atuam como se estivessem em sua própria rede independente, mesmo que
compartilhem uma infraestrutura comum com outras VLANs. Uma VLAN pode
separar grupos que têm dados confidenciais do resto da rede, diminuindo as
chances de violações de informações confidenciais. Troncos permitem que
indivíduos na VLAN do RH estejam conectados fisicamente a vários switches
diferentes.
Existem muitos tipos diferentes de ataques e vulnerabilidades de VLANs. Eles
podem incluir atacar a VLAN e os protocolos de transporte. Os detalhes desses
ataques estão além do escopo deste curso. Os hackers podem atacar também a
disponibilidade e o desempenho da VLAN. Contramedidas comuns incluem o
monitoramento de alterações e do desempenho da VLAN, configurações avançadas
e aplicações regulares de patches e atualizações do sistema no IOS.
Firewalls
Firewalls são soluções de hardware ou software que aplicam políticas de segurança
de rede. Um firewall filtra a entrada de pacotes não autorizados ou possivelmente
perigosos na rede (Figura 2). Um firewall simples fornece recursos básicos de
filtragem de tráfego usando ACLs (Access Control Lists, Listas de controle de
acesso). Administradores usam ACLs parar interromper o tráfego ou permitir
somente o tráfego autorizado em suas redes. Uma ACL é uma lista sequencial de
instruções de permissão ou de negação que se aplica a endereços ou protocolos.
As ACLs são uma forma poderosa de controle de tráfego dentro e fora da rede. Os
firewalls mantêm ataques fora de uma rede privada e são um alvo comum de
hackers para derrotar as proteções de firewall. A principal ameaça aos firewalls são
roubo, acesso remoto e hacker, ataques contra as ACLs ou ataques contra o
desempenho e a disponibilidade. Várias contramedidas e controles podem proteger
firewalls, incluindo a melhoria da segurança física, configuração avançada, acesso e
autenticação remotos e atualizações e patches adequados do sistema são
necessários.
Roteadores
Os roteadores formam o backbone da Internet e das comunicações entre redes
diferentes. Os roteadores se comunicam para identificar o melhor caminho possível
para entregar o tráfego em redes diferentes. Os roteadores usam protocolos de
roteamento para tomar a decisão de roteamento. Os roteadores também podem
integrar outros serviços, como recursos de switching e firewall. Essas operações
fazem dos roteadores os alvos preferenciais. A principal ameaça aos switches de
rede são roubo, acesso remoto e invasão, ataques contra os protocolos de
roteamento, como RIP/OSPF ou ataques contra o desempenho e a disponibilidade.
Várias contramedidas e controles podem proteger roteadores de rede, inclusive a
melhoria da segurança física, definições de configurações avançadas, uso de
protocolos de roteamento seguros com autenticação e atualizações e patches
adequados do sistema, conforme necessário.

Dispositivos móveis e sem fio

Dispositivos móveis e sem fio se tornaram o tipo predominante de dispositivos na
maioria das redes modernas. Eles fornecem mobilidade e conveniência, mas
também representam uma série de vulnerabilidades. Essas vulnerabilidades incluem
roubo, invasão e acesso remoto não autorizado, sniffing, ataques man in the middle
e ataques contra o desempenho e a disponibilidade. A melhor forma de proteger
uma rede sem fio é usar autenticação e criptografia. O padrão sem fio original,
801.11, introduziu dois tipos de autenticação, como mostrado na figura:
 Autenticação de sistema aberto – Qualquer dispositivo sem fio pode se
conectar à rede sem fio. Use esse método em situações em que a segurança
não seja uma preocupação.
 Autenticação de chave compartilhada – Fornece mecanismos para autenticar
e criptografar dados entre um cliente sem fio e um AP ou um roteador sem
fio.
Estas são as três técnicas de autenticação de chave compartilhada para WLANs:
 WEP (Wired Equivalent Privacy - Privacidade Equivalente à de Redes com
Fios) – Era a especificação 802.11 original que protegia as WLANs.
Entretanto, como a chave de criptografia nunca muda durante a troca de
pacotes, é fácil de invadir.
 WPA (Wi-Fi Protected Access - Acesso Protegido a Wi-FI) – Este padrão usa
WEP, mas protege os dados com um algoritmo de criptografia muito mais
forte: o TKIP (Temporal Key Integrity Protocol - Protocolo de Integridade de
Chave Temporal). O TKIP muda a chave para cada pacote, dificultando o
trabalho dos hackers.
 IEEE 802.11i/WPA2 – O IEEE 802.11i é o padrão do setor em vigor para
proteger WLANs. O 802.11i e o WPA2 usam o AES (Advanced Encryption
Standard, Padrão de criptografia avançada) para criptografia, que atualmente
é o protocolo de criptografia mais forte.
Desde 2006, qualquer dispositivo que utiliza o logo Wi-Fi Certified é um WPA2
certificado. Portanto, as WLANs modernas devem usar sempre o padrão
802.11i/WPA2. Outras contramedidas incluem melhoria na segurança física e
atualizações e aplicações de patches do sistema regularmente nos dispositivos.

Serviços de rede e de roteamento

Os criminosos usam serviços de rede vulneráveis para atacar um dispositivo ou usá-
lo como parte do ataque. Para verificar os serviços de rede não protegidos, verifique
se um dispositivo tem portas abertas usando um scanner de porta. Um scanner de
porta é um aplicativo que verifica se um dispositivo tem portas abertas, enviando
uma mensagem para cada porta e esperando uma resposta. A resposta indica como
a porta é usada. Os criminosos virtuais também irão usar scanners de porta pelo
mesmo motivo. Proteger os serviços de rede garante que somente as portas
necessárias estejam expostas e disponíveis.
Protocolo de Controle Dinâmico de Host (DHCP)
O DHCP usa um servidor para atribuir um endereço IP e outras informações de
configuração automaticamente aos dispositivos de rede. Na realidade, o dispositivo
está obtendo uma permissão do servidor DHCP para usar a rede. Os invasores
podem direcionar os servidores DHCP para negar o acesso a dispositivos na rede.
A Figura 1 fornece uma lista de verificação de segurança para DHCP.
Sistema de Nomes de Domínio (DNS)
O DNS resolve um endereço de URL (Uniform Resource Locator, Localizador de
recursos uniformes) ou de site (http://www.cisco.com) para o endereço IP do site.
Quando os usuários digitam um endereço da Web na barra de endereços eles
dependem de servidores DNS para resolver o endereço IP real desse destino. Os
invasores podem direcionar os servidores DNS para negar o acesso aos recursos
da rede ou redirecionar o tráfego para sites falsos. Clique na Figura 2 para visualizar
uma lista de verificação de segurança para o DNS. Use serviço e autenticação
seguros entre servidores DNS para protegê-los contra esses ataques.
protocolo ICMP
Dispositivos de rede usam ICMP para enviar mensagens de erro como quando um
serviço solicitado não está disponível ou se o host não pode acessar o roteador. O
comando ping é um utilitário de rede que usa o ICMP para testar a acessibilidade de
um host em uma rede. O ping envia mensagens ICMP para o host e aguarda uma
resposta. Os criminosos virtuais podem alterar o uso de ICMP para as finalidades
erradas listadas na Figura 3. Ataques de negação de serviço usam ICMP e, por
isso, tantas redes filtram determinadas solicitações ICMP para impedir esses
ataques.
Protocolo de Informação de Roteamento (RIP)
O RIP limita o número de saltos permitidos em um caminho em uma rede do
dispositivo de origem para o destino. O número máximo de saltos permitidos para o
RIP é 15. O RIP é um protocolo de roteamento usado para trocar informações de
roteamento sobre quais redes cada roteador pode acessar e a que distância estão
essas redes. O RIP calcula a melhor rota, com base na contagem de saltos. A
Figura 4 lista as vulnerabilidades do RIP e as defesas contra ataques ao RIP. Os
hackers podem direcionar roteadores e o protocolo RIP. Ataques em serviços de
roteamento podem afetar o desempenho e a disponibilidade. Alguns ataques podem
resultar, até mesmo, em redirecionamento de tráfego. Use os serviços seguros com
autenticação e implemente patches e atualizações de sistema para proteger
serviços de roteamento como o RIP.
Network Time Protocol (NTP)
É importante ter o horário correto nas redes. Carimbos de data e hora corretos são
necessários para rastrear com precisão os eventos da rede, como as violações de
segurança. Além disso, a sincronização do relógio é fundamental para a
interpretação correta dos eventos nos arquivos de dados syslog, bem como para os
certificados digitais.
O NTP (Network Time Protocol, Protocolo de tempo de rede) é um protocolo que
sincroniza os relógios de sistemas de computadores em redes de dados. O NTP
permite que os dispositivos de rede sincronizem as configurações de hora com um
servidor NTP. A Figura 5 lista os vários métodos usados para fornecer horário
seguro para a rede. Os criminosos virtuais atacam servidores de tempo para
interromper a comunicação segura que depende de certificados digitais e esconder
informações do ataque, como carimbos de data e hora.

Equipamento VoIP
Voz sobre IP (VoIP) usa redes como a Internet para fazer e receber chamadas de
telefone. O equipamento necessário para VoIP inclui uma conexão com a Internet e
um telefone. Várias opções estão disponíveis como configuração do telefone:
 Um telefone tradicional, com um adaptador (o adaptador atua como uma
interface de hardware entre um telefone tradicional, analógico e uma linha
digital VoIP)
 Um telefone ativado para VoIP
 Software VoIP instalado em um computador
A maioria dos serviços de VoIP do consumidor usam a Internet para chamadas de
telefone. Muitas organizações, no entanto, usam suas redes privadas porque elas
fornecem mais segurança e melhor qualidade de serviço. A segurança de VoIP só é
confiável se houver uma segurança de rede subjacente. Os criminosos virtuais
direcionam esses sistemas para obter acesso a serviços de telefone gratuitos,
espionar telefonemas, ou para afetar o desempenho e a disponibilidade.
Implemente as seguintes contramedidas para proteger o VoIP:
 Criptografe os pacotes de mensagens de voz para proteger contra
espionagem.
 Use o SSH para proteger gateways e switches.
 Altere todas as senhas padrão.
 Use um sistema de detecção de invasão para detectar ataques, como
envenenamento ARP.
  Use autenticação forte para mitigar o spoofing de registro (os criminosos
virtuais roteiam todas as chamadas recebidas da vítima para eles),
representação de proxy (engana a vítima para se comunicar com um proxy
falso configurado pelos criminosos virtuais) e sequestro de chamadas (a
chamada é interceptada e reencaminhada para um caminho diferente, antes
de chegar ao destino).
 Implemente firewalls que reconhecem VoIP para monitorar os streams e filtrar
sinais anormais.
Quando a rede cair, as comunicações de voz também cairão.

Biometria
A biometria descreve os métodos automatizados de reconhecimento de um
indivíduo com base em uma característica fisiológica ou comportamental. Sistemas
de autenticação de biometria incluem medições da face, impressão digital,
geometria da mão, íris, retina, assinatura e voz. Tecnologias de biometria podem ser
a base da identificação altamente segura e de soluções de verificação pessoal. A
popularidade e o uso de sistemas de biometria aumentou devido ao aumento do
número de falhas de segurança e de fraudes nas transações. A biometria oferece
transações financeiras confidenciais e privacidade de dados pessoais. Por exemplo,
a Apple usa a tecnologia de impressão digital em seus smartphones. A impressão
digital do usuário desbloqueia o dispositivo e acessa vários aplicativos, como
aplicativos de bancos ou de pagamentos on-line.
Ao comparar sistemas de biometria, há vários fatores importantes a considerar,
incluindo a precisão, a velocidade ou a taxa de transferência, a aceitabilidade pelos
usuários, a singularidade do órgão biométrico e ação, resistência à falsificação,
confiabilidade, requisitos de armazenamento de dados, tempo de inscrição e
invasão da varredura. O fator mais importante é a precisão. A precisão é expressa
em taxas e tipos de erro.
A primeira taxa de erro é erros de tipo I ou rejeições falsas. Um erro de tipo I rejeita
uma pessoa que se registra e é um usuário autorizado. Em controle de acesso, se o
requisito é manter os bandidos afastados, rejeição falsa é o erro menos importante.
No entanto, em muitas aplicações biométricas, rejeições falsas podem ter um
impacto muito negativo no negócio. Por exemplo, um banco ou uma loja de varejo
precisa autenticar o saldo da conta e a identidade do cliente. Rejeição falsa significa
que a transação ou a venda está perdida e o cliente fica chateado. A maioria dos
banqueiros e varejistas estão dispostos a permitir algumas aceitações falsas, desde
que haja um mínimo de rejeições falsas.
A taxa de aceitação é indicada como uma percentagem e é a taxa na qual um
sistema aceita indivíduos que cancelaram a inscrição ou impostores como usuários
autênticos. Aceitação falsa é um erro de tipo II. Erros de tipo II permitem a entrada
de invasores e, portanto, são considerados o erro mais importante em um sistema
de controle de acesso de biometria.
O método mais utilizado para medir a precisão da autenticação de biometria é a
CER (Crossover Error Rate, Taxa de erro de Crossover). A CER é a taxa em que a
taxa de rejeições falsas e a taxa de aceitações falsas são iguais, como mostrado na
figura.