1

ESCOLA DE GUERRA NAVAL

CC Flávio de Queiroz Guimarães

POSSIBILIDADES E LIMITAÇÕES DE EMPREGO DA GUERRA

CIBERNÉTICA NA MB: MÉTRICAS PARA ESTABELECIMENTO DE UMA

CONSCIÊNCIA SITUACIONAL CIBERNÉTICA DO ECIBER-MB

Rio de Janeiro
2018
 CC Flávio de Queiroz Guimarães

POSSIBILIDADES E LIMITAÇÕES DE EMPREGO DA GUERRA

CIBERNÉTICA NA MB: MÉTRICAS PARA ESTABELECIMENTO DE UMA

CONSCIÊNCIA SITUACIONAL CIBERNÉTICA DO ECIBER-MB

Monografia apresentada à Escola de Guerra

Naval, como requisito parcial para a
conclusão do Curso Superior.
Orientador: CF Raphael Corrêa Silva

Rio de Janeiro
Escola de Guerra Naval
2018
 Ao meu filho, João Pedro, que este
trabalho lhe sirva de inspiração futura.
 AGRADECIMENTOS

Aos companheiros do C-Sup 2018, pela camaradagem durante o convívio no

ambiente virtual.
Aos coordenadores e instrutores do C-Sup 2018, pelo apoio às tarefas e
transmissão dos conhecimentos.
Ao meu orientador, Capitão de Fragata Raphael Corrêa Silva, por ter
contribuindo sobremaneira para o aperfeiçoamento deste trabalho, de forma objetiva e
profissional.
À minha família, pela inspiração e estímulo que vocês me deram durante esta
singradura.
Por fim, à Deus, por ter me guiado, mais uma vez, com energia, sabedoria e
equilíbrio para que eu pudesse ter logrado êxito em mais uma meta profissional.
 RESUMO

No complexo espaço cibernético da atualidade, as instituições vêm enfrentando o risco de

ataques cibernéticos cada vez mais sofisticados, exigindo o desenvolvimento de uma
estrutura de defesa cibernética robusta pelos países, vinculando que os analistas de proteção
compreendam a multiplicidade do seu ambiente cibernético, ao estabelecer uma consciência
situacional cibernética. Ao longo dos anos, o setor cibernético brasileiro se consolidou com
metas e diretrizes, através da publicação da Política de Defesa Nacional, Estratégia Nacional
de Defesa, Política Cibernética de Defesa e Doutrina Militar de Defesa Cibernética. Para a
atuação integrada entre as forças, criou-se o Sistema Militar de Defesa Cibernética, onde a
Marinha do Brasil (MB) exerce suas atribuições através da sua estrutura de Defesa e Guerra
Cibernética. No entanto, estima-se que a fragmentação das atribuições entre as OM da MB
nos níveis estratégico, operacional e tático possa contribuir para dificultar o processo
decisório no ambiente cibernético, considerando a quantidade de OM envolvidas e a falta de
métricas de segurança em proveito da consciência situacional cibernética. Neste contexto,
propôs-se a implementação de um mapa mental para os analistas, baseado em questões que
refletem um direcionamento para o desenvolvimento da percepção, compreensão, projeção e
resolução de temas inerentes ao ambiente cibernético. Ademais, uma vez que as questões do
mapa mental sejam subjetivas, propôs-se medir quantitativamente a postura de segurança
através de métricas de segurança, divididas nas categorias de defesa de perímetro, cobertura
e controle, disponibilidade e confiabilidade e recuperação de sistemas. Não obstante, estima-
se que implementar um modelo mental e métricas de segurança não seja suficiente para
estabelecer uma consciência situacional cibernética plena aos analistas de proteção. Perdura
ainda um esforço ainda maior, de forma a superar os desafios da complexidade das redes de
computadores, da evolução tecnológica, da grande quantidade de alertas falsos positivos, da
detecção de um ataque em tempo real e da grande quantidade de potenciais vetores de
ataque.

Palavras-chave: Defesa cibernética. Guerra cibernética. Consciência situacional cibernética.

Métricas de segurança.
 LISTA DE ILUSTRAÇÕES

Figura 1 - Níveis decisórios do SMDC em função das ações.................................................32

Figura 2 - Organograma do Sistema Militar de Defesa Cibernética (SMDC)........................32
Figura 3 - Organograma da Estrutura de Defesa e Guerra Cibernética da MB......................33
Figura 4 - Modelo de Endsley................................................................................................33
Quadro 1 - Modelo mental......................................................................................................34
Quadro 2 - Métricas para os sistemas de anti-spam...............................................................34
Quadro 3 - Métricas para softwares antivírus.........................................................................35
Quadro 4 - Métricas de firewall e perímetro de rede..............................................................35
Quadro 5 - Métricas de Intrusion Prevention System.............................................................36
Quadro 6 - Métricas de cobertura de antivírus.......................................................................36
Quadro 7 - Métricas de gerenciamento de atualizações.........................................................36
Quadro 8 - Métricas de configurações de máquinas...............................................................37
Quadro 9 - Métricas de gerenciamento de vulnerabilidades..................................................37
Quadro 10 - Métricas de disponibilidade................................................................................38
Quadro 11 - Métricas de recuperação de sistemas..................................................................38
 SUMÁRIO

1 INTRODUÇÃO.............................................................................................................7
1.1 Problema..........................................................................................................................8
1.2 Justificativa......................................................................................................................8
1.3 Objetivo Geral e Específico............................................................................................9
1.4 Método de Pesquisa.........................................................................................................9
1.5 Estrutura do Trabalho......................................................................................................9

2 ESTRUTURA DE SEGURANÇA, DEFESA E GUERRA CIBERNÉTICA.........10

2.1 A Evolução do Setor Cibernético Brasileiro.................................................................10
2.2 O Sistema Militar de Defesa Cibernética (SMDC).......................................................13
2.3 A Estrutura de Defesa e Guerra Cibernética no Âmbito da MB...................................14

3 CONSCIÊNCIA SITUACIONAL CIBERNÉTICA (CSCIBER)...........................16

3.1 A Definição de Consciência Situacional na Literatura..................................................16
3.2 A Consciência Situacional Cibernética no Âmbito do MD...........................................17
3.3 O Estabelecimento de uma CSCiber na MB.................................................................18

4 MÉTRICAS DE SEGURANÇA PARA CSCIBER..................................................20

4.1 A Definição de Métrica de Segurança...........................................................................20
4.2 As Métricas de Segurança para a Consciência Situacional Cibernética da MB ..........20
4.2.1 Métricas de Defesa de Perímetro...................................................................................21
4.2.2 Métricas de Cobertura e Controle .................................................................................22
4.2.3 Métricas de Disponibilidade e Confiabilidade .............................................................24
4.2.4 Métricas de Recuperação de Sistemas ..........................................................................24

5 DESAFIOS PARA A MANUTENÇÃO DE UMA CSCIBER..................................25

5.1 As Dificuldades a Serem Superadas .............................................................................25

6 CONCLUSÃO.............................................................................................................26

REFERÊNCIAS..........................................................................................................28

ANEXOS .....................................................................................................................32
 7
1 INTRODUÇÃO

A constante evolução no desenvolvimento tecnológico vem causando impactos

substanciais na Tecnologia da Informação e Comunicações (TIC). Estes avanços vêm
aumentando a dependência das instituições sobre seus Ativos de Informação 1, expandindo a
superfície de ataque2 ao Espaço Cibernético3 (ECiber). Como consequência, as Forças
Armadas (FA), sobretudo a dos países mais desenvolvidos, vêm incrementando suas
capacidades de defesa contra as Ameaças Cibernéticas4 iminentes neste novo domínio da
guerra, uma vez que, as ações de Ataque Cibernético 5 contra as Infraestruturas Críticas6 de
uma instituição ou país mostram-se viáveis. Para um gerenciamento efetivo dessa capacidade,
as organizações precisam entender a complexidade de seu ECiber, mantendo uma Consciência
Situacional7 (CS) do ambiente cibernético, denominada Consciência Situacional Cibernética
(CSCiber), contribuindo assim, para determinação do impacto de um Incidente de Segurança 8,
provocado a partir de ações ofensivas de Guerra Cibernética9 (GC).
Manter a proteção contra ameaças de diferentes níveis de sofisticação é uma
atividade desafiadora. Embora já exista a maioria dos arcabouços técnicos essenciais, há uma
falta de compreensão sobre como adotar e apresentar as informações relevantes coletadas no
ECiber, visando estabelecer uma CSCiber e fornecer uma base sólida ao processo decisório.

1 Meios de armazenamento, transmissão e processamento de dados e informação, os equipamentos necessários

a isso (computadores, equipamentos de comunicações e de interconexão), os sistemas utilizados para tal, os
sistemas de informação de um modo geral, bem como os locais onde se encontram esses meios e as pessoas
que a eles têm acesso (BRASIL, 2014b, p.18).
2 Formas de empreender com sucesso as ações ofensivas contra um ativo informacional. Quanto menor essa
superfície, mais robusta será a infraestrutura de segurança dos ativos da organização.
3 Espaço virtual, composto por dispositivos computacionais conectados em redes ou não, onde as informações
digitais transitam, são processadas e/ou armazenadas (BRASIL, 2014b, p. 18).
4 Causa potencial de um incidente, que pode resultar em dano ao ECiber de interesse (BRASIL, 2014b, p. 18).
5 Ações para interromper, negar, degradar, corromper ou destruir informações ou sistemas computacionais
armazenados em dispositivos e redes computacionais e de comunicações do oponente (BRASIL, 2014b, p.
23).
6 Instalações, serviços, bens e sistemas que, se tiverem seu desempenho degradado, ou se forem interrompidos
ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e
da sociedade (BRASIL, 2014b, p. 19).
7 Percepção precisa e atualizada do ambiente operacional no qual se atuará, reconhecendo a importância de
cada elemento percebido em relação à missão atribuída. É a perfeita sintonia entre a situação percebida e a
situação real, proporcionando ao comandante melhores condições para decidir (BRASIL, 2011, p.39).
8 Evento ou uma série de eventos, sequenciais ou não, de segurança da informação indesejados ou inesperados,
por agentes internos ou externos, voluntários ou não, que tenham probabilidade de comprometer um ativo de
informação (BRASIL, 2011, p.39).
9 Uso ofensivo e defensivo de informação e sistemas de informação para negar, explorar, corromper, degradar
ou destruir capacidades de C² do adversário, no contexto de um planejamento militar de nível operacional ou
tático ou de uma operação militar (BRASIL, 2014b, p. 19).
 8
1.1 Problema
A composição do ECiber de Interesse da Marinha do Brasil (ECiber-MB) envolve
a topologia complexa da Rede de Comunicações Integradas da Marinha 10 (RECIM),
compreendida em um ambiente de rápida evolução tecnológica. À medida que o cumprimento
da missão da Marinha do Brasil (MB) demanda por serviços de TIC de alta efetividade,
ocorre naturalmente uma ampliação do seu ECiber. O intervalo entre uma ação de ataque
cibernético e seu efeito desejado é potencialmente curto, evidenciando a necessidade de um
rápido processo de tomada de decisão na GC, em prol da proteção dos Ativos de Informação
de interesse da MB. Nesse contexto, considerando o ponto de vista da Defesa Cibernética 11
na Marinha, de forma a proporcionar o apoio ao processo de tomada de decisão, é possível
identificar e padronizar as métricas de segurança12 para a obtenção de uma Consciência
Situacional do ambiente cibernético da MB?

1.2 Justificativa
Em 2012, um estudo da Força Aérea dos Estados Unidos da América (EUA) sobre
operações cibernéticas com um horizonte para 2025, concluiu que a Força não possuía uma
CSCiber, a qual consideraram como um dos pré-requisitos para a garantia do seu ECiber.
(ESTADOS UNIDOS, 2012, p. 32). Em 2016, o Exército dos EUA fundamentou que, para
manter uma vantagem no ECiber, é preciso entender como e quando os adversários
empregarão suas capacidades cibernéticas contra a Força e quais ações devam ser tomadas
com efetividade para atenuar as consequências de um ataque. Além disso, consideram que a
consciência situacional compartilhada do ECiber é um dos elementos principais para as
operações cibernéticas conjuntas, juntamente com a defesa de perímetro, análise de ameaças
externas, monitoramento das ameaças internas, assistência à equipe de defesa e ataque,
monitoramento das comunicações e forense computacional (MARTIN; KAEMMER, 2016,
p.72).
A manutenção de uma consciência situacional do ambiente cibernético contribui
para as ações de proteção do ECiber-MB, uma vez que é preciso conhecer as

10 Conjunto de elementos computacionais, organizados em rede, que compõem a infraestrutura responsável pelo
tráfego de informações (digitais e analógicas) no âmbito da MB (BRASIL, 2017b, p. 3-1).
11 Conjunto de ações ofensivas, defensivas e exploratórias, realizadas no ECiber, no contexto de um
planejamento nacional de nível estratégico, coordenado e integrado pelo MD, com as finalidades de proteger
os sistemas de informação de interesse da Defesa Nacional, obter dados para a produção de conhecimento de
Inteligência e comprometer os sistemas de informação do oponente (BRASIL, 2014b, p. 18).
12 Métrica é uma medida sistemática relacionada à quantificação de alguma característica. Medida é uma
dimensão comparada a um padrão. Métrica de segurança é uma dimensão sistemática relacionada à
quantificação do grau da possibilidade de sofrer um dano ou perda por um ataque cibernético (ABBADI,
2007, p. 2).
 9
vulnerabilidades, ameaças e riscos inerentes aos ativos informacionais afetados pela GC.
Assim, faz-se necessário identificar os elementos que integram uma Consciência Situacional
Cibernética a partir de métricas de segurança previamente definidas.

1.3 Objetivo Geral e Específico

O objetivo geral deste estudo é identificar os motivos que fazem com que o
desenvolvimento de uma consciência situacional do ambiente cibernético seja tão crítico para
uma defesa efetiva do ECiber-MB. Buscando fundamentar o alcance do objetivo geral, de
forma a organizar o encadeamento lógico de raciocínio, os seguintes objetivos específicos
foram definidos: a) identificar a organização da estrutura de segurança, defesa e guerra
cibernética brasileira no âmbito do MD; b) analisar como a MB está inserida na estrutura do
setor cibernético do MD, nos níveis estratégico, operacional e tático; c) identificar o conceito
de Consciência Situacional Cibernética na literatura técnica e no âmbito do MD; d) identificar
as métricas de segurança que possam contribuir para o desenvolvimento de uma consciência
situacional cibernética pelo analista de proteção cibernética da MB; e e) identificar os desafios
a serem superados para a obtenção de uma consciência situacional cibernética plena.

1.4 Método de Pesquisa

Esta apreciação foi elaborada a partir de fundamentos técnicos, com base em
pesquisa bibliográfica e documental, compreendendo as técnicas de coleta de material de
estudo a partir da Internet, por meio de normas, doutrinas, documentos oficiais e artigos
acadêmicos.

1.5 Estrutura do Trabalho

Para orientar a leitura e compreensão, facilitando a percepção do raciocínio
exposto, este trabalho está dividido em cinco capítulos, iniciando-se por esta Introdução,
como estímulo à compreensão dos aspectos abordados. O Capítulo 2 apresenta os conceitos
ligados à estrutura de segurança, defesa e guerra cibernética, enquanto o Capítulo 3 aponta
para os conceitos e análises relacionadas à Consciência Situacional Cibernética. No Capítulo
4 se propõe as métricas de segurança para uma consciência situacional inicial do ECiber-MB.
Por fim, no Capítulo 5, conclui-se esta exposição evocando os assuntos abordados,
relacionando com os desafios para o estabelecimento de uma Consciência Situacional
Cibernética plena.
 10
2 ESTRUTURA DE SEGURANÇA, DEFESA E GUERRA CIBERNÉTICA

A composição do arcabouço normativo sobre Segurança, Defesa e Guerra

Cibernética, desafios do século XXI, vem se destacando como uma função estratégica de
Estado, sendo essenciais para um planejamento de uma operação militar. O Brasil, no decorrer
dos últimos dez anos, organizou o setor através de diretrizes, que culminaram na criação de
um sistema de defesa cibernética conjunta.

2.1 A Evolução do Setor Cibernético Brasileiro

O Setor Cibernético Brasileiro vem estruturando-se ao longo dos últimos anos,
através de políticas, estratégias, doutrinas, normatizações, procedimentos e pela centralização
da coordenação do setor cibernético.
Em 2005, publicou-se a Política de Defesa Nacional (PDN), definindo como uma
das diretrizes estratégicas, o aperfeiçoamento dos dispositivos e procedimentos de segurança
que possam reduzir a vulnerabilidade dos sistemas relacionados à Defesa Nacional contra
ataques cibernéticos, apontando para a necessidade de se constituir uma Doutrina Cibernética
Brasileira (BRASIL, 2005).
Em 2008, publicou-se a Estratégia Nacional de Defesa (END), com ênfase na
exigência de uma conduta de Segurança Cibernética das infraestruturas críticas, em especial,
nos setores de energia, transporte, abastecimento de água e telecomunicações. Além disso,
apontou a necessidade de redução das vulnerabilidades dos sistemas relacionados à Defesa
Nacional, contra ataques cibernéticos. A END também estabeleceu como diretriz estratégica
que o Comando do Exército ficaria responsável pela coordenação e integração das ações de
defesa cibernética no âmbito das Forças Armadas, contribuindo para a formulação da política
e doutrina de defesa no setor cibernético, enquanto o Comando da Marinha ficaria
responsável pelo setor nuclear e o Comando da Força Aérea Brasileira, pelo setor espacial
(BRASIL, 2008).
Em 2010, criou-se o Centro de Defesa Cibernética 13 (CDCiber), na estrutura do
Comando do Exército, responsável por coordenar e integrar as atividades de defesa
cibernética, no âmbito do Ministério da Defesa (MD), promovendo ações que atendam ao
preconizado na END, com ênfase na atuação em rede e na redução das vulnerabilidades

13 Ao CDCiber compete assessorar o Comandante do Exército e o Ministro da defesa nas atividades do setor
cibernético, formular doutrina, planejar, orientar e controlar as atividades operacionais, doutrinárias e de
desenvolvimento das capacidades cibernéticas, assim como executar atividades de exploração cibernética, em
conformidade com as políticas e diretrizes do MD (BRASIL, 2015d).
 11
contra ataques cibernéticos (BRASIL, 2013).
Naquele mesmo ano, o Gabinete de Segurança Institucional da Presidência da
República14 (GSI/PR) publicou o Livro Verde sobre Segurança Cibernética 15, estabelecendo as
diretrizes para a futura elaboração do Livro Branco da Política Nacional de Segurança
Cibernética. O Livro Verde fomentou a articulação de acordos internacionais, com o objetivo
de incrementar a Segurança Cibernética, a capacidade de defesa e dissuasão e propôs o
estabelecimento de uma Política Nacional de Segurança das Infraestruturas Críticas 16.
(MANDARINO JUNIOR; CANONGIA, 2010, p. 12).
Em 2011, o MD estabeleceu a Doutrina de Operações Conjuntas, incluindo a
concepção do emprego das FA nas Operações Conjuntas e a sistemática de planejamento de
emprego conjunto, considerando a Defesa Cibernética dentre as demais áreas. A doutrina
enfatizou a denominação de Defesa Cibernética para ações afetas ao nível estratégico e
Guerra Cibernética, quando o nível de decisão for o operacional ou tático (BRASIL, 2011, p.
55).
Em 2012, publicou-se o Livro Branco de Defesa Nacional (LBDN) como um
documento público, em forma de livro, expondo a visão do Governo Federal sobre o tema da
defesa, a ser apresentado à comunidade nacional e internacional. Dentre os projetos
atribuídos, destaca-se a necessidade de implementar um Sistema de Proteção Cibernética,
compondo-se: por uma estrutura de planejamento e execução de Segurança Cibernética, uma
estrutura de pesquisa científica na área, uma estrutura de capacitação e preparo e emprego
operacional às necessidades do setor cibernético (BRASIL, 2012a, p. 125).
Ainda em 2012, publicou-se a Política Cibernética de Defesa, destacando-se os
objetivos de assegurar, de forma conjunta, o uso efetivo do ECiber, o preparo e emprego
operacional pelas FA e impedir sua utilização por interesses contrários à Defesa Nacional.
Apontou-se para a necessidade de capacitar e gerir talentos humanos para a condução das
atividades do setor cibernético no âmbito do MD; e contribuir para a segurança dos ativos de
informação da Administração Pública Federal (APF), no que se refere à Segurança
Cibernética, situados fora do âmbito do MD (BRASIL, 2012b, p. 13). Esta Política orientou

14 Ao GSI/PR compete definir requisitos metodológicos para a implementação de ações de segurança da

informação e comunicações, incluídas as de segurança cibernética e de segurança das infraestruturas críticas
da informação do Estado, pelos órgãos e entidades da APF (BRASIL, 2017d).
15 Segurança Cibernética é a arte de assegurar a existência e a continuidade da sociedade da informação de uma
nação, garantindo e protegendo, no Espaço Cibernético, seus ativos de informação e suas infraestruturas
críticas. (BRASIL, 2014b, p.19).
16 Infraestruturas críticas são instalações, serviços, bens e sistemas que, se tiverem seu desempenho
degradado,ou se forem interrompidos ou destruídos, provocarão sério impacto social, econômico,político,
internacional ou à segurança do Estado e da sociedade (BRASIL, 2014b, p. 19).
 12
as áreas de Defesa Cibernética e GC, no nível estratégico, operacional e tático, no âmbito das
FA. As diretrizes definidas pelo documento serviram de referência para as ações de proteção
cibernética nos grandes eventos sediados no país: a Copa das Confederações (2013), a Copa
do Mundo de Futebol (2014) e os Jogos Olímpicos do Rio (2016). Ademais, o documento
concebeu a implantação do Sistema Militar de Defesa Cibernética (SMDC), prevendo contar
com a participação de civis e militares das FA, estabelecendo como diretriz, a criação da
estrutura de coordenação e integração do Setor Cibernético no âmbito do MD, como órgão
central do SMDC (BRASIL, 2012b, p. 15).
Em 2014, o MD implantou medidas para potencialização da Defesa Cibernética
Nacional, através da criação do Comando de Defesa Cibernética 17 (ComDCiber) e da Escola
Nacional de Defesa Cibernética18 (ENaDCiber), ambos na estrutura do Comando do Exército,
composto por militares das três FA, cabendo ao Estado Maior Conjunto das Forças Armadas
(EMCFA) as atividades de coordenação nos casos de operações conjuntas (BRASIL, 2014, p.
12).
Naquele mesmo ano, foi publicada a Doutrina Militar de Defesa Cibernética,
visando estabelecer uma unidade de pensamento sobre o assunto, no âmbito do MD,
contribuindo para a atuação conjunta das FA na defesa do ECiber brasileiro. Além das
definições dos conceitos relacionados à área cibernética, estabeleceu-se a concepção do
SMDC, como a estrutura essencial de proteção cibernética conjunta do Sistema Militar de
Comando e Controle19 (SISMC²). O SMDC ficaria sendo o responsável por coordenar e
integrar a proteção das infraestruturas críticas de informação de interesse da Defesa Nacional,
definidas pelo MD (BRASIL, 2014b).
Em 2016, o MD propôs a revisão da PND, END e LBDN, sendo encaminhadas
para apreciação do Congresso Nacional. As minutas das publicações foram disponibilizadas
para consulta pública em 2017. O objetivo é permitir o acesso da comunidade acadêmica e da
sociedade, às principais ideias e aos novos conceitos apresentados na proposta atual dos
documentos. A edição definitiva depende da apreciação pelo Congresso Nacional e sua
posterior aprovação por Decreto Presidencial (BRASIL, 2018b).

17 O ComDCiber é o órgão central do SMDC, responsável pela coordenação e integração dos componentes das
forças singulares, buscando viabilizar o exercício do Comando e Controle (C²), por meio da proteção dos
ativos de informação, além de negar o exercício de C² ao oponente (BRASIL, 2017c, p. 1).
18 A ENaDCiber possui a missão de fomentar e disseminar as capacitações necessárias à Defesa Cibernética, no
âmbito da Defesa Nacional, bem como contribuir com as áreas de pesquisa, desenvolvimento, operação e
gestão de Defesa Cibernética e para a melhoria da qualificação da mão de obra nacional para o setor.
(BRASIL, 2018a).
19 Conjunto de instalações, equipamentos, sistemas de informação, comunicações, doutrinas, procedimentos e
pessoal essenciais ao Comando e Controle, visando atender ao Preparo e ao Emprego das FA. (BRASIL,
2015c , p. 14).
 13

2.2 O Sistema Militar de Defesa Cibernética (SMDC)

O Setor Cibernético nacional envolve a atuação integrada de vários órgãos, sejam
civis ou militares, atuando em operações em um ambiente interagências, conforme previsto na
Doutrina Militar de Defesa Cibernética (BRASIL, 2014b).
O SMDC (BRASIL, 2014b, p. 25) é definido como um conjunto de tecnologias,
procedimentos e pessoal essenciais para a defesa do ECiber, assegurando, de forma conjunta,
o seu uso efetivo pelas FA, bem como impedir ou dificultar sua utilização por interesses
contrários à Defesa Nacional. Considerando sua visão sistêmica, os níveis de decisão do
SMDC são divididos em político, estratégico, operacional e tático. Conforme ilustrado pela
FIG. 1 do ANEXO A, aplica-se: ao nível político, o conceito de Segurança Cibernética; ao
nível estratégico, o conceito de Defesa Cibernética; e aos níveis operacional e tático o
conceito de Guerra Cibernética.
O nível político, ilustrado pela FIG. 2 do ANEXO A, estabelece os objetivos
políticos do planejamento, preparo e emprego conjunto das FA, orienta e conduz o processo
global da conquista ou da manutenção desses objetivos, decidindo sobre a possibilidade de
emprego das FA (BRASIL, 2011, p. 21). Este nível abrange as ações de Segurança da
Informação e Comunicações20 (SIC) e Segurança Cibernética, cujos principais atores são a
Presidência da República (PR) e o Comitê Gestor da Internet no Brasil (CGI.br) (BRASIL,
2014b, p. 25). Na PR, o Gabinete de Segurança Institucional (GSI/PR) é o coordenador, no
âmbito da APF, dos assuntos estratégicos relacionados à segurança da sociedade e do Estado.
O nível estratégico, ilustrado pela FIG. 2 do ANEXO A, é fundamentado nos
documentos de mais alto nível do País, como a Constituição Federal, a PDN, a END e as Leis
Complementares (LC) que tratam da organização, do preparo e do emprego das Forças
Armadas. Este nível abrange as ações de Defesa Cibernética a cargo: do ComDCiber; dos
Comandos das FA, por intermédio de suas respectivas Estruturas de Defesa Cibernética
(EttaDefCiber); do Centro de Tratamento de Incidentes de Redes do Governo Federal
(CTIR.gov) e outras instituições parceiras (BRASIL, 2014b, p. 25). O ComDCiber, como
órgão central do SMDC, mantém o canal técnico para coordenação e integração com os
órgãos de interesse envolvidos nas atividades de GC.
O nível operacional, ilustrado pela FIG. 2 do ANEXO A a cargo do Comando
Operacional do SMDC e do Estado Maior Conjunto (EMCj), quando ativados (BRASIL,

20 Ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a

autenticidade de dados e informações (BRASIL, 2014b , p. 19).31-m-07)
 14
2014b, p. 25), abrange as ações de GC, sejam elas: Ataque, Exploração e Proteção
Cibernética. O Ataque Cibernético (BRASIL, 2014b, p. 23) compreende as técnicas para
interromper, negar, degradar, corromper ou destruir informações ou sistemas computacionais
armazenados em dispositivos e redes computacionais e de comunicações do oponente. A
Exploração Cibernética (BRASIL, 2014b, p. 25) consiste em técnicas de busca ou coleta, nos
sistemas de TIC de interesse, com o fito de obter a consciência situacional do ambiente
cibernético, subsidiar ações de ataque cibernético e contribuir para a produção de
conhecimento de Inteligência. A Proteção Cibernética (BRASIL, 2014b, p. 25) é uma
atividade de caráter permanente, que abrange as ações para neutralizar os ataques e as
explorações cibernéticas contra os dispositivos computacionais, redes de computadores e de
comunicações de interesse. Diferentemente do Ataque e Exploração, os quais são utilizados
apenas por técnicas, as tarefas de Proteção Cibernética são providas por técnicas e processos,
sejam eles: gestão de riscos, consciência situacional, defesa ativa, pronta resposta, forense
digital, teste de artefatos cibernéticos, conformidade de SIC, gestão de incidentes de redes,
controle de acesso, proteção das comunicações, emprego de criptografia, controles de
segurança, segurança física, gestão de continuidade da missão e recuperação de desastres
(BRASIL, 2017c, p. 4-4)
O nível tático, ilustrado pela FIG. 2 do ANEXO A, abrange as ações de GC, a
cargo das Forças Componentes das FA, com suas Estruturas de Guerra Cibernética
(EttaGCiber) (BRASIL, 2014b, p. 25) e as seguintes estruturas quando ativadas: o
Destacamento Conjunto de Guerra Cibernética (DstCjGCiber), em caso de não guerra ou a
Força Conjunta de Guerra Cibernética (FCjGCiber), em caso de guerra. São possibilidades de
emprego do Destacamento/Força no ECiber de interesse (BRASIL, 2014b, p. 30): identificar,
analisar e recomendar a mitigação das vulnerabilidades conhecidas; estudar as ameaças e
entender seu impacto; verificar a conformidade de SIC; e planejar e executar ações
cibernéticas no contexto da operação conjunta, com apoio dos órgãos de Defesa Cibernética
das FA em cumprimento às orientações e diretrizes emanadas do Comando Operacional.

2.3 A Estrutura de Defesa e Guerra Cibernética no Âmbito da MB

O Setor Cibernético da MB, uma vez que é aderente ao SMDC, possui a estrutura
organizacional cibernética, orientada ao processo decisório, dividida em níveis estratégico,
operacional e tático, envolvendo a atuação integrada de várias Organizações Militares (OM),
conforme ilustrado pela FIG. 3 do ANEXO A.
O nível estratégico é constituído pelo Estado Maior da Armada (EMA), o
 15
Conselho de Tecnologia da Informação da Marinha (COTIM), a Comissão Técnica de
Tecnologia da Informação e Comunicações (COTEC-TIC) e a Diretoria Geral do Material da
Marinha (DGMM). Ao EMA, compete a gestão estratégica da TI na MB em no atendimento
ao preconizado no Sistema de Planejamento de Alto Nível da Marinha (SPAN),
regulamentado por aquele Estado-Maior, estabelecendo o Plano Estratégico da Marinha
(PEM), ao qual fundamenta todo o planejamento institucional. De acordo com as diretrizes
estabelecidas pelo PEM, o COTIM, autoridade de TI da MB, elabora o Plano Estratégico de
TI da Marinha (PETIM), com horizonte temporal de quatro anos (BRASIL, 2015a, p. 2). Ao
COTIM, apoiado tecnicamente pela COTEC-TIC, compete assessorar o Comandante da
Marinha no trato dos assuntos relacionados à Governança da TI na MB, que envolvam a
participação dos Órgãos de Direção Setorial (ODS) de uma forma coordenada (BRASIL,
2007, p. 3-2). À DGMM, é atribuída a competência de atuar como órgão de supervisão
funcional da execução das deliberações do COTIM pela DCTIM (BRASIL, 2017, p. 1-2).
No nível estratégico, operacional e tático, atuam a Diretoria de Comunicações e
Tecnologia da Informação da Marinha (DCTIM) e o Comando de Operações Navais
(ComOpNav). A DCTIM atua como diretoria especializada e órgão executor das deliberações
do COTIM, com o propósito garantir a defesa do ECiber-MB. Ao ComOpNav, compete,
através da Subchefia de Inteligência Operacional (CON-20), assessorar o Comandante de
Operações Navais (CON) nos assuntos de GC (BRASIL, 2015b, p. 145).
No nível operacional e tático, atua o Centro de Tecnologia da Informação da
Marinha (CTIM), ao gerenciar e executar, sob a supervisão da DCTIM, as atividades de GC e
tratamento de incidentes de rede (BRASIL, 2017b, p. 1-3).
No nível tático, atuam os Centros Locais de Tecnologia da Informação (CLTI),
como elementos organizacionais de apoio ao CTIM na resolução de incidentes de redes e nas
ações de proteção cibernética, nos locais sob sua área de jurisdição.
A evolução do setor cibernético brasileiro e a criação do SMDC permitiu a
estruturação do setor no âmbito do MD, definindo o ComDCiber como órgão centralizador,
através da sua coordenação e integração entre as FA. Em contrapartida, percebe-se uma
descentralização do setor cibernético na MB, onde as atribuições da EttaDefCiber (nível
estratégico) são confiadas ao EMA, COTIM, COTEC-TIC, ComOpNav, DGMM e DCTIM,
enquanto as atribuições da EttaGCiber (nível tático) são confiadas à DCTIM, ComOpNav,
CTIM e CLTI. Destarte, julga-se que esta fragmentação de atribuições entre diversas OM
pode contribui para dificultar o processo decisório na MB, ao atuar de forma conjunta sob a
estrutura do SMDC, considerando a quantidade de OM envolvidas e a falta de métricas de
 16
segurança em proveito da CSCiber-MB.

3 CONSCIÊNCIA SITUACIONAL CIBERNÉTICA

Embora venha ocorrendo uma evolução do setor cibernético das nações ao longo
dos anos, as ameaças ao ECiber vêm gradativamente incrementando a sofisticação e a
complexidade dos ataques, sendo necessário um maior esforço durante um possível conflito
cibernético. Antes que as ações de Proteção Cibernética possam ser executadas, é preciso
obter e manter uma Consciência Situacional (CS) do ambiente operacional cibernético,
denominada Consciência Situacional Cibernética (CSCiber), que permita identificar,
compreender e antecipar a evolução dessas ameaças.

3.1 A Definição de Consciência Situacional na Literatura

Apesar das diferentes interpretações de CS identificadas na literatura (STANTON
et al., 2001, p. 3), a definição amplamente utilizada, em função da sua divisão em níveis, é
aquela que a descreve como: “a percepção dos elementos no ambiente, dentro de um volume
de tempo e espaço; a compreensão de seu significado; e a projeção de seu status no futuro
próximo” (ENDSLEY, 1995, p. 36). Com base nesta definição, a CS é composta por um nível
1 (percepção), nível 2 (compreensão) e nível 3 (projeção), que se alimentam diretamente do
ciclo de decisão e ação, denominado Modelo de Endsley, conforme ilustrado pela FIG. 4 do
ANEXO A.
A Percepção envolve a detecção sensorial de informações significativas sobre o
ambiente em que ele está operando. Considerando o ambiente cibernético, os analistas de
proteção precisam perceber as alterações relevantes no ECiber, seja de forma manual ou
automática, incluindo a percepção dos nós21 críticos da rede, protocolos22 e logs23.
A Compreensão envolve a assimilação do significado ou da importância dessas
informações em relação aos objetivos a serem alcançados. Este nível é denominado de
Entendimento da Situação e envolve o “e daí” das informações percebidas. Considerando o
ambiente cibernético, os analistas de proteção precisam entender as causas que tornam um nó
da rede vulnerável, entender a assinatura de um ataque24, quais eventos isolados podem estar

21 Ativo de informação conectado à rede de computadores.

22 Convenção ou padrão que controla e possibilita uma conexão, comunicação ou transferência de dados entre
dois sistemas computacionais.
23 Registro histórico das atividades de um dispositivo computacional.
24 Tráfego de pacotes de dados com conteúdo que utiliza padrões específicos de bytes, podendo ser comparado
com um padrão já conhecido como malicioso.
 17
inter-relacionados, o efeito de um determinado evento nas operações atuais e a priorização
correta de eventos concorrentes.
A Projeção, o nível mais alto de CS, consiste no planejamento das informações
adiante no tempo, determinando como elas afetarão os estados futuros do ambiente
operacional. Considerando o ambiente cibernético, os analistas de proteção precisam projetar
o impacto de uma atividade identificada como maliciosa sobre outros sistemas ou sua
consequência ao se propagar através da rede.
Além dos níveis de Percepção, Compreensão e Projeção, previstos no Modelo de
Endsley, foi proposta a inclusão do nível de Resolução (MCGUINNESS; FOY, 2000), visando
identificar qual o melhor método a seguir para alcançar a mudança de estado da situação em
que se encontra para uma situação desejada.
Conforme exposto, uma vez que o conceito de CS não depende do tipo do
ambiente operacional, julga-se apropriada a adequação dos seus níveis ao ambiente
operacional cibernético, estabelecendo uma CSCiber. Por conseguinte, pode-se representar a
CSCiber como a percepção, compreensão, projeção e resolução inerentes ao ambiente
operacional cibernético, contribuindo para o processo de tomada de decisão, nas ações de
proteção cibernética.

3.2 A Consciência Situacional Cibernética no Âmbito do MD

Considerando as operações conjuntas e a manutenção da CS, todos os níveis
decisórios do MD são permeados pelos sistemas de TIC, visando assegurar o fluxo de
informações e contribuir para a interoperabilidade entre as FA. A importância da CSCiber é
destacada no Livro Verde de Segurança Cibernética, na Doutrina de Operações Conjuntas, na
Política de Defesa Cibernética e na Doutrina Militar de Defesa Cibernética.
O Livro Verde de Segurança Cibernética (MANDARINO JUNIOR; CANONGIA,
2010, p.44) previa a necessidade de desenvolvimento de um programa de inclusão digital que
incorporasse a CSCiber sobre ameaças e segurança cibernética, no curto e médio prazo.
A Doutrina de Operações Conjuntas (BRASIL, 2011, p. 39), considerando o
ambiente operacional cibernético, definiu CSCiber como a percepção precisa e atualizada do
ECiber no qual se atuará, e no reconhecimento da importância de cada elemento percebido em
relação à missão atribuída. É a perfeita sintonia entre a situação percebida e a situação real,
proporcionando ao Comandante melhores condições para decidir. Destacou-se também que,
considerando o ambiente cibernético, a obtenção e a manutenção da CSCiber por parte do
Comando é proporcionada pela informação fornecida por meios adequados, pelas pessoas
 18
certas, no momento oportuno e de conteúdo relevante e preciso, agregando valor á atividade
de C² (BRASIL, 2011, p. 39). Conforme a publicação, pode-se estabelecer que o Comandante
Operacional de uma Operação Conjunta tem a atribuição de servir de interlocutor com os
escalões superiores, zelando pela manutenção da CSCiber naquilo que seja relevante aos
níveis de decisão estratégico e político (BRASIL, 2011, p. 60).
A Política Cibernética de Defesa (BRASIL, 2012b, p. 15) atribuía as tarefas de
identificar as infraestruturas críticas de informação associadas ao setor cibernético, visando a
formação da CSCiber necessária à Defesa Cibernética, em proveito da diretriz de assegurar,
de forma conjunta o uso efetivo do ECiber pelas FA. Também se atribuiu a tarefa de
identificar as ameaças internas e externas, reais ou potenciais, de forma a contribuir com a
formação da CSCiber necessária às atividades de Inteligência (BRASIL, 2012b, p. 16).
Por fim, a Doutrina Militar de Defesa Cibernética, (BRASIL, 2014b, p. 23)
estabeleceu a ação de Exploração Cibernética, visando a produção de conhecimento ou a
identificação de vulnerabilidades no ECiber de interesse a fim de obter uma CSCiber,
atribuindo as ações de busca ou coleta.

3.3 O Estabelecimento de uma CSCiber na MB

A Proteção Cibernética depende da combinação de conhecimento sobre técnicas
de defesas efetivas e técnicas de ataques reais, de modo a preveni-los, rastreá-los ou mitigá-
los. Considera-se que deva haver uma proatividade, onde as ações defensivas não se limitem a
somente impedir um comprometimento inicial do ECiber, mas que também possam detectar
os Ativos Informacionais já comprometidos, que reduza a superfície de ataque, implemente as
configurações de defesa dos dispositivos e estabeleça uma capacidade adaptativa e contínua
de defesa e resposta que possa ser mantida e melhorada.
Os analistas de proteção cibernética da MB possuem a função principal de
empreender as atividades de detecção, identificação e resposta às ações conduzidas contra o
ECiber-MB, empregando geralmente, uma arquitetura de defesa em profundidade25. Porém,
considerando o contexto de proteção, podem-se empregar ações de Ataque ou Exploração
cibernética, introduzindo testes de vulnerabilidades26 e testes de invasão27, para avaliar o grau
de resiliência dos sistemas de informação (BRASIL, 2017c, p. 4-3). Assim, considera-se que
manter uma CSCiber sobre a ampla variedade de eventos e quantidades de dados gerados seja

25 Múltiplas camadas de proteção a fim de reduzir a probabilidade de sucesso de um ataque.

26 Análise de vulnerabilidades utilizando scanners e banco de dados de vulnerabilidades para detectar falhas.
27 Métodos que avaliam a segurança de um sistema de computador ou de uma rede, simulando ataques de uma
fonte maliciosa.
 19
um desafio analítico.
Para minimizar este desafio, propõe-se que um analista de proteção cibernética da
MB utilize um modelo mental (PAUL; WHITLEY, 2013, p. 145), baseado em questões a
serem respondidas, durante o curso de evento de segurança de rede 28, para direcionamento de
uma CSCiber, conforme representado pelo QUADRO 1 do ANEXO B. O modelo é composto
por uma taxonomia de questões de CSCiber centradas no usuário, derivadas de uma série de
atividades de pesquisa dos autores, sendo divididas em duas categorias: Detecção de Eventos
e Orientação do Evento. A primeira com questões onde os analistas devem responder antes e
durante um evento, visando o desenvolvimento da percepção da situação e a segunda, com
questões em proveito da compreensão do estágio de análise da situação, conforme
representado pelo QUADRO 1 do ANEXO B.
A categoria de Detecção de Eventos é dividida, em subcategorias, sejam elas:
baseline29 da rede, quando funcionando em um estado “normal” 30; detecção de alterações,
capacidade de comparar estados da rede identificando diferentes tendências; e atividade de
rede, refletindo uma mudança de um estado “normal” para “anormal”, atuando como uma
sugestão para que o analista estreite sua atenção para uma análise mais aprofundada.
A categoria de Orientação do Evento é dividida nas subcategorias: identificação,
para uma análise detalhada de um evento a fim de identificar quem, o que, quando, onde e por
que e o ataque está acontecendo e possivelmente o vincule à uma ameaça; impacto na missão,
de forma a priorizar a importância de uma ameaça identificada; e avaliação de danos, para
informar uma resposta à uma ameaça identificada.
A Consciência Situacional, formada pelos níveis de Percepção, Compreensão,
Projeção e Resolução, é amplamente citada nas publicações do âmbito do MD, destacando-se
sua importância no contexto da Proteção Cibernética. Considerando-se a complexidade do
ambiente cibernético da MB, buscou-se minimizar este desafio analítico através da proposta
de utilização do modelo mental (PAUL; WHITLEY, 2013, p. 145), baseado em questões
voltadas para o analista. No entanto, julga-se que seja um obstáculo para este modelo,
quantificar qualquer degradação ou melhoria alcançada do ambiente cibernético, dado que as
respostas possam ser subjetivas. Para se obter uma percepção mais precisa da CSCiber,
propõe-se ainda estabelecer métricas significativas, que possam representar as características
quantitativas da condição de proteção de um ECiber.

28 Ocorrência identificada em um sistema, serviço ou rede, que indique uma possível violação da política de
SIC ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a SIC.
29 Configuração de referência.
30 Condição sob um nível aceitável de operação.
 20

4 MÉTRICAS DE SEGURANÇA PARA CSCIBER

Em razão da multiplicidade do ambiente cibernético, julga-se que os analistas de

segurança tenham a necessidade de utilizar métodos sistemáticos para avaliar
quantitativamente as vulnerabilidades da rede, prever riscos de ataques e seus possíveis
impactos, de forma a minimizar os danos e garantir o cumprimento da missão da MB.
Considera-se que o estabelecimento de métricas de segurança possa apoiar os analistas,
fornecendo uma melhor compreensão da adequação dos controles de segurança para a
proteção cibernética do ECiber-MB.

4.1 A Definição de Métrica de Segurança

Conceitua-se Métrica como uma medida sistemática (dimensão comparada a um
padrão) relacionada à quantificação de alguma característica. Por conseguinte, define-se
Métrica de Segurança como uma dimensão sistemática relacionada à quantificação do grau da
possibilidade de sofrer um dano ou perda por um ataque cibernético (ABBADI, 2007).
O National Institute of Standards and Technology (NIST), define as Métricas
como ferramentas facilitadoras na tomada de decisões e melhoraria de desempenho através da
coleta, análise e geração de relatórios de dados relevantes. Considera-se que as Métricas de
Segurança sejam implementadas para medir quantitativamente a postura de segurança de uma
organização, se tornando essenciais para o gerenciamento da CSCiber. O objetivo das
métricas de segurança é garantir a continuidade da missão, prevenindo ou minimizando o
potencial impacto de incidentes de segurança no ECiber (CHEW et al., 2003, p. 9).
As Métricas de Segurança podem cobrir uma ampla categoria de recursos
mensuráveis, desde todos os registros de uma auditoria de SIC até a quantidade de sistemas
atualizados em um período. Busca-se com as Métricas, identificar pontos fracos, determinar
tendências para melhor utilizar os recursos de segurança e julgar o sucesso ou o fracasso das
soluções de segurança implementadas.

4.2 Métricas de Segurança para a Consciência Situacional Cibernética da MB

As Métricas de Segurança são utilizadas como quantificadores no processo de
gerenciamento de riscos, servindo de suporte à tomada de decisões. Para isso, deve-se ter a
preocupação de adotar métricas adequadas, com um padrão consistente de medição, que
reflita a CSCiber desejada. Destarte, para que uma métrica seja eficiente, devem-se prevalecer
 21
algumas características identificadas anteriormente (JAQUITH, 2007, p. 22): aferição
consistente; sem subjetividade; fácil coleta, de preferência de forma automatizada; expressa
por número ou um percentual e não utilizar rótulos qualitativos como “alto”, “médio” e
“baixo”; usar pelo menos uma unidade de medida; e ter um contexto específico, sendo
suficientemente relevante para que os tomadores de decisão possam agir (JAQUITH, 2007, p.
22).
Com isso, os analistas de segurança não apenas analisam as métricas em vigor,
mas também buscam garantir que estejam alinhadas com as metas organizacionais pré-
determinadas. De um modo geral, uma Métrica de Segurança para obtenção da CSCiber
precisa refletir as características quantitativas de representação do estado de segurança de um
sistema ou rede de computadores, sob o ponto de vista da proteção cibernética (JAQUITH,
2007).
Ao analisar a aplicação inicial de Métricas de Segurança para a MB, considerando
a complexidade do ECiber-MB, foram propostas aquelas que não somente abordasse as
questões ofensivas, mas que também pudesse contribuir para o processo de gerenciamento de
risco. Destarte, julgou-se que as métricas abordadas em (JAQUITH, 2007) são adequadas à
uma adoção inicial mínima, pois avaliam a postura de segurança, o diagnóstico de problemas
e podem avaliar as atividades de segurança associadas à infraestrutura do ECiber-MB. Em
razão da diversidade do ambiente operacional cibernético, para implementação inicial, julga-
se que as métricas abordadas sejam coletadas com periodicidade máxima de 30 dias. As
Métricas de Segurança foram agrupadas em quatro categorias, sejam elas: métricas de defesa
de perímetro; métricas de cobertura e controle; métricas de disponibilidade e confiabilidade; e
métricas de recuperação de sistemas.

4.2.1 Métricas de Defesa de Perímetro

As métricas de defesa de perímetro destinam-se a entender o risco de incidentes
por ameaças externas ao ECiber-MB, medindo a eficácia dos principais sistemas de segurança
de rede, sejam elas: métricas de anti-spam31 (QUADRO 1, ANEXO B); métricas de softwares
antivírus (QUADRO 2, ANEXO B); métricas de firewall32 e perímetro de rede (QUADRO 3,
ANEXO B); e métricas de Intrusion Prevention System33 (IPS) (QUADRO 4, ANEXO B) .

31 Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um
grande número de pessoas.
32 Dispositivo de segurança da rede que monitora o tráfego de entrada e saída da rede e decide permitir ou
bloquear tráfegos específicos de acordo com um conjunto definido de regras de segurança.
33 Sistema que monitora uma rede em busca de atividades maliciosas, como ameaças de segurança ou violações
de políticas.
 22
Conforme representado pelo QUADRO 1 do ANEXO B, as métricas utilizadas
para os sistemas de anti-spam, servem para quantificar a proteção do ECiber pelo analista
quanto a recepção de e-mails indesejados (spam) provenientes da Internet, são elas: total de e-
mails externos recebidos; total de e-mails bloqueados como spam; total de e-mails spam não
detectados (relatados pelos usuários); total de e-mails detectados como falso positivo; e taxa
de falha de detecção de spam. Observa-se que o “total de e-mails bloqueados como spam”
serve apenas como evidência de que o software de filtragem está atuante. Por outro lado, a
“taxa de falha de detecção de spam” é a métrica que apresenta o nível de precisão da
regulagem do software.
Conforme representado pelo QUADRO 2 do ANEXO B, as métricas relacionadas
ao software de antivírus, coletadas a partir de seu gerenciador, servem para quantificar a taxa
de infecção nas estações de trabalho e servidores do ECiber-MB, sejam elas: total de vírus
transmitidos por websites, medindo a propensão dos usuários para navegar em sites que
contêm ameaças baseadas na web; total de vírus detectados em SO Windows; total de vírus
detectados em SO Linux; e total de conexões externas para Comando e Controle de botnets,
permitindo identificar as máquinas que foram contaminadas e não houve ação do antivírus.
Conforme representado pelo QUADRO 3 do ANEXO B, as métricas relacionadas
ao firewall e perímetro de rede desempenham a função de quantificar a proteção do tráfego
proveniente da Internet, sejam elas: total de mudanças de regras de firewall, visando medir o
nível de complexidade de requerido; total de entrada de conexões de Internet por porta TCP 34
/UDP35 , medindo o nível absoluto de entrada de atividade de Internet; total de entrada de
conexões de Internet por grupos de servidores, separando aqueles considerados mais críticos
para o cumprimento da missão; e total de servidores e estações de trabalho com acesso remoto
autorizado e habilitado, medindo o nível de exposição de ataques externos via acesso remoto.
Conforme representado pelo QUADRO 4 do ANEXO B, as métricas relacionadas
ao ataques da borda da rede são coletadas do IPS, sejam elas: total de tentativas de ataques
externos bloqueados, medindo o nível absoluto de detecção de ataques; e total de ataques com
sucesso, indicador da eficácia relativa da defesa de perímetro.

4.2.2 Métricas de Cobertura e Controle

As métricas de cobertura e controle buscam entender a extensão e a eficácia dos
sistemas de gerenciamento de configuração, correção e vulnerabilidade, caracterizando o

34 Transmission Control Protocol, protocolo orientado à conexão da camada de transporte do modelo TCP/IP.
35 User Datagram Protocol, protocolo não orientado à conexão da camada de transporte do modelo TCP/IP.
 23
alcance da política de segurança adotada pela instituição. A cobertura é o grau em que um
determinado controle de segurança foi aplicado nos ativos de informação. O controle é o grau
que mede se os artifícios de segurança empregados nos ativos estão obtendo os resultados
esperados. Estas métricas são divididas em: métricas de cobertura de antivírus (QUADRO 5,
ANEXO B); métricas de gerenciamento de atualizações (QUADRO 6, ANEXO B); métricas
de configurações de máquinas (QUADRO 7, ANEXO B); e métricas de gerenciamento de
vulnerabilidades (QUADRO 8, ANEXO B).
Conforme representado pelo QUADRO 5 do ANEXO B, as métricas de cobertura
de antivírus são coletadas no sistema de gerenciamento do software, servindo para identificar
as lacunas de implementação do antivírus na rede e visam quantificar o nível de potencial
exposição à infecção interna dos ativos informacionais (servidores e estações de trabalho),
sejam elas: total de ativos da rede, servindo de baseline; total de ativos com software antivírus
instalado, quantificando o nível de proteção contra infecção interna; e taxa de proteção por
software antivírus.
Conforme representado pelo QUADRO 6 do ANEXO B, as métricas de
gerenciamento de atualizações quantificam o nível de exposição a ataques aos sistemas
operacionais desatualizados, tornando-se vulneráveis. As métricas são estabelecidas
diferenciando servidores de estações de trabalho e diferentes sistemas operacionais, sejam
elas: total de servidores com SO Linux desatualizado; total de estações de trabalho com SO
Linux desatualizado; total de servidores com SO Windows desatualizado; e total de estações
de trabalho com SO Windows desatualizado.
Conforme representado pelo QUADRO 7 do ANEXO B, as métricas de
configuração de máquinas visam verificar se as estações de trabalho e servidores estão
configurados de uma maneira uniforme, que permita que os objetivos de segurança da
organização sejam atingidos. Neste sentido, as métricas medem o grau de caracterização
padrão de sistema operacional, separando as versões do SO Linux e SO Windows, sejam elas:
total de servidores e estacões de trabalho com SO Linux instalado, separados por versões; e
total de servidores e estações de trabalho com SO Windows instalado, separados por versões.
Conforme representado pelo QUADRO 8 do ANEXO B, as métricas de
gerenciamento de vulnerabilidades visam fornecer uma visão da superfície de ataque da rede.
As vulnerabilidades são falhas imprevistas no projeto ou na implementação de um programa
de software que permitem a exploração por usuários maliciosos, com objetivo de causar
algum prejuízo. As métricas são dispostas como: frequência de escaneamento de
vulnerabilidades nos servidores, identificando o período entre o processo de análise de
 24
vulnerabilidades; total de vulnerabilidades identificadas e classificadas como críticas, de
forma a manter um controle daquelas que possam ser exploradas causando um grande
impacto na rede; e tempo médio decorrido para mitigar uma vulnerabilidade classificada
como crítica, quantificando o tempo médio entre a identificação de uma vulnerabilidade
crítica e a sua mitigação.

4.2.3 Métricas de Disponibilidade e Confiabilidade

As métricas de disponibilidade e a confiabilidade destinam-se a entender a
resistência dos sistemas às falhas de hardware, software e energia, cujo objetivo é manter os
serviços disponibilizados durante o máximo de tempo possível.
Conforme representado pelo QUADRO 9 do ANEXO B, aplica-se como métricas
de disponibilidade e confiabilidade: disponibilidade dos servidores, quantificado pela
porcentagem dos servidores com funcionamento pleno durante o período considerado, sem
paralisações; indisponibilidade não planejada dos servidores, sendo a porcentagem dos
servidores que foram paralisados por algum tipo de falha, sem um planejamento prévio;
tempo médio de indisponibilidade não planejada de servidores, de forma a quantificar o
período médio entre o tratamento de uma paralisação não planejada e a correção ou reparo do
ativo; e indisponibilidade não planejada dos servidores devido a um incidente, retratando o
impacto de um incidente de segurança sobre a indisponibilidade dos servidores.

4.2.4 Métricas de Recuperação de Sistemas

As métricas de recuperação de sistemas promovem um nível de análise mais
intrínseco às métricas de disponibilidade, visando obter um nível de resiliência de resposta às
interrupções dos sistemas.
Conforme representado pelo QUADRO 10 do ANEXO B, estas métricas são:
tempo médio de resposta de suporte a uma paralisação, visando obter o período médio entre a
interrupção do sistema até o início da sua recuperação, medindo a reação da equipe de
suporte; e tempo médio de recuperação do sistema, medindo o tempo que a equipe de suporte
empreende nas suas ações de recuperação.
As Métricas de Segurança funcionam como quantificadores que contribuem para a
CSCiber, servido de suporte à tomada de decisões, necessitando de uma adequação para que
possa retratar de forma consistente a CSCiber desejada, devendo prevalecer as características
elencadas. Destarte, para complementar o mapa mental de questões relacionadas ao ambiente
cibernético, propôs-se adotar as Métricas que retratam a defesa e o gerenciamento de risco,
 25
coletando dados dos sistemas de gerenciamento de e-mail, antivírus, firewall, IPS e
gerenciador de vulnerabilidades, conforme dispostos nos QUADROS 1 a 10 do ANEXO B.

5 DESAFIOS PARA A MANUTENÇÃO DE UMA CSCIBER

Além do estabelecimento do mapa mental e métricas de segurança, estima-se

ainda que o processo de obtenção e manutenção de uma CSCiber requeira a implementação
de alguns aspectos específicos como o entendimento dos ataques reais, a priorização das
ações, o diagnóstico contínuo e o processo de automação da defesa.
A aprendizagem com os ataques reais serve para fornecer uma base de
conhecimento visando a construção de uma proteção eficaz. A priorização das ações busca
optar pela ação de proteção que atuará contra a ameaça que tiver o maior impacto no ambiente
cibernético. Esta priorização dar-se-á a partir de um diagnóstico contínuo das ações de
proteção. A automação busca aliviar a capacidade do analista de proteção, tornando a análise
mais confiável. Porém, uma série de dificuldades precisa ainda ser superada.

5.1 As Dificuldades a Serem Superadas

Apesar da implementação do modelo mental e das métricas de segurança, estima-
se que haja a exigência de um esforço ainda maior para se estabelecer uma CSCiber plena,
superando uma série de desafios, sejam eles: a complexidade das redes de computadores; a
evolução tecnológica; a grande quantidade de alarmes falsos positivos; a detecção de um
ataque em tempo real; e a grande quantidade de potenciais vetores de ataque.
A dimensão e a complexidade das redes de computadores criam um desafio
significativo para se manter uma CSCiber. A medida que se amplia o ECiber, mais ativos e
ramificações são expandidos podendo mudar significativamente a percepção dos ativos
críticos, dificultando a compreensão de uma imagem precisa do ECiber.
As tecnologias que provêm a infraestrutura do ECiber tendem a evoluir
rapidamente. Novos softwares, sistemas e equipamentos de conectividade são incorporados
dificultando não apenas o entendimento preciso da topologia da rede, mas das novas
vulnerabilidades introduzidas pela evolução tecnológica, comprometendo a compreensão e a
projeção da CSCiber.
A detecção de um ataque cibernético, em muitos casos, também pode ser difícil,
dado que eventos anômalos, caracterizados como falsos positivos são comuns de serem
observados nas ações de proteção cibernética. É possível descartar uma atividade maliciosa na
 26
rede como sendo um falso positivo, afetando a percepção das características de um ataque
cibernético real.
Com o incremento da sofisticação dos ataques cibernéticos, ampliaram-se os
potenciais vetores de ataque a serem empreendidos, assim como, a quantidade e tipos de
assinaturas de ataque. Considerando a estimativa projetada em 2012, até 2025 haveria cerca
de 200 milhões de novas assinaturas de malware por ano (ESTADOS UNIDOS, 2012, p. 12).
Assim, desenvolver uma compreensão de todos os potenciais vetores de ataque de uma
ameaça e seus efeitos através da aprendizagem e experiência normais se torna uma tarefa
praticamente inexequível.
O alto nível de sobrecarga associado à percepção de dados em uma grande e
complexa rede e seus desafios torna a proteção cibernética uma missão ímproba para os
analistas. Julga-se que, além de se adotar métricas de segurança significativas, é preciso
estabelecer um processo de automação, de forma a se obter um monitoramento confiável e
contínuo de eventos, ao mesmo tempo em que alivia o analista humano das tarefas mais
trabalhosas e propensas a erros.

5 CONCLUSÃO

Ao longo dos capítulos identificou-se a estrutura de segurança, defesa e guerra

cibernética brasileira, descrevendo a evolução do setor nos últimos anos através de políticas,
estratégias, doutrinas, normatizações, procedimentos e pela centralização da coordenação do
setor cibernético, através do SMDC nos seus níveis tático, operacional e estratégico. Avaliou-
se que, a estrutura de defesa e GC no âmbito da MB encontra-se fragmentada em diversas
OM, contribuindo para dificultar o processo decisório na MB no ambiente cibernético.
A partir desta análise, descreveu-se a necessidade de obter e manter uma CSCiber
que permita identificar, compreender e antecipar as ameaças ao ECiber-MB, formulando-se
um modelo mental baseado em questões a serem respondidas pelos analistas. No entanto pela
subjetividade das questões, propôs-se estabelecer métricas significativas, que possam
representar as características quantitativas da condição de proteção de um ECiber.
Para garantir o sucesso da missão de Proteção Cibernética do ECiber-MB, os
analistas de segurança precisam manter uma CSCiber suficientemente eficiente, de forma
monitorar continuamente as atividades da rede, identificando comportamento suspeitos e
mitigar as possíveis vulnerabilidades em tempo hábil.
Nesse contexto, considerando o ponto de vista da Defesa Cibernética na Marinha,
 27
de forma a proporcionar o apoio ao processo de tomada de decisão, foi possível identificar e
padronizar as Métricas de Segurança que possam contribuir para obtenção de uma CSCiber,
divididas nas categorias de Defesa de Perímetro, Cobertura e Controle, Disponibilidade e
Confiabilidade e Recuperação de Sistemas.
Ainda assim, estima-se que, além da implementação de um modelo mental e
métricas de segurança, faz-se necessário ter o entendimento dos ataques reais, saber priorizar
as ações, manter um diagnóstico contínuo e automatizar o processo da defesa, além de
superar a complexidade das redes de computadores, a evolução tecnológica, a grande
quantidade de alarmes falsos positivos, a detecção de um ataque em tempo real e a grande
quantidade de potenciais vetores de ataque.
 28
REFERÊNCIAS

ABBADI, Zed. Open Web Application Security Project (OWASP), Security Metrics, What
Can We Measure?, 2007. Disponível em: <https://www.owasp.org/images/b/b2/Security
_Metics-_What_can_we_measure-_Zed_Abbadi.pdf> Acesso em: 19 jun. 2018.

BRASIL. Boletim do Exército 47/2014. Portaria Normativa nº 2.777/MD, de 27 de outubro

de 2014. Diário Oficial [da] República Federativa do Brasil, Brasília, DF, 28 out. 2014a.
Disponível em: <www.sgex.eb.mil.br/sistemas/be/copiar.php?codarquivo=1314&act =bre>.
Acesso em: 17 jun. 2018.

BRASIL. Conselho de Tecnologia da Informação da Marinha. Plano Estratégico de TI da

Marinha 2016-2019, 2015a. 30 p. Disponível em: <http://www.govti.mb/sites/default/
files/PETIM.pdf> Acesso em: 19 jun. 2018.

BRASIL. Comando de Defesa Cibernética. Núcleo da Escola Nacional de Defesa Cibernética.

2018a. Disponível em: <http://enadciber.eb.mil.br/index.php/ institucional>. Acesso em: 17
jun. 2018.

BRASIL. Comando de Operações Navais. Portaria no 90/ComOpNav, de 3 de dezembro de

2015. Aprova o Regimento Interno do Comando de Operações Navais. Rio de Janeiro, 3 dez.
2015b. Disponível em: <http://www.comopnav.mb/gabinete/regimen.pdf>. Acesso em: 18
jun. 2018.

BRASIL. Estado-Maior da Armada. EMA-305: Doutrina Militar Naval. Brasília, DF: Estado-
Maior da Armada, 2017a.

BRASIL. Estado-Maior da Armada. EMA-416, Vol. I: Doutrina de Tecnologia da Informação

da Marinha. 1. Rev. 2. Mod. Brasília, DF: Estado-Maior da Armada, 2007. 46 p. Disponível
em: <http://www.ema.mb/docs/publicacoes/public.html>. Acesso em: 18 jun. 2018.

BRASIL. Diretoria-Geral do Material da Marinha. DGMM-0540: Normas de Tecnologia da

Informação da Marinha. 2. Rev. Rio de Janeiro: Diretoria-Geral do Material da Marinha,
2017b. 196 p.

BRASIL. Ministério da Defesa. Exército Brasileiro. Comando de Operações Terrestres.

EB70-MC-10.232: Manual de Campanha, Guerra Cibernética. Brasília, DF, 2017c. 45 p.
Disponível em: <http://bdex.eb.mil.br/jspui/bitstream/1/631/3/EB70MC10232.pdf>. Acesso
em: 17 jun. 2018.

BRASIL. Ministério da Defesa. Livro Branco de Defesa Nacional, 2012a. Disponível em:
<http://www.defesa.gov.br/arquivos/2012/mes07/lbdn.pdf>. Acesso em: 14 jun. 2018.

BRASIL. Ministério da Defesa. MD30-M-01, Vol I: Doutrina de Operações Conjuntas.

Brasília, DF, 2011. 132 p. Disponível em: <http://www.esg.br/images/manuais/Manual%20de
%20Doutrina%20de%20Operacoes%20Conjuntas%20-%201%C2%BA
%20Volume.pdf>. A-cesso em: 18 jun. 2018.

BRASIL. Ministério da Defesa. MD31-M-03: Doutrina para o Sistema Militar de Comando e

Controle. 3. ed. Brasília, DF, 2015c. 46 p. Disponível em: <https://www.defesa.gov.br/
 29
arquivos/File/doutrinamilitar/listadepublicacoesEMD/MD31_p01_pol_sismc2_2ed_2015.pdf
>. Acesso em: 18 jun. 2018.

BRASIL. Ministério da Defesa. MD31-M-07: Doutrina Militar de Defesa Cibernética.

Brasília, DF, 2014b. 38 p. Disponível em: <http://www.defesa.gov.br/arquivos/legislacao/
emcfa/publicacoes/doutrina/md31_m_07_defesa_cibernetica_1_2014.pdf>. Acesso em: 12
jun. 2018.

BRASIL. Ministério da Defesa. MD31-P-02: Política Cibernética de Defesa. Brasília, DF,

2012b. 24p. Disponível em: <http://idciber.eb.mil.br/images/documentos/doutrina
manual_pol_nac_def.pdf>. Acesso em: 17 jun. 2018.

BRASIL. Ministério da Defesa. Minutas do Livro Branco, da PND e da END estão

disponíveis para leitura. 2018b. Disponível em: <http://www.defesa.gov.br/noticias/29093-
minutas-do-livro-branco-da-pnd-e-da-end-estao-disponiveis-para-leitura>. Acesso em: 17
jun. 2018.

BRASIL. Ministério da Defesa. Os Setores Estratégicos da END. Brasília, DF, 2013.

Disponível em: <https://www.defesa.gov.br/arquivos/ensino_e_pesquisa/defesa_academia/
cedn/palestras-junho-2013/os-setores-estrategicos-da-end-cibernetico.pdf>. Acesso em: 14
jun. 2018.

BRASIL. Presidência da República. Decreto nº 5.484, de 30 de junho de 2005. Política de

Defesa Nacional. Brasília, DF, 2005. Diário Oficial [da] República Federativa do Brasil,
Brasília, DF, 31 jul. 2005. Disponível em: <http://www.planalto.gov.br/ccivil_03 /_ato2004-
2006/2005/decreto/d5484.htm>. Acesso em: 14 jun. 2018.

BRASIL. Presidência da República. Decreto nº 6.703, de 18 de dezembro de 2008. Estratégia

Nacional de Defesa. Brasília, DF, 2008. Diário Oficial [da] República Federativa do Brasil,
Brasília, DF, 19 dez. 2008. Disponível em: <http://www.planalto.gov.br/ ccivil_03/_ato2007-
2010/2008/decreto/d6703.htm>. Acesso em: 14 jun. 2018.

BRASIL. Presidência da República. Decreto n° 8491, de 13 de julho de 2015. Altera o Anexo

I ao Decreto nº 5.751, de 12 de abril de 2006, que aprova a Estrutura Regimental e o Quadro
Demonstrativo dos Cargos em Comissão do Grupo-Direção e Assessoramento Superiores -
DAS e das Funções Gratificadas do Comando do Exército do Ministério da Defesa. Diário
Oficial [da] República Federativa do Brasil, Brasília, DF, 14 jul. 2015d. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Decreto/ D8491.htm>. Acesso
em: 17 jun. 2018.

BRASIL. Presidência da República. Gabinete de Segurança Institucional. Portaria n° 91, de

26 de julho de 2017d. Aprova o Regimento Interno do Gabinete de Segurança Institucional da
Presidência da República. Diário Oficial [da] República Federativa do Brasil, Brasília, DF,
26 jul. 2017. Disponível em: <http://www.divulgacaolex.com.br/legis_27477579_POR
TARIA_N_91_DE_26_DE_JULHO_DE_2017.aspx>. Acesso em: 17 jun. 2018.

CHEW, E.; SWANSON, M.; STINE, K.; BARTOL, N.; BROWN, A. and ROBINSON, W.
Security Metrics Guide for Information Technology Systems, 2003, NIST Special Publication
800-55, Disponível em: <https://nvlpubs.nist.gov/nistpubs/Legacy/SP/
nistspecialpublication800-55.pdf> Acesso em: 23 jun. 2018.
 30
ENDSLEY, M.R. Human Factors and Ergonomics Society. Toward a theory of situation
awareness in dynamic systems, 1995. Disponível em: <http://www.realtechsupport.org/UB/
I2C/SituationAwarenessTheory_1995.pdf> Acesso em: 19 jun. 2018.

ESTADOS UNIDOS. U.S. Air Force. United States Air Force Cyberspace Science and
Technology Vision 2012-2025, 2012 Disponível em: <http://www.defenseinnovation
marketplace.mil/resources/cyber/cybervision2025.pdf> Acesso em: 19 jun. 2018.

HEYMAN T.; SCANDARIATO, R.; HUYGENS, C.; JOOSEN, W. Using security patterns to
combine security metrics. 2008 the 3rd International Conference on Availability, Reliability
and Security Disponível em: <https://people.cs.kuleuven.be/~thomas.heyman/
publications/heyman-secse08.pdf> Acesso em: 23 jun. 2018.

HECKER, A. On System Security Metrics and the Definition Approaches. 2008 The 2nd
International Conference on Emerging Security Information, Systems and Technologies
Disponível em: <https://ieeexplore.ieee.org/iel5/4622544/4622545/04622615.pdf> Acesso
em: 23 jun. 2018.

INTEL-BASED DEFENSES. Intel-Based Defenses and Cyber Intelligence, 2018. Disponível

em: <hhttp://www.activecyber.net/intel-based-defenses/> Acesso em: 19 jun. 2018.

JAQUITH, A. Security Metrics: Replacing Fear, Uncertainty, and Doubt, 2007, Addison-
Wesley Professional

JANSEN, W. Directions in Security Metrics Research. National Institute of Standards and

Technology, 2009 Computer Security Division Disponível em: <https://nvlpubs.nist.gov/
nistpubs/legacy/ir/nistir7564.pdf> Acesso em: 23 jun. 2018.

MARTIN, William J.; KAEMMER, Emily. Entendimento Situacional Cibernético para os

Comandantes Táticos do Exército. Military Review, p.72, Quarto trimestre 2016. Disponível
em: <https://www.armyupress.army.mil/Portals/7/militaryreview/Archives/Portuguese
MilitaryReview_20161231_art011POR.pdf>. Acesso em 11 jun. 2018.

MANDARINO JUNIOR, R.; CANONGIA, C. Livro Verde: Segurança Cibernética no Brasil.

Brasília, DF: [s.n.], 2010. 63 p. Disponível em: <http://dsic.planalto.gov.br/
legislacao/1_Livro_Verde_SEG_CIBER.pdf>. Acesso em: 14 jun. 2018.

MANADHATA P.K.; WING J.M. An Attack Surface Metric 2011 IEEE Transactions on
Software Engineering, vol. 37, no. 3, pp. 371-386, May-June 2011 Disponível em:
<https://mlsec.info/pdf/tse11.pdf> Acesso em: 23 jun. 2018.

MCGUINNESS, B.; FOY, J.L. A subjective measure of SA: The crew awareness rating scal
(cars). Proceedings of the first human performance, situation awareness, and automation
conference, Savannah, Georgia, USA, 2000.

PAUL, C.; WHITLEY, K. A Taxonomy of Ciber Awarebness Questions for the User-Centered
design of Cyber Situation Awareness. Lecture Notes in Computer Science, pp.145-154
Springer, 2013 Disponível em: <https://pdfs.semanticscholar.org/0ba6/8b5f0ef35ef94f
a238275e2f571bce446538.pdf> Acesso em: 19 jun. 2018.
 31
STANTON, N.A.; CHAMBERS, P.R.G.; PIGGOTT, J. Situational Awareness and Safety,
2001 Safety Science 39 189-204.
 32
ANEXO A – Lista de Figuras

FIGURA 1 - Níveis decisórios do SMDC em função das ações

Fonte: BRASIL, 2017, p. 1-3

FIGURA 2 - Organograma do Sistema Militar de Defesa Cibernética (SMDC)

Fonte: BRASIL, 2017, p. 3-1
 33

FIGURA 3 - Organograma da Estrutura de Defesa e Guerra Cibernética da MB

Fonte: Próprio autor, 2018

FIGURA 4 - Modelo de Endsley

Fonte: ENDSLEY, 1995, p. 35
 34
ANEXO B – Modelo Mental e Métricas de Segurança
QUADRO 1
Modelo mental

Detecção de Evento Orientação do Evento

Baseline de rede
Minha rede está configurada corretamente?
Como é a minha rede?
O que está acontecendo na rede agora?
O que é normal para minha rede?
O que não é normal para minha rede?
Qual é o status da minha rede?
Quais sistemas estão disponíveis e indisponíveis?
Detecção de Alterações
O que aconteceu na minha rede ontem à noite?
Minha rede está diferente desde a última semana?
Atividade de Rede
Há uma anormalidade ocorrendo na minha rede?
A anormalidade é ruim, boa ou apenas diferente?
O tráfego da minha rede está compatível?
O que não está acontecendo na minha rede?
Qual significado do evento na minha rede?
Qual o evento mais importante da minha rede?
Fonte: ENDSLEY, 1995, p. 35
Identificação de Evento
Este é um tipo de ataque conhecido?
Como minha rede está sendo atacada?
Como é o ataque?
Onde na minha rede estou sendo atacado?
Quem está atacando minha rede?
Qual a origem do ataque?
Por que minha rede está sendo atacada?
Impacto na Missão
O ataque causa algum prejuízo para a missão?
Quão ofensivo é o ataque?
Quais as contramedidas necessárias?
Avaliação de Danos
O ataque tem um efeito negativo nas operações?
O que o atacante empreendeu?
Foi extraviado algum dado?

QUADRO 2
Métricas para os sistemas de anti-spam

E-mail Externo
Métrica Propósito Fonte
[unidade]
Total de e-mails Estabelecer um baseline de tráfego Sistema de
externos recebidos de recebimento de e-mail Anti-spam
[#]
Total de e-mails Indicador de poluição Sistema de
bloqueados como spam de emails Anti-spam
[#], [%]
Total de e-mails Eficácia do sistema Sistema de
spam não detectados de filtro de conteúdo Anti-spam
[#], [%]
Total de e-mails Eficácia do sistema Sistema de
detectados como falso positivo de filtro de conteúdo Anti-spam
[#], [%]
Taxa de falha Eficácia do sistema Sistema de
de detecção de spam de filtro de conteúdo Anti-spam
[%]
Fonte: JAQUITH, 2007, p. 47
 35
QUADRO 3
Métricas para softwares antivírus

Antivírus
Métrica Propósito Fonte
[unidade]
Total de Vírus trasmitidos por Propensão dos usuários para Sistema de gerenciamento
websites navegar em sites que contêm de antivírus
[#] ameaças baseadas na web
Total de vírus detectados em Indicador de taxa Sistema de gerenciamento
servidores e estações de trabalho de infecção em SO Windows de antivírus
com SO Windows
[#]
Total de vírus detectados em Indicador de taxa Sistema de gerenciamento
servidores e estações de trabalho de infecção em SO Linux de antivírus
com SO Linux
[#]
Total de estações de trabalho e Indicador de infecção interna Sistema de gerenciamento
servidores com conexões externas de antivírus
para Comando e Controle
[#]
Fonte: JAQUITH, 2007, p. 47

QUADRO 4
Métricas de firewall e perímetro de rede

Firewall e Perímetro de rede

Métrica Propósito Fonte
[unidade]
Total de mudanças de regras de Nível de complexidade de Sistema de gerenciamento do
firewall segurança requerida firewall
[#]
Total de entrada de Nível absoluto de entrada de Sistema de gerenciamento do
conexões/sessões de Internet por atividade de Internet firewall
porta TCP/UDP
[#]
Total de entrada de Nível absoluto de entrada de Sistema de gerenciamento do
conexões/sessões de Internet por atividade de Internet firewall
grupos de servidores
[#]
Total de servidores e estações de Nível de potencial exposição a Software de mapeamento de rede
trabalho com acesso remoto ataques externos
autorizado e habilitado
[#]
Fonte: JAQUITH, 2007, p. 48
 36
QUADRO 5
Métricas de Intrusion Prevention System

Ataques
Métrica Propósito Fonte
[unidade]
Total de tentativas de ataques Nível absoluto de detecção de IPS
externos bloqueados ataques
[#]
Total de ataques com sucesso Indicador da eficácia relativa da IPS
[#] defesa de perímetro
Fonte: JAQUITH, 2007, p. 49

QUADRO 6
Métricas de cobertura de antivírus

Cobertura de Antivírus
Métrica Propósito Fonte
[unidade]
Total de servidores e estações de Baseline Sistema de gerenciamento de
trabalho da rede (A) antivírus
[#]
Total de servidores e estações de Nível de proteção Sistema de gerenciamento de
trabalho com software antivírus contra infecção interna antivírus
instalado (B)
[#], [%]
Taxa de proteção Taxa de proteção Sistema de gerenciamento de
de software antivírus (B/A) contra a infecção interna antivírus
[#], [%]
Fonte: JAQUITH, 2007, p. 53

QUADRO 7
Métricas de gerenciamento de atualizações

Métrica
[unidade]
Total de servidores com SO Linux
desatualizado
[#], [%]
Total de estações de trabalho com
SO Linux desatualizado
[#], [%]
Total de servidores com SO
Windows desatualizado
[#], [%]
Total de estações de trabalho com
SO Windows desatualizado
[#], [%]
Fonte: JAQUITH, 2007, p. 54
Gerenciamento de atualizações
Propósito Fonte
Nível de potencial exposição a Software de gerenciamento
ataques ao SO
Nível de potencial exposição a Software de gerenciamento
ataques ao SO
Nível de potencial exposição a Software de gerenciamento
ataques ao SO
Nível de potencial exposição a Software de gerenciamento
ataques ao SO
 37

QUADRO 8
Métricas de configurações de máquinas

Configurações de máquinas
Métrica Propósito Fonte
[unidade]
Total de servidores e estacões de Grau de carecterização Software de gerenciamento
trabalho com SO Linux instalado, padrão de SO
separados por versões
[#], [%]
Total de servidores e estações de Grau de carecterização Software de gerenciamento
trabalho com SO Windows padrão de SO
instalado, separados por versões
[#], [%]
Fonte: JAQUITH, 2007, p. 55

QUADRO 9
Métricas de gerenciamento de vulnerabilidades

Gerenciamento de vulnerabilidades
Métrica Propósito Fonte
[unidade]
Frequência de escaneamento de Nível relativo de potencial Software de gerenciamento de
vulnerabilidades nos servidores exposição à ameaças em função vulnerabilidades
[%]
Total de vulnerabilidades Nível relativo de potencial Software de gerenciamento de
classificadas como críticas exposição à ameaças vulnerabilidades
[#]
Tempo médio decorrido para Nível de eficácia de resposta à Software de gerenciamento de
mitigar uma vulnerabilidade mitigação de vulnerabilidades vulnerabilidades
classificada como crítica
[dias]
Fonte: JAQUITH, 2007, p. 56
 38
QUADRO 10
Métricas de disponibilidade

Disponibilidade
Métrica Propósito Fonte
[unidade]
Disponibilidade dos servidores Nível de disponibilidade Software de monitoramento
[%] dos serviços de host/aplicação ou
Controle manual
Indisponibilidade não planejada Nível de paralisação sem um Software de monitoramento
dos servidores planejamento prévio de host/aplicação ou
[%] Controle manual
Tempo médio de indisponibilidade Período de paralisação sem um Software de monitoramento
não planejada de servidores planejamento prévio de host/aplicação ou
[horas] Controle manual
Indisponibilidade não planejada dos Nível de paralisação por incidentes Software de monitoramento
servidores devido a um incidente de segurança de host/aplicação ou
[%] Controle manual
Fonte: JAQUITH, 2007, p. 68

QUADRO 11
Métricas de recuperação de sistemas

Recuperação de Sistemas
Métrica Propósito Fonte
[unidade]
Tempo médio de Tempo médio entre a interrupção do Controle manual
resposta de suporte sistema até o início da recuperação,
a uma paralisação Tempo de reação da equipe de
[horas] suporte
Tempo médio de Tempo médio de recuperação do Controle manual
recuperação do sistema sistema pelo suporte
[horas]
Fonte: JAQUITH, 2007, p. 69