CIBERSEGURANÇA - AULA 02 - O Cubo de Magia Da Segurança Cibernética

CENTRO SALESIANO DO MENOR – CESAM/DF
PROGRAMA ADOLESCENTE/JOVEM APRENDIZ
Módulo - Cisco
CIBERSEGURANÇA
Brasília-DF, 2021
Aprendizagem, mais que uma oportunidade!

Aula 2: O cubo da segurança cibernética
Os profissionais de segurança cibernética são mais bem descritos como

especialistas encarregados da proteção do espaço cibernético. John McCumber
é um dos primeiros especialistas em segurança cibernética, desenvolvendo uma
estrutura comumente usada chamada Cubo McCumber ou o cubo de segurança
cibernética. Esse cubo é usado como ferramenta, ao gerenciar a proteção de
redes, domínios e da Internet. O cubo de segurança cibernética parece um pouco
como um cubo de Rubik.
A primeira dimensão do cubo de segurança cibernética inclui os três

princípios de segurança da informação. Os profissionais de segurança
cibernética referem-se aos três princípios como a Tríade CIA.
A segunda dimensão identifica os três estados das informações ou dos

dados.
A terceira dimensão do cubo identifica o conhecimento necessário para

proporcionar proteção. Essas dimensões são geralmente chamadas de três
categorias de proteções da segurança cibernética.
O capítulo também discute o modelo de segurança cibernética ISO. O

modelo representa uma estrutura internacional para padronizar o gerenciamento
de sistemas de informação.
Os princípios de segurança
A primeira dimensão do cubo de segurança cibernética identifica os

objetivos para proteger o espaço cibernético. Os objetivos identificados na
primeira dimensão são os princípios fundamentais.
Esses três princípios são confidencialidade, integridade e disponibilidade.

Os princípios proporcionam foco e permitem ao especialista de segurança
cibernética priorizar ações ao proteger qualquer sistema em rede.
A confidencialidade impede a divulgação de informações para pessoas,

recursos ou processos não autorizados. Integridade refere-se à precisão,
consistência e confiabilidade dos dados.
Finalmente, a disponibilidade garante que as informações estejam

acessíveis para usuários autorizados quando necessário. Use o acrônimo CIA
para se lembrar desses três princípios.

Os estados dos dados
O espaço cibernético é um domínio que contém uma quantidade

considerável de dados essencialmente importantes e, portanto, os especialistas
em segurança cibernética se concentram na proteção dos dados.
A segunda dimensão do cubo de segurança cibernética se concentra no

problema da proteção a todos os estados dos dados no espaço cibernético.
Os dados têm três possíveis estados:
 Dados em trânsito
 Dados inativos ou em armazenamento
 Dados em processamento
A proteção do espaço cibernético exige que os profissionais de segurança

cibernética se responsabilizem pela proteção dos dados em todos os três
estados.

Proteções da segurança cibernética
A terceira dimensão do cubo de segurança cibernética define as

qualificações profissionais e a disciplina que um profissional de segurança
cibernética pode usar para proteger o espaço cibernético.
Os profissionais de segurança cibernética devem usar uma variedade de

diferentes qualificações profissionais e disciplinas disponíveis a eles, ao proteger
os dados no espaço cibernético. Eles devem fazer isso mantendo-se no “lado
correto” da lei.
O cubo de segurança cibernética identifica os três tipos de qualificações

profissionais e disciplinas usadas para proporcionar proteção. A primeira
qualificação profissional inclui as tecnologias, os dispositivos e os produtos
disponíveis para proteger os sistemas de informação e se defender de
criminosos virtuais.
Os profissionais de segurança cibernética têm uma reputação de dominar

as ferramentas tecnológicas à sua disposição. No entanto, McCumber os lembra
de que as ferramentas tecnológicas não são o bastante para derrotar os
criminosos virtuais.
Os profissionais de segurança cibernética também devem construir uma

defesa com o estabelecimento de políticas, procedimentos e diretrizes que
permitem que os usuários do espaço cibernético fiquem seguros e sigam as boas
práticas.
Finalmente, os usuários do espaço cibernético devem se esforçar para ter

mais conhecimento sobre as ameaças do espaço cibernético e estabelecer uma
cultura de aprendizagem e reconhecimento.
O princípio da confidencialidade
A confidencialidade impede a divulgação de informações para pessoas,

recursos ou processos não autorizados. Um outro termo para confidencialidade
é privacidade.
As empresas restringem o acesso para garantir que apenas os

operadores autorizados possam usar dados ou outros recursos de rede. Por
exemplo, um programador não deve ter acesso às informações pessoais de
todos os funcionários.

As empresas precisam treinar os funcionários sobre as melhores práticas

para proteção de informações confidenciais, para se protegerem e também à
organização, contra ataques. Os métodos usados para garantir a
confidencialidade incluem criptografia, autenticação e controle de acesso aos
dados.
Proteção da privacidade dos dados
As empresas coletam uma grande quantidade de dados. Muitos desses

dados não são confidenciais, pois estão publicamente disponíveis, como nomes
e números de telefones.
Outros dados coletados, no entanto, são confidenciais. As informações

confidenciais são dados protegidos contra acessos não autorizados para
proteger um indivíduo ou uma organização.
Há três tipos de informações confidenciais:
 Informações pessoais são informações de identificação pessoal

(PII) de um determinado um indivíduo. A figura abaixo lista essa categoria
de dados.
 Informações comerciais são informações que incluem qualquer

coisa que possa representar um risco para a empresa, se descoberta pelo
público ou por um concorrente. A Figura abaixo lista essa categoria de
dados.

 Informações confidenciais são informações pertencentes a um

órgão do governo, classificadas pelo seu nível de sensibilidade. A Figura
abaixo lista essa categoria de dados.
Controle de acesso
O controle do acesso define vários esquemas de proteção que impedem

o acesso não autorizado a um computador, a uma rede, a um banco de dados
ou a outros recursos de dados. Os conceitos de AAA envolvem três serviços de

segurança: autenticação, autorização e accounting. Esses serviços

proporcionam a estrutura principal para controlar o acesso.
O primeiro "A" no AAA representa a autenticação. Autenticação verifica

a identidade de um usuário para evitar acesso não autorizado. Os usuários
provam sua identidade com um nome de usuário ou um ID. Além disso, os
usuários precisam verificar sua identidade proporcionando uma das opções a
seguir:
 Algo que saibam (como uma senha)
 Algo que tenham (como um token ou cartão)
 Algo que sejam (como uma impressão digital)
Por exemplo, se você vai a um caixa eletrônico tirar dinheiro, precisa do

cartão do banco (algo que você tem) e precisa saber a senha. Isso também é
um exemplo de autenticação multifatorial. A autenticação multifatorial requer
mais de um tipo de autenticação. A forma mais popular de autenticação é o uso
de senhas.
Serviços de autorização determinam quais recursos os usuários podem

acessar, juntamente com as operações que os usuários podem executar.
Alguns sistemas fazem isso usando uma lista de controle de acesso, ou

uma ACL. Uma ACL determina se um usuário tem certos privilégios de acesso
depois de se autenticar.
Só porque você pode fazer logon na rede corporativa não significa que
você tem permissão para usar a impressora colorida de alta velocidade. A
autorização também pode controlar quando um usuário tem acesso a um recurso
específico. Por exemplo, os funcionários podem ter acesso a um banco de dados
de vendas durante o horário comercial, mas o sistema os bloqueia, depois de
horas.
Accounting mantém controle sobre o que os usuários fazem, incluindo o

que acessam, a quantidade de tempo que acessam os recursos e as alterações
feitas. Por exemplo, um banco mantém o controle da conta de cada cliente.
Uma auditoria do sistema pode revelar o tempo e o valor de todas as

transações e o funcionário ou o sistema que executou as transações. Serviços
de accounting de segurança cibernética funcionam da mesma maneira.

O sistema controla cada transação de dados e fornece os resultados da

auditoria. Um administrador pode configurar políticas de computador, para
permitir a auditoria do sistema.
O conceito de AAA é semelhante ao uso de um cartão de crédito. O cartão

de crédito identifica quem pode usá-lo, determina quanto o usuário pode gastar
e contabiliza os itens ou serviços que o usuário comprou.
O Accounting controla e monitora em tempo real. Sites, como o Norse,

mostram ataques em tempo real com base em dados coletados como parte de
um sistema de estrutura de accounting ou de rastreamento.
Leis e responsabilidade
A confidencialidade e a privacidade parecem intercambiáveis, mas do

ponto de vista legal, elas significam coisas diferentes. A maioria dos dados de
privacidade é confidencial, mas nem todos dados confidenciais são privados.
O acesso a informações confidenciais ocorre depois da confirmação da

autorização adequada. Instituições financeiras, hospitais, profissionais da área
médica, escritórios de advocacia e empresas em geral processam informações
confidenciais. As informações confidenciais têm um status não público. A
manutenção da confidencialidade é mais que um dever ético.
A privacidade é o uso adequado dos dados. Quando as organizações

coletam informações fornecidas pelos clientes ou funcionários, elas devem usar
esses dados apenas para a finalidade a que se designam. A maioria das
empresas exigirá que o cliente ou o funcionário assine um formulário de
liberação, dando à empresa permissão para usar os dados.
Todas as leis listadas na figura incluem uma provisão para lidar com a
privacidade, começando com as leis dos Estados Unidos.

A Figura abaixo lista uma amostragem dos esforços internacionais. A

maioria dessas leis é uma resposta ao enorme crescimento da coleta de dados.
O número crescente de estatutos relacionados à privacidade cria um

enorme fardo para empresas que coletam e analisam dados. As políticas são o
melhor caminho para uma empresa ficar em conformidade com o número
crescente de leis relacionadas à privacidade. As políticas permitem que as
empresas apliquem regras, procedimentos e processos específicos ao coletar,
armazenar e compartilhar dados.
Princípio da integridade de dados
A integridade é a precisão, a consistência e a confiabilidade dos dados

durante todo o seu ciclo de vida. Um outro termo para integridade é qualidade.
Os dados passam por várias operações, como captura, armazenamento,
recuperação, atualização e transferência. Os dados devem permanecer
inalterados durante todas essas operações por entidades não autorizadas.
Os métodos usados para garantir a integridade de dados incluem hashing,

verificações de validação de dados, verificações de consistência dos dados e
controles de acesso. Sistemas de integridade de dados podem incluir um ou mais
dos métodos listados acima.
Necessidade de integridade de dados
A integridade de dados é um componente fundamental da segurança da

informação. A necessidade de integridade de dados varia, com base em como a
organização usa os dados. Por exemplo, o Facebook não verifica os dados que
um usuário publica em um perfil.
Um banco ou organização financeira atribui uma importância mais alta à

integridade de dados do que o Facebook. As transações e as contas de clientes
devem ser precisas. Em uma empresa de serviços de saúde, a integridade de
dados pode ser uma questão de vida ou morte. As informações de prescrição
devem ser precisas.

A proteção da integridade de dados é um desafio constante para a maioria

das empresas. A perda da integridade de dados pode tornar recursos de dados
inteiros não confiáveis ou inutilizáveis.

Verificações de integridade
Uma verificação de integridade é uma forma de medir a consistência de

uma coleta de dados (um arquivo, uma foto ou um registro). A verificação de
integridade realiza um processo chamado de função hash para tirar um retrato
de dados em um momento específico. A verificação de integridade usa o
snapshot para garantir que os dados permaneçam inalterados.

Uma soma de verificação é um exemplo de uma função hash. Uma soma

de verificação verifica a integridade de arquivos, ou de strings de caracteres,
antes e depois de serem transferidos de um dispositivo para outro por uma rede
local ou pela Internet.
As somas de verificação simplesmente convertem cada conjunto de

informações para um valor e soma o total. Para testar a integridade de dados,
um sistema de recebimento apenas repete o processo. Se as duas somas forem
iguais, os dados são válidos (Figura abaixo). Se não forem iguais, uma mudança
ocorreu em algum lugar ao longo da linha.
Funções hash comuns incluem MD5, SHA-1, SHA-256 e SHA-512. Essas

funções hash usam algoritmos matemáticos complexos. O valor de hash está
simplesmente ali para comparação. Por exemplo, depois de baixar um arquivo,
o usuário pode verificar a integridade do arquivo, comparando os valores de hash
da fonte com o valor gerado por qualquer calculadora de hash.
As empresas usam controle de versão para evitar alterações acidentais

por usuários autorizados. Dois usuários não podem atualizar o mesmo objeto.
Os objetos podem ser arquivos, registros de banco de dados ou transações. Por
exemplo, o primeiro usuário a abrir um documento tem a permissão para alterar
esse documento. A segunda pessoa tem uma versão somente leitura.

Backups precisos ajudam a manter a integridade de dados, se os dados

forem corrompidos. Uma empresa precisa verificar o seu processo de backup
para garantir a integridade do backup, antes que ocorra perda de dados.
A autorização determina quem tem acesso aos recursos da empresa, de

acordo com a necessidade de cada um. Por exemplo, controles de acesso de
usuário e permissões de arquivo garantem que apenas determinados usuários
possam modificar os dados. Um administrador pode definir as permissões de um
arquivo como somente leitura. Como resultado, um usuário que acessa esse
arquivo não pode fazer nenhuma alteração.
O princípio da disponibilidade
A disponibilidade dos dados é o princípio usado para descrever a

necessidade de manter a disponibilidade dos sistemas e serviços de informação
o tempo todo. Ataques cibernéticos e falhas do sistema podem impedir o acesso
a sistemas e serviços de informação.
Por exemplo, a interrupção da
disponibilidade do site de um
concorrente por causa de um ataque
pode proporcionar uma vantagem para
seu rival.
Ataques DoS (Denial-of-service,

Negação de serviço) ameaçam a
disponibilidade do sistema e impedem
que usuários legítimos acessem e usem
os sistemas de informações, quando
necessário.
Os métodos usados para garantir

a disponibilidade incluem a redundância
do sistema, backups do sistema, maior
resiliência do sistema, manutenção de equipamentos, sistemas operacionais e
software atualizados e planos para recuperação rápida de desastres não
previstos.
Os cinco noves
As pessoas usam vários sistemas de informação em suas vidas

diariamente. Computadores e sistemas de informação controlam a comunicação,
o transporte e a fabricação de produtos. A disponibilidade contínua dos sistemas

de informação é fundamental para a vida moderna. O termo alta disponibilidade

descreve sistemas concebidos para evitar períodos de inatividade. A alta
disponibilidade garante um nível de desempenho por um período maior que o
período normal. Sistemas de alta disponibilidade normalmente são projetados
para incluírem três princípios:
 Eliminar pontos únicos de falha

 Proporcionar transição confiável
 Detectar falhas à medida que ocorrem

O objetivo é a capacidade de continuar a operar em condições extremas,

como durante um ataque. Dentre as práticas mais populares de alta
disponibilidade estão os cinco noves. Os cinco noves referem-se a 99,999%.
Isso significa que o período de inatividade é menos de 5,26 minutos por ano.
Assegurando a disponibilidade
As empresas podem garantir a disponibilidade implementando o seguinte:
 Manutenção de equipamentos
 Atualizações do sistema e do SO
 Teste de backup
 Planejamento contra desastres
 Implementações de novas tecnologias
 Monitoramento de atividades incomuns
 Teste de disponibilidade

Tipos de armazenamento de dados
Dados armazenados são dados em repouso. Dados em repouso significa

que um tipo de dispositivo de armazenamento retém os dados quando nenhum
usuário ou processo os está usando. Um dispositivo de armazenamento pode
ser local (em um dispositivo de computação) ou centralizado (na rede). Existem
várias opções para armazenamento de dados.
Armazenamento local (DAS) é um armazenamento conectado a um

computador. Um disco rígido ou flash drive USB é um exemplo de
armazenamento local. Por padrão, os sistemas não são configurados para
compartilhar o armazenamento com conexão direta.
A Matriz redundante de riscos independentes (RAID) usa vários discos

rígidos em uma matriz, o que é um método de combinação de vários discos para
que o sistema operacional os veja como um único disco. A RAID fornece
desempenho melhorado e tolerância a falhas.
Um dispositivo de armazenamento em rede (NAS) é um dispositivo de

armazenamento conectado a uma rede que permite o armazenamento e a

recuperação de dados de um local centralizado por usuários de rede autorizados.

Os dispositivos NAS são flexíveis e escaláveis, o que significa que os
administradores podem aumentar a capacidade, conforme precisarem.
Uma arquitetura SAN (storage area network, rede de área de

armazenamento) é um sistema de armazenamento em rede. Os sistemas SAN
conectam-se à rede usando interfaces de alta velocidade que permitem
desempenho melhorado e a habilidade de conectar vários servidores em um
repositório de armazenamento de disco centralizado.
Armazenamento em nuvem é uma opção de armazenamento remoto que

usa o espaço em um provedor de data center e é acessível de qualquer
computador com acesso à Internet. Google Drive, iCloud e Dropbox são
exemplos de provedores de armazenamento em nuvem.
Desafios da proteção dos dados armazenados
As empresas têm uma tarefa desafiadora, ao tentar proteger os dados

armazenados. Para melhorar o armazenamento de dados, as empresas podem
automatizar e centralizar os backups de dados.
O local pode ser um dos tipos mais difíceis de armazenamento de dados

para gerenciar e controlar. O local é vulnerável a ataques mal-intencionados no
host local. Os dados armazenados também podem incluir dados de backup. Os
backups podem ser manuais ou automáticos. As empresas devem limitar os tipos
de dados armazenados no armazenamento local. Especialmente os dados
essenciais de uma empresa não deveriam ser armazenados em dispositivos de
armazenamento local.
Os sistemas de armazenamento em rede proporcionam uma opção mais

segura. Os sistemas de armazenamento em rede, incluindo RAID, SAN e NAS,
proporcionam maior desempenho e redundância. No entanto, os sistemas de
armazenamento em rede são mais complicados de configurar e gerenciar. Eles
também suportam mais dados, o que pode representar um risco maior para a
empresa, se o dispositivo falhar. Os desafios dos sistemas de armazenamento
em rede incluem configuração, testes e monitoramento do sistema.
Métodos de transmissão de dados
A transmissão de dados envolve o envio de informações de um dispositivo

para outro. Há vários métodos para transmitir informações entre dispositivos,
incluindo:

Rede sigilosa – usa mídia removível para transferir fisicamente os

dados de um computador para outro
 Redes cabeadas – usam cabos para transmitir dados
 Redes sem fio – usam ondas de rádio para transmitir dados
As empresas nunca conseguirão eliminar o uso de uma rede sigilosa.
As redes cabeadas incluem redes com fio de cobre e mídia de fibra óptica.
As redes cabeadas podem atender a uma área geográfica local (Rede de área
local) ou podem englobar grandes distâncias (rede de longa distância).
As redes sem fio estão substituindo as redes cabeadas. As redes sem fio
estão se tornando mais rápidas e podem suportar mais largura de banda. As
redes sem fio expandem o número de usuários convidados com dispositivos
móveis nas redes do escritório pequeno, do escritório residencial (SOHO) e nas
redes empresariais.
As redes com e sem fio usam pacotes ou unidades de dados. O termo

pacote refere-se a uma unidade de dados que percorre o caminho entre uma
origem e um destino na rede. Protocolos padrão como o protocolo de Internet
(IP) e o protocolo de transferência de hipertexto (HTTP) definem a estrutura e a
formação de pacotes de dados.
Esses padrões têm código aberto e estão disponíveis ao público. Proteger

a confidencialidade, a integridade e a disponibilidade dos dados transmitidos é
uma das responsabilidades mais importantes de um profissional de segurança
cibernética.
Desafios da proteção dos dados em trânsito
A proteção de dados transmitidos é um dos trabalhos mais desafiadores

de um profissional de segurança cibernética. Com o crescimento em dispositivos
móveis e sem fios, os profissionais de segurança cibernética são responsáveis
por proteger enormes quantidades de dados que passam pela sua rede
diariamente. O profissional de segurança cibernética deve lidar com vários
desafios na proteção desses dados:
 Proteção da confidencialidade dos dados – os criminosos

virtuais podem capturar, salvar e roubar dados em trânsito. Os profissionais
da segurança cibernética devem tomar medidas para combater essas
ações.

 Proteção da integridade de dados – os criminosos virtuais podem

interceptar e modificar dados em trânsito. Os profissionais de segurança
cibernética implantam sistemas de integridade de dados que testam a
integridade e a autenticidade dos dados transmitidos para combater essas
ações.
 Proteção da disponibilidade dos dados - os criminosos virtuais

podem usar dispositivos falsos ou não autorizados para interromper a
disponibilidade dos dados. Um simples dispositivo móvel pode servir como
um access point sem fio local e enganar usuários desavisados para se
associarem a um dispositivo falso.
Os criminosos virtuais podem sequestrar uma conexão autorizada a

um serviço ou dispositivo protegido. Os profissionais de segurança
de rede podem implementar sistemas de autenticação mútua para
combater essas ações.
Os sistemas de autenticação mútua exigem que o usuário se

autentique no servidor e solicitam que o servidor se autentique no
usuário.

Formas de processamento de dados e computação
O terceiro estado dos dados são os dados em processamento. Esse

estado se refere aos dados durante a entrada inicial, a modificação, o cálculo ou
a saída.
A proteção da integridade de dados começa com a entrada inicial dos

dados. As organizações usam vários métodos para coletar dados, como entrada
manual de dados, digitalização de formulários, carregamentos de arquivos e
dados coletados dos sensores. Cada um desses métodos impõe possíveis
ameaças à integridade de dados.
Um exemplo de corrupção de dados

durante o processo de entrada inclui erros
de entrada de dados ou sensores de
sistema inoperantes, desconectados ou
com mau funcionamento. Outros exemplos
podem incluir formatos de dados incorretos
ou não correspondentes e rotulagem
errada.
A modificação dos dados refere-se a

qualquer mudança nos dados originais,
como modificação manual dos dados pelos
usuários, processamento de programas e alteração dos dados, além de falhas
em equipamentos que podem resultar em modificação dos dados.
Processos como codificação/decodificação,

compactação/descompactação e criptografia/descriptografia são todos
exemplos de modificações de dados. Código malicioso também resulta em
corrupção dos dados.
A corrupção de dados também ocorre durante o processo de saída de

dados. Saída de dados refere-se à saída de dados para impressoras, displays
eletrônicos ou diretamente para outros dispositivos.
A precisão dos dados de saída é fundamental, pois fornece informações

e influencia a tomada de decisões.
Exemplos de corrupção dos dados de saída incluem o uso incorreto de

delimitadores de dados, configurações de comunicação incorretas e
configuração inadequada de impressoras.

Desafios da proteção dos dados em processamento
A proteção contra a modificação inválida de dados durante o

processamento pode ter um efeito adverso. Erros de software são o motivo de
muitos acidentes e desastres. Por exemplo, apenas duas semanas antes do
Natal, alguns varejistas parceiros da Amazon perceberam uma mudança no
preço anunciado em seus artigos para apenas um centavo de dólar. A falha
durou uma hora.
O erro resultou em milhares de compradores fazendo o melhor negócio

de suas vidas e na empresa perdendo receitas. Em 2016, o termostato Nest
apresentou defeito e deixou os usuários sem aquecimento. O termostato Nest é
uma tecnologia inteligente, da Google.
Uma falha de software deixou os usuários, literalmente, no frio. Uma

atualização deu errado, drenando as baterias do dispositivo e deixando-o
incapaz de controlar a temperatura. Como resultado, os clientes não
conseguiram aquecer suas casas ou obter água quente em um dos fins de
semana mais frios do ano.
A proteção de dados durante o processamento requer sistemas bem

projetados. Os profissionais de segurança cibernética criam políticas e
procedimentos que exigem teste, manutenção e atualização de sistemas para
mantê-los funcionando com o mínimo de erros.

Proteções de tecnologia baseadas em software
As proteções de tecnologia incluem programas e serviços que protegem

sistemas operacionais, bancos de dados e outros serviços sendo executados em
estações de trabalho, dispositivos portáteis e servidores. Os administradores
instalam contramedidas ou proteções baseadas em software em hosts ou
servidores individuais. Existem várias tecnologias baseadas em software usadas
para proteger os ativos de uma empresa:
 Os firewalls de software controlam o acesso remoto a um software.

Os sistemas operacionais normalmente incluem um firewall ou um usuário
pode comprar ou fazer download de software de terceiros.
Scanners de rede e de porta detectam e monitoram portas abertas

em um host ou servidor.
 Analisadores de protocolo, ou analisadores de assinatura, são

dispositivos que coletam e examinam o tráfego de rede. Eles identificam
problemas de desempenho, detectam problemas de configuração,
identificam aplicativos com comportamento inadequado, estabelecem o
parâmetro e os padrões de tráfego normal e depuram problemas de
comunicação.
 Scanners de vulnerabilidades são programas de computador

projetados para avaliar os pontos fracos em computadores ou redes.
 Sistemas de detecção de invasão baseados em host (IDS)

examinam as atividades apenas em sistemas de host. Um IDS gera arquivos
de log e mensagens de alarme quando detecta atividade incomum. Um
sistema que armazena dados confidenciais ou que presta serviços
essenciais é um candidato para IDS baseado em host.
Proteções de tecnologia baseadas em hardware
Existem várias tecnologias baseadas em hardware usadas para proteger

os ativos de uma empresa:
 Dispositivos de firewall bloqueiam o tráfego indesejado. Os firewalls

contêm regras que definem o tráfego permitido dentro e fora de uma rede.

 Sistemas de detecção de invasão (IDS) detectam sinais de ataques

ou tráfego incomum em uma rede e enviam um alerta.
 Sistemas de prevenção de intrusões (IPS) detectam sinais de

ataques ou tráfego incomum em uma rede, geram um alerta e tomam
medidas corretivas.
 Os serviços de filtros de conteúdo controlam o acesso e a

transmissão de conteúdo ofensivo ou censurável.
Proteções de tecnologia baseadas em rede
Existem várias tecnologias baseadas em rede usadas para proteger os

ativos da empresa:
 Rede privada virtual (VPN) é uma rede virtual segura que usa a
rede pública (ou seja, a Internet). A segurança de uma VPN está na
criptografia do conteúdo do pacote entre os endpoints que definem a VPN.
 Network Access Control (NAC) requer um conjunto de

verificações antes de permitir que um dispositivo se conecte a uma rede.
Algumas verificações comuns incluem software antivírus atualizados ou
atualizações do sistema operacional instaladas.

 Segurança de access point sem fio inclui a implementação de

autenticação e criptografia.
Proteções de tecnologia baseadas na nuvem
As tecnologias baseadas na nuvem mudam o componente de tecnologia

da organização para o provedor de nuvem. Os três principais serviços de
computação em nuvem são:
 Software as a Service (SaaS) permite aos usuários ter acesso a

bancos de dados e software de aplicativo. Os provedores de nuvem
gerenciam a infraestrutura. Os usuários armazenam dados nos servidores
do provedor de nuvem.
 Infrastructure as a Service (IaaS) fornece recursos de

computação virtualizados pela Internet. O provedor hospeda o hardware, o
software, os servidores e os componentes de armazenamento.
 Platform as a Service (PaaS) proporciona acesso a ferramentas e

serviços de desenvolvimento usados para entregar os aplicativos.
Os provedores de serviços de nuvem ampliaram essas opções para incluir

IT as a Service (ITaaS), que proporciona suporte para os modelos de serviço
IaaS, PaaS e SaaS. No modelo ITaaS, a empresa contrata serviços individuais
ou em pacote com o provedor de serviços em nuvem.
Provedores de serviços de nuvem usam dispositivos de segurança virtual

que são executados dentro de um ambiente virtual com um sistema operacional
pré-preparado em pacotes, codificado, sendo executado em hardware
virtualizado.
Implementação de educação e treinamento em segurança cibernética
Investir muito dinheiro em tecnologia não fará diferença se as pessoas

dentro da empresa forem o elo mais fraco da segurança cibernética. Um
programa de conscientização sobre segurança é extremamente importante para
uma organização. Um funcionário pode não ser intencionalmente malicioso, mas
simplesmente desconhecer quais são os procedimentos adequados. Há várias
formas de implementar um programa de treinamento formal:
 Torne o treinamento de conscientização de segurança uma parte

do processo de integração do funcionário

 Vincule a conscientização de segurança aos requisitos do trabalho

ou às avaliações de desempenho
 Realize sessões de treinamento presenciais
 Complete cursos on-line
A conscientização de segurança deve ser um processo contínuo, já que

novas ameaças e técnicas estão sempre surgindo.
Estabelecimento de uma cultura de conscientização de segurança

cibernética
Os membros de uma empresa devem ter consciência das políticas de

segurança e ter o conhecimento para fazer parte da segurança de suas
atividades diárias.
Um programa de conscientização de segurança ativo depende:
 Do ambiente da empresa
 Do nível de ameaça
A criação de uma cultura de conscientização de segurança cibernética é

um esforço contínuo que requer a liderança da alta gerência e o compromisso

de todos os usuários e funcionários. Afetar a cultura de segurança cibernética de

uma empresa começa com o estabelecimento de políticas e procedimentos pela
gerência. Por exemplo, muitas empresas têm dias de conscientização de
segurança cibernética. As empresas também podem publicar banners e
sinalização para aumentar a conscientização geral de segurança cibernética. A
criação de seminários e workshops de orientação de segurança cibernética
ajudam a aumentar a conscientização.
Políticas
Uma política de segurança é um conjunto de objetivos de segurança para

uma empresa que inclui regras de comportamento para os usuários e
administradores e especifica os requisitos do sistema. Esses objetivos, regras e
requisitos garantem, juntos, a segurança da rede, dos dados e dos sistemas de
computador de uma organização.
Uma política de segurança abrangente realiza várias tarefas:
 Demonstra um comprometimento da empresa com a segurança.
 Define as regras para o comportamento esperado.
Isso garante a consistência nas operações do sistema, nas

aquisições, no uso e na manutenção de hardware e de software.
 Define as consequências jurídicas das violações.
 Dá o apoio da gerência à equipe de segurança.
Políticas de segurança informam os usuários, funcionários e gerentes dos

requisitos de uma empresa para a proteção de ativos de tecnologia e de
informação. Uma política de segurança também especifica os mecanismos
necessários para atender aos requisitos de segurança.
Como mostrado na figura, uma política de segurança normalmente inclui:
 Políticas de identificação e autenticação -Especifica pessoas

autorizadas para acesso aos recursos de rede e define procedimentos de
verificação.
 Políticas de senhas - Garante que as senhas atendam aos

requisitos mínimos e sejam alteradas regularmente.

 Políticas de uso aceitável -Identifica os recursos e o uso da rede

que são aceitáveis para a empresa. Também pode identificar ramificações
para violações de política.

Políticas de acesso remoto - Identifica como os usuários remotos
podem acessar uma rede e o que é remotamente acessível.
 Políticas de manutenção de rede - Especifica procedimentos de

atualização de sistemas operacionais e de aplicativos de usuários finais dos
dispositivos de rede.
 Políticas de tratamento de incidentes - Descreve como os

incidentes de segurança são tratados.
Um dos componentes de política de segurança mais comuns é uma

política de uso aceitável (AUP). Esse componente define o que os usuários
podem ou não fazer nos vários componentes do sistema.
A AUP deve ser o mais explícita possível, para evitar mal-entendidos. Por
exemplo, uma AUP lista sites, grupos de notícias ou aplicativos específicos de
uso intensivo de largura de banda que os usuários não podem acessar usando
computadores ou a rede da empresa.
Padrões
Os padrões ajudam uma equipe de TI a manter a consistência no

funcionamento da rede. Documentos de padrões proporcionam as tecnologias
que usuários ou programas específicos precisam, além de qualquer requisito ou
critério de programa que uma empresa deve seguir. Isso ajuda a equipe de TI
melhorar a eficiência e simplicidade no design, manutenção e solução de
problemas.
Um dos princípios de segurança mais importantes é a consistência. Por

esse motivo, é necessário que as empresas estabeleçam padrões. Cada
empresa desenvolve padrões para suporte de seu único ambiente operacional.
Por exemplo, uma empresa estabelece uma política de senhas.
O padrão é que as senhas requerem um mínimo de oito caracteres

alfanuméricos maiúsculos e minúsculos, incluindo pelo menos um caractere
especial. Um usuário deve alterar a senha a cada 30 dias e um histórico das 12
senhas anteriores garante que o usuário crie senhas exclusivas durante um ano.

Diretrizes
As diretrizes são uma lista de sugestões sobre como fazer as coisas de

forma mais eficiente e com segurança. Eles são semelhantes aos padrões, mas
mais flexíveis e, geralmente, não são obrigatórios. As diretrizes definem como
os padrões são desenvolvidos e garantem adesão às políticas de segurança
gerais.
Algumas das orientações mais úteis compõem as melhores práticas de

uma empresa. Além das melhores práticas definidas de uma empresa, as
orientações também estão disponíveis das seguintes instituições:
 Centro de recursos de segurança de computador do Instituto

Nacional de Padrões e Tecnologia (NIST) (Figura 1)
 Orientações de configuração de segurança nacional (NSA) (Figura

2)

 O padrão de critérios comuns (Figura 3)
Usando o exemplo de políticas de senha, uma diretriz é uma sugestão de

que o usuário use uma frase como "I have a dream" e converta-a para uma senha
forte, Ihv@dr3@m. O usuário pode criar outras senhas com essa frase, alterando
o número, movendo o símbolo ou alterando o sinal de pontuação.
Procedimentos
Documentos de procedimentos são mais longos e mais detalhados que

os padrões e diretrizes. Documentos de procedimentos incluem detalhes de
implementação que normalmente contêm instruções e gráficos passo a passo.
A figura mostra um exemplo do procedimento usado para alterar uma

senha. Grandes empresas devem usar documentos de procedimentos para
manter a consistência de implantação que é necessária para um ambiente
seguro.

Visão geral do modelo
Os profissionais de segurança precisam proteger as informações de ponta

a ponta na organização. Essa é uma tarefa muito importante e não devemos
esperar que um único indivíduo tenha todo o conhecimento necessário.
A Organização internacional de normalização (ISO) / Comissão

eletrotécnica internacional (IEC) desenvolveram uma estrutura abrangente para
orientar o gerenciamento de segurança da informação. O modelo de segurança
cibernética da ISO/IEC é para profissionais de segurança cibernética o que o
modelo de rede OSI é para engenheiros de rede. Ambos proporcionam uma
estrutura para entendimento e abordagem de tarefas complexas.
Domínios de segurança cibernética
ISO/IEC 27000 é um padrão de segurança da informação publicada em

2005 e revisada em 2013. A ISO publica os padrões ISO 27000. Embora os
padrões não sejam obrigatórios, a maioria dos países os usa como uma estrutura
de fato para implementação da segurança da informação.
Os padrões ISO 27000 descrevem a implementação de um sistema de

gerenciamento de segurança da informação abrangente (ISMS). Um ISMS
consiste em todos os controles administrativos, técnicos e operacionais para
manter a informação segura dentro de uma empresa. Doze domínios
independentes representam os componentes do padrão ISO 27000. Esses doze
domínios servem para organizar, em alto nível, as vastas áreas de informações
cobertas pela segurança da informação.
A estrutura do modelo de segurança cibernética ISO é diferente do modelo

OSI, pois usa domínios, e não camadas, para descrever as categorias de
segurança. O motivo para isso é que o modelo de segurança cibernética ISO
não é uma relação hierárquica.
É um modelo não hierárquico, em que cada domínio tem uma relação

direta com os outros domínios. O modelo de segurança cibernética ISO 27000 é
muito semelhante ao modelo OSI e é vital para os especialistas em segurança
cibernética entender esses dois modelos para ter sucesso.
Os doze domínios servem como uma base comum para o

desenvolvimento de padrões de segurança organizacional e de práticas eficazes
de gerenciamento de segurança. Também ajudam a facilitar a comunicação
entre as empresas.

Objetivos de controle
Os doze domínios consistem em objetivos de controle definidos na parte

27001 do padrão. Os objetivos de controle definem os requisitos de alto nível
para implementar um ISM abrangente. A equipe de gerência de uma empresa
usa os objetivos de controle do padrão ISO 27001 para definir e publicar as
políticas de segurança da empresa.
Os objetivos de controle proporcionam uma checklist que deve ser usada

durante as auditorias de gerenciamento de segurança. Muitas empresas
precisam passar uma auditoria de ISMS para ganhar uma designação de
conformidade com ISO 27001.
Certificação e conformidade proporcionam confiança para duas empresas

que precisam confiar nos dados confidenciais uma da outra. Auditorias de
conformidade e de segurança provam que as empresas estão melhorando
continuamente seu sistema de gerenciamento de segurança da informação.
A seguir temos um exemplo de um objetivo de controle:

Controlar o acesso a redes usando os mecanismos de autenticação

adequados para os usuários e equipamentos.
Controles
O padrão ISO/IEC 27002 define controles de sistema de gerenciamento

de segurança da informação. Os controles são mais detalhados que objetivos.
Os objetivos de controle informam à empresa o que fazer. Controles definem
como atingir o objetivo.
Com base no objetivo de controle, para controle de acesso a redes usando

os mecanismos de autenticação adequados para usuários e equipamentos, o
controle seria:
Use senhas fortes. Uma senha forte é composta de pelo menos oito
caracteres que são uma combinação de letras, números e símbolos (@, #, $, %,
etc.) se permitido. As senhas diferenciam maiúsculas de minúsculas, portanto,
uma senha forte contém letras em maiúsculas e minúsculas.
Profissionais de segurança cibernética reconhecem o seguinte:

Controles não são obrigatórios, mas
são amplamente aceitos e adotados.
 Os controles devem manter

neutralidade de fornecedor para evitar a
aparência de endossar um produto ou empresa
específico.
 Controles são como diretrizes. Isso

significa que pode haver mais de uma maneira
de atingir o objetivo.

O modelo de segurança cibernética ISO e a Tríade CIA
O padrão ISO 27000 é uma estrutura universal para cada tipo de empresa.
Para usar a estrutura de forma eficaz, uma organização deve limitar quais
domínios, objetivos de controle e controles aplicar a seu ambiente e a suas
operações.
Os objetivos de controle da ISO 27001 serve como uma lista de

verificação. A primeira etapa realizada por uma organização é determinar se
esses objetivos de controle são aplicáveis à organização. A maioria das
empresas geram um documento chamado Declaração de aplicabilidade (SOA).
A SOA define quais objetivos de controle a empresa precisa usar.
Diferentes empresas colocam maior prioridade sobre a confidencialidade,

integridade e disponibilidade, dependendo do tipo de setor. Por exemplo, a
Google coloca o valor mais alto na disponibilidade e confidencialidade de dados
do usuário e menos na integridade.
A Google não verifica os dados do usuário. A Amazon coloca alta ênfase

na disponibilidade. Se o site não estiver disponível, a Amazon não faz a venda.
Isso não significa que a Amazon ignora a
confidencialidade em favor da
disponibilidade.
A Amazon só coloca uma prioridade

mais alta na disponibilidade. Portanto, a
Amazon pode gastar mais recursos para
garantir que existam mais servidores
disponíveis para processar as compras
dos clientes.
Uma empresa adapta seu uso dos

objetivos de controle e dos controles
disponíveis para melhor atender as suas
prioridades em matéria de confidencialidade, integridade e disponibilidade.
O modelo de segurança cibernética ISO e os estados dos dados
Diferentes grupos na organização podem ser responsáveis pelos dados

em cada um dos vários estados. Por exemplo, o grupo de segurança da rede é
responsável pelos dados durante a transmissão. Os programadores e o pessoal
de entrada de dados são responsáveis pelos dados durante o processamento.

Os especialistas de suporte a hardware e servidor são responsáveis pelos dados

armazenados. Os controles ISO abordam, especificamente, os objetivos de
segurança dos dados em cada um dos três estados.
Nesse exemplo, os representantes de cada um dos três grupos ajudam a

identificar os controles que são aplicáveis e a prioridade de cada controle em sua
área. O representante do grupo de segurança de rede identifica os controles,
garantindo a confidencialidade, a integridade e a disponibilidade de todos os
dados transmitidos.
O modelo de segurança cibernética ISO e proteções
Os objetivos do controle ISO 27001 estão diretamente relacionados às

políticas, aos procedimentos e às diretrizes de segurança cibernética da
organização, determinados pela alta gerência. Os controles ISO 27002
proporcionam orientação técnica. Por
exemplo, a alta gerência estabelece uma
política, especificando a proteção de
todos os dados que entram ou saem da
organização. A implementação da
tecnologia para atingir os objetivos da
política não envolveria a alta gerência. É
responsabilidade dos profissionais de TI
implementar e configurar
adequadamente os equipamentos
usados para atender às diretivas da
política definidas pela alta gerência.

CIBERSEGURANÇA - AULA 02 - O Cubo de Magia Da Segurança Cibernética

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

CIBERSEGURANÇA - AULA 02 - O Cubo de Magia Da Segurança Cibernética

Enviado por

Direitos autorais:

Formatos disponíveis

CENTRO SALESIANO DO MENOR – CESAM/DF

PROGRAMA ADOLESCENTE/JOVEM APRENDIZ

Aprendizagem, mais que uma oportunidade!

Aula 2: O cubo da segurança cibernética

Os profissionais de segurança cibernética são mais bem descritos como

A primeira dimensão do cubo de segurança cibernética inclui os três

A segunda dimensão identifica os três estados das informações ou dos

A terceira dimensão do cubo identifica o conhecimento necessário para

O capítulo também discute o modelo de segurança cibernética ISO. O

A primeira dimensão do cubo de segurança cibernética identifica os

Esses três princípios são confidencialidade, integridade e disponibilidade.

A confidencialidade impede a divulgação de informações para pessoas,

Finalmente, a disponibilidade garante que as informações estejam

Aprendizagem, mais que uma oportunidade!

Os estados dos dados

O espaço cibernético é um domínio que contém uma quantidade

A segunda dimensão do cubo de segurança cibernética se concentra no

Os dados têm três possíveis estados:

 Dados inativos ou em armazenamento

A proteção do espaço cibernético exige que os profissionais de segurança

Aprendizagem, mais que uma oportunidade!

Proteções da segurança cibernética

A terceira dimensão do cubo de segurança cibernética define as

Os profissionais de segurança cibernética devem usar uma variedade de

O cubo de segurança cibernética identifica os três tipos de qualificações

Os profissionais de segurança cibernética têm uma reputação de dominar

Os profissionais de segurança cibernética também devem construir uma

Finalmente, os usuários do espaço cibernético devem se esforçar para ter

A confidencialidade impede a divulgação de informações para pessoas,

As empresas restringem o acesso para garantir que apenas os

Aprendizagem, mais que uma oportunidade!

As empresas precisam treinar os funcionários sobre as melhores práticas

Proteção da privacidade dos dados

As empresas coletam uma grande quantidade de dados. Muitos desses

Outros dados coletados, no entanto, são confidenciais. As informações

Há três tipos de informações confidenciais:

 Informações pessoais são informações de identificação pessoal

 Informações comerciais são informações que incluem qualquer

Aprendizagem, mais que uma oportunidade!

 Informações confidenciais são informações pertencentes a um

O controle do acesso define vários esquemas de proteção que impedem

Aprendizagem, mais que uma oportunidade!

segurança: autenticação, autorização e accounting. Esses serviços

O primeiro "A" no AAA representa a autenticação. Autenticação verifica

 Algo que saibam (como uma senha)

 Algo que tenham (como um token ou cartão)

 Algo que sejam (como uma impressão digital)

Por exemplo, se você vai a um caixa eletrônico tirar dinheiro, precisa do

Serviços de autorização determinam quais recursos os usuários podem

Alguns sistemas fazem isso usando uma lista de controle de acesso, ou

Accounting mantém controle sobre o que os usuários fazem, incluindo o

Uma auditoria do sistema pode revelar o tempo e o valor de todas as

Aprendizagem, mais que uma oportunidade!

O sistema controla cada transação de dados e fornece os resultados da

O conceito de AAA é semelhante ao uso de um cartão de crédito. O cartão

O Accounting controla e monitora em tempo real. Sites, como o Norse,

A confidencialidade e a privacidade parecem intercambiáveis, mas do

O acesso a informações confidenciais ocorre depois da confirmação da

A privacidade é o uso adequado dos dados. Quando as organizações

Aprendizagem, mais que uma oportunidade!

A Figura abaixo lista uma amostragem dos esforços internacionais. A

O número crescente de estatutos relacionados à privacidade cria um

Princípio da integridade de dados