CIBERSEGURANÇA - AULA 06 - O Mundo Dos Cinco Noves

CENTRO SALESIANO DO MENOR – CESAM/DF
PROGRAMA ADOLESCENTE/JOVEM APRENDIZ
Módulo - Cisco
CIBERSEGURANÇA
Brasília-DF, 2021
Aprendizagem, mais que uma oportunidade!

Aula 6: o conceito de cinco noves
As empresas que desejam maximizar a disponibilidade dos seus sistemas

e dados podem tomar medidas extraordinárias para minimizar ou eliminar a
perda de dados. O objetivo é minimizar o tempo de inatividade de processos de
missão crítica. Se os funcionários não puderem exercer as suas funções
regulares, a empresa está em risco de perder receita.
As empresas medem a disponibilidade pela porcentagem de tempo de

atividade. Este capítulo começa explicando o conceito de cinco noves. Muitas
indústrias devem manter os mais altos padrões disponibilidade, pois o tempo de
inatividade pode, literalmente, significar a diferença entre vida e morte.
Este capítulo discute diferentes abordagens que as empresas podem

tomar para ajudar a atingir seus objetivos de disponibilidade. A redundância
oferece backup e inclui componentes extras para computadores ou sistemas de
rede, para garantir que os sistemas permaneçam disponíveis.
Componentes redundantes podem incluir hardware, como unidades de

disco, servidores, switches e roteadores ou software, como sistemas
operacionais, aplicativos e bancos de dados. O capítulo também discute a
resiliência, a capacidade de um servidor, rede ou data center para recuperar-se
rapidamente e continuar a operação.
As empresas devem estar preparadas para responder a um incidente com

o estabelecimento de procedimentos que seguem, depois da ocorrência de um
evento. O capítulo conclui com uma discussão de recuperação de desastres e
de planejamento de continuidade dos negócios que são vitais para a manutenção
da disponibilidade dos recursos de uma empresa.
O que significam os Cinco Noves?
Os cinco noves significam que sistemas e serviços estão disponíveis

99,999% do tempo. Também significam que o período de inatividade não
planejado e o período de inatividade planejado são menos de 5,26 minutos por
ano. O gráfico na figura fornece uma comparação entre o período de inatividade
para várias porcentagens de disponibilidade.
Alta disponibilidade se refere a um sistema ou componente que fica em

operação continuamente, por um determinado período de tempo. Para ajudar a
garantir a alta disponibilidade, é importante:
 Eliminar pontos únicos de falha
 Design para confiabilidade

 Detectar falhas, à medida que elas ocorrem
Sustentar a alta disponibilidade com o padrão de cinco noves pode

aumentar os custos e utilizar muitos recursos. O aumento dos custos ocorre
devido a compra de hardware adicional, como servidores e componentes.
À medida que uma empresa adiciona componentes, o resultado é um

aumento na complexidade da configuração. Infelizmente, a maior complexidade
na configuração aumenta os fatores de risco. Quanto mais peças móveis
envolvidas, maior a probabilidade de componentes com falhas.
Ambientes que exigem cinco noves
Embora o custo de sustentar a alta disponibilidade possa ser muito alto

para alguns setores, vários ambientes necessitam de cinco noves.
 A indústria de finanças precisa manter a alta disponibilidade para

negociações contínuas, conformidade e confiança do cliente.
 As instalações de saúde exigem alta disponibilidade para prestar

cuidados 24 horas por dia, sete dias por semana, aos pacientes.
 A indústria de segurança pública inclui agências que fornecem
segurança e serviços para uma comunidade, estado ou nação.
 O setor de varejo depende de cadeias de abastecimento eficientes

e da entrega de produtos aos clientes. A interrupção pode ser devastadora,
especialmente durante os períodos de alta demanda, como feriados
comemorativos.
 O público espera que o setor de mídia de notícias comunique

informações sobre os eventos, à medida que eles ocorrem. O ciclo de
notícias agora é direto, 24/7.

Ameaças à disponibilidade
As seguintes ameaças representam um risco elevado para a

disponibilidade dos dados e das informações:
 Um usuário não autorizado entra e compromete o banco de dados

principal de uma empresa
 Um ataque DoS bem-sucedido afeta significativamente as
operações
 Uma empresa sofre uma perda significativa de dados confidenciais
 Um aplicativo de missão crítica cai
 Ocorre um comprometimento do usuário Admin ou root
 A detecção de um script entre sites ou de compartilhamento de

servidor de arquivos ilegais
 A desfiguração do site de uma empresa tem impacto nas relações
públicas
 Uma tempestade grave, como um furacão ou um tornado
Um evento catastrófico,
como um ataque terrorista,
bombardeio de edifício ou prédio
em chamas
 Utilitário de longo prazo ou

interrupção do provedor de serviço
 Danos causados pela

água como resultado de
inundações ou de extintores de
incêndios
Categorizar o nível de impacto

para cada ameaça ajuda uma empresa
a perceber o impacto em dólares de uma
ameaça. Clique nas categorias de
ameaça na figura para ver um exemplo
de cada uma.

Projetar um sistema de alta disponibilidade
A alta disponibilidade incorpora três grandes princípios para atingir a meta

de acesso ininterrupto aos dados e serviços:
1. Eliminação ou redução de pontos únicos de falha
2. Resiliência do sistema
3. Tolerância a falhas
Clique em cada princípio da figura para obter uma breve descrição.
É importante compreender as maneiras de abordar um ponto único de

falha. Um ponto único de falha pode incluir roteadores centrais ou switches,
serviços de rede e, até mesmo, uma equipe de TI altamente qualificada.
É importante saber que uma perda do sistema, de processo ou de pessoa

pode ter um impacto muito significativo em todo o sistema. A chave é ter
processos, recursos e componentes que reduzam os pontos únicos de falha.
Clusters de alta disponibilidade é uma maneira de proporcionar redundância.
Esses clusters consistem em um grupo de computadores que têm acesso

ao mesmo armazenamento compartilhado e têm configurações de rede
idênticas. Todos os servidores participam no processamento de um serviço
simultaneamente.
Do lado de fora, o grupo de servidores se parece com um único

dispositivo. Se um servidor dentro do cluster falhar, os outros servidores
continuarão a processar o mesmo serviço que o dispositivo com falha.
Resiliência de sistemas refere-se à capacidade de manter a

disponibilidade de dados e de processamento operacional, apesar de ataques
ou de eventos de interrupção.
Geralmente, isso requer sistemas redundantes, em termos de energia e

de processamento, para que, se um sistema falhar, o outro possa assumir as
operações, sem nenhuma interrupção no serviço. Resiliência do sistema é mais
do que a blindagem de dispositivos. Requer que os dados e serviços estejam
disponíveis, mesmo quando sob ataque.
Tolerância a falhas permite que um sistema continue funcionando, se um

ou mais componentes falharem. Espelhamento de dados é um exemplo de
tolerância a falhas. Se ocorrer uma "falha", causando interrupção de um
dispositivo, como um controlador de disco, o sistema espelhado proporcionará
os dados solicitados sem interrupção aparente no serviço para o usuário.

Identificação do ativo
Uma empresa precisa saber qual hardware e software estão presentes,

como pré-requisito para conhecer como os parâmetros de configuração
precisam ser. O gerenciamento de ativos inclui um inventário completo de
hardware e software.
Isso significa que a empresa precisa saber todos os componentes que

podem estar sujeitos a riscos de segurança, incluindo:
 Cada sistema de hardware
 Cada sistema operacional
 Cada dispositivo de rede de hardware
 Cada sistema operacional do dispositivo de rede
 Cada aplicativo
 Todos os firmwares
 Todos os ambientes de tempo de execução da linguagem
 Todas as bibliotecas individuais
Uma empresa pode escolher uma solução automatizada para controlar os

ativos. Um administrador deve investigar qualquer configuração alterada, pois
pode significar que a configuração não está atualizada. Também pode significar
que estão acontecendo alterações não autorizadas.

Classificação de ativos
A classificação de ativos atribui todos os recursos de uma empresa a um

grupo, com base em características comuns. Uma empresa deve aplicar um
sistema de classificação de ativos para documentos, registros de dados,
arquivos de dados e discos. As informações mais importantes precisam receber
o nível mais alto de proteção e ainda podem exigir um tratamento especial.
Uma empresa pode adotar um sistema de rotulagem, de acordo com o

valor, a confidencialidade e a importância das informações. Conclua as etapas a
seguir para identificar e classificar os ativos de uma empresa:
1. Determine a categoria de identificação de ativos adequada.
2. Estabeleça a responsabilização, identificando o proprietário de todos

os ativos de informações e de softwares de aplicativos.
3. Determine os critérios de classificação.
4. Implemente um esquema de classificação.
A figura fornece mais detalhes para essas etapas.
Por exemplo, o governo dos EUA usa a confidencialidade para classificar

os dados como segue: top secret; secretos; confidenciais; confiança pública; e
não classificado.

Padronização de ativos
O gerenciamento de ativos gerencia o ciclo de vida e o inventário de ativos

de tecnologia, incluindo software e dispositivos.
Como parte de um sistema de gerenciamento de ativos TI, uma empresa

especifica os ativos de TI aceitáveis que atendem a seus objetivos. Essa prática
reduz, de forma eficaz, os diferentes tipos de ativos.
Por exemplo, uma empresa só vai instalar aplicativos que atendam a suas
diretrizes. Quando os administradores eliminam aplicativos que não atendem às
diretrizes, eles estão aumentando a segurança de forma eficaz.
Os padrões do ativo identificam produtos de hardware e software

específicos usados e suportados pela empresa. Quando há uma falha, a ação
imediata ajuda a manter o acesso e a segurança.
Se uma empresa não padronizar sua seleção de hardware,
provavelmente será difícil o pessoal encontrar um componente de reposição.
Além de exigirem mais conhecimento para serem gerenciados, ambientes

não padronizados aumentam o custo com contratos de manutenção e inventário.
Identificação de ameaça
A United States Computer Emergency Readiness Team (US-CERT) e o

U.S.
Department of Homeland Security patrocinam um dicionário de Common

Vulnerabilities and Exposures (CVE, dicionário de Vulnerabilidades e Exposições
Comuns).
O CVE contém um número de identificadores padrão com uma breve

descrição e referências para avisos e relatórios de vulnerabilidade relacionados.
A MITRE Corporation mantém a lista de CVE e seu site público.
A identificação de ameaças começa com o processo de criação de um
identificador CVE para vulnerabilidades publicamente conhecidas de segurança
cibernética. Cada identificador CVE inclui o seguinte:
 O número de identificador CVE
 Uma breve descrição da vulnerabilidade da segurança
 Todas as referências importantes

Análise de risco
Análise de risco é o processo de analisar os perigos representados por

eventos naturais e provocados por humanos aos ativos de uma empresa.
Um usuário realiza uma identificação de ativo para ajudar a determinar

quais ativos serão protegidos. Uma análise de risco tem quatro objetivos:
 Identificar ativos e seu valor
 Identificar vulnerabilidades e ameaças
 Quantificar a probabilidade e o impacto das ameaças identificadas
Equilibrar o impacto da ameaça com relação ao custo da

contramedida
Existem duas abordagens para a análise de risco.
Análise de risco quantitativa
Uma análise quantitativa atribui números para o processo de análise de

risco (Figura 1).
O valor do ativo é o custo de reposição do ativo. O valor de um ativo pode

ser medido também pela receita adquirida com o uso do ativo. O EF (Exposure
Factor, Fator de exposição) é um valor subjetivo, expressado como uma
porcentagem que um ativo perde devido a uma ameaça específica.

Se ocorrer uma perda total, o EF é igual a 1.0 (100%). No exemplo

quantitativo, o servidor tem um valor de ativo de US $15.000. Quando o servidor
falhar, uma perda total ocorre (o EF é igual a 1.0). O valor patrimonial de
US$15.000, multiplicado pelo fator de exposição de 1 resulta em uma expectativa
de perda única de US $15.000.
A ARO (annualized rate of occurrence, Taxa anualizada de ocorrência) é

a probabilidade de uma perda ocorrer durante o ano (também expressada como
uma porcentagem). Uma ARO pode ser maior que 100%, se uma perda puder
ocorrer mais de uma vez por ano.
O cálculo da ALE (annual loss expectancy, expectativa de perda anual)

dá à gerência uma noção de quanto deverá gastar para proteger o ativo.
Análise de risco qualitativa
A análise de risco qualitativa usa opiniões e cenários. A Figura 2 mostra

um exemplo de tabela usado na análise de risco qualitativa, que plota a
probabilidade de uma ameaça com relação ao seu impacto. Por exemplo, a
ameaça de uma falha no servidor pode ser provável, mas seu impacto pode ser
apenas marginal.
Uma equipe avalia cada ameaça a um ativo e a plota na tabela. A equipe

classifica os resultados e os usa como guia. Eles podem determinar medidas
apenas para ameaças que caírem dentro da zona vermelha.
Os números usados na tabela não estão diretamente relacionados com

qualquer aspecto da análise. Por exemplo, um impacto catastrófico de 4 não é

duas vezes pior que um impacto marginal de 2. Esse método é de natureza

subjetiva.
Atenuação
A mitigação envolve reduzir a gravidade da perda ou a probabilidade de

que a perda ocorra. Muitos controles técnicos mitigam riscos, incluindo os
sistemas de autenticação, permissões de arquivos e firewalls.
A empresa e os profissionais de segurança devem entender que a

mitigação de riscos pode ter impacto positivo e negativo na empresa. A boa
mitigação de riscos encontra um equilíbrio entre o impacto negativo das
contramedidas e dos controles e o benefício da redução do risco. Existem quatro
maneiras comuns de reduzir o risco:
 Aceitar o risco e reavaliar periodicamente
 Reduzir o risco com a implementação de controles
 Evitar o risco alterando totalmente a abordagem
 Transferir o risco para terceiros
Uma estratégia de curto prazo é aceitar o risco, o que implica na criação

de planos de contingência para esse risco. Pessoas e empresas têm que aceitar
o risco diariamente.
Metodologias modernas reduzem o risco com o desenvolvimento de

software de forma incremental e proporcionando atualizações e patches
regulares para enfrentar
vulnerabilidades e configurações
incorretas.
A terceirização de serviços, a
compra de seguros ou a compra de
contratos de manutenção são todos
exemplos de transferência de risco.
Contratação de especialistas
para realizar tarefas críticas para
reduzir o risco pode ser uma boa
decisão e produzir melhores
resultados com menos investimento
no longo prazo. Um bom plano de
mitigação de risco pode incluir duas
ou mais estratégias.

Sobreposição
A defesa em profundidade não fornecerá um escudo cibernético

impenetrável, mas ajudará a empresa a minimizar riscos, mantendo-se um passo
à frente dos criminosos virtuais.
Se houver apenas uma única defesa para proteger dados e informações,

os criminosos virtuais precisam apenas passar por essa única defesa. Para
garantir que as informações e os dados permaneçam disponíveis, uma empresa
precisa criar diferentes camadas de proteção.
Uma abordagem em camadas proporciona a proteção mais abrangente.

Se criminosos virtuais penetrarem uma camada, eles ainda têm que lidar com
várias camadas a mais, com cada camada sendo mais complicada que a
anterior.
A disposição em camadas é criar uma barreira de várias defesas que,

juntas, se coordenam para prevenir ataques. Por exemplo, uma empresa pode
armazenar seus documentos top secret em um servidor em um edifício rodeado
por uma cerca elétrica.
Limitação
Limitar o acesso aos dados e às informações reduz a possibilidade de

uma ameaça. Uma empresa deve
restringir o acesso para que os usuários
tenham apenas o nível de acesso
necessário para fazer o seu trabalho. Por
exemplo, as pessoas no departamento
de marketing não precisam de acesso
aos registros da folha de pagamentos
para realizar seus trabalhos.
Soluções baseadas em
tecnologia, como o uso de permissões
de arquivos, são uma maneira de limitar
o acesso. Uma empresa deve também
implementar medidas procedimentais.
Deve existir um procedimento que proíba
um funcionário de remover documentos
confidenciais das instalações.

Diversidade
Se todas as camadas protegidas fossem as mesmas, não seria muito

difícil, para os criminosos virtuais, realizar um ataque bem-sucedido. Portanto,
as camadas devem ser diferentes.
Se criminosos virtuais penetrarem em uma camada, a mesma técnica não

funcionará em todas as outras camadas. Quebrar uma camada de segurança
não compromete todo o sistema. Uma empresa pode usar diferentes algoritmos
de criptografia ou sistemas de autenticação para proteger os dados em
diferentes estados.
Para atingir a meta da diversidade, as empresas podem usar os produtos

de segurança fabricados por empresas diferentes para autenticação multifatorial.
Por exemplo, o servidor que contém os documentos top secret está em uma sala
trancada que requer um cartão magnético de uma empresa e autenticação de
biometria fornecida por outra empresa.
Ofuscação
A ofuscação de informações também pode proteger dados e informações.

Uma empresa não deve revelar informações que os criminosos virtuais podem
usar para descobrir a versão do sistema operacional em execução em um
servidor ou o tipo de equipamento que ele usa.
Por exemplo, as mensagens de erro não devem conter nenhum detalhe

que os criminosos virtuais possam usar para determinar as vulnerabilidades que
estão presentes. Ocultar certos tipos de informação dificulta ataques de
criminosos virtuais a um sistema.
Simplicidade
A complexidade não garante, necessariamente, a segurança. Se uma

empresa implementar sistemas complexos que são difíceis de entender e de
solucionar problemas, o “tiro pode sair pela culatra”.
Se os funcionários não entenderem como configurar uma solução

complexa corretamente, pode ser tão fácil quando em uma solução mais simples
para os criminosos virtuais comprometerem esses sistemas.
Para manter a disponibilidade, uma solução de segurança deve ser

simples, do ponto de vista de dentro da empresa, mas complexa do ponto de
vista externo.

Ponto único de falha
Um ponto único de falha é uma operação crítica dentro da empresa.

Outras operações podem confiar nele e uma falha interrompe essa operação
crítica. Um ponto único de falha pode ser uma peça especial de hardware, um
processo, uma parte específica de dados ou até mesmo um utilitário essencial.
Únicos pontos de falha são links fracos na cadeia que podem provocar
interrupção das operações da empresa. Geralmente, a solução para um ponto
único de falha é modificar a operação crítica, de modo que esta não confie em
um único elemento. A empresa também pode criar componentes redundantes
na operação crítica, com o objetivo de assumir o processo, caso algum desses
pontos falhem.
Redundância N+1
A redundância N+1 garante a disponibilidade do sistema, no caso de falha

de um componente. Os componentes (N) precisam ter, no mínimo, um
componente de backup (+1). Por exemplo, um carro tem quatro pneus (N) e um
pneu sobressalente no porta-malas, caso um fure (+1).
Em um data center, a redundância N + 1 significa que o design do sistema

pode suportar a perda de um componente. O N refere-se a muitos componentes
diferentes que compõem o data center, incluindo servidores, fontes de
alimentação, switches e roteadores. O + 1 é o componente ou sistema adicional
que está em espera, pronto para entrar em ação, se necessário.
Um exemplo de redundância N + 1 em um data center é um gerador de

energia que entra em operação, quando algo acontece com a fonte de
alimentação principal. Embora um sistema N + 1 contenha equipamento
redundante, não é um sistema totalmente redundante.

RAID
Uma RAID (Redundant array of independent disks, Matriz redundante de

discos independentes) combina vários discos rígidos físicos em uma única
unidade lógica para proporcionar redundância de dados e melhorar o
desempenho.
O RAID obtém os dados normalmente armazenados em um único disco e

os espalha entre várias unidades. Se qualquer disco único for perdido, o usuário
poderá recuperar os dados de outros discos que também hospedam os dados.
O RAID também pode aumentar a velocidade da recuperação de dados.

Usando várias unidades, será mais rápido recuperar os dados solicitados, em
vez de depender apenas de um disco para fazer o trabalho.
Uma solução RAID pode ser baseada em software ou hardware. Uma

solução baseada em hardware requer um controlador de hardware
especializado, no sistema que contenha as unidades RAID. Os termos a seguir
descrevem como a RAID armazena dados nos vários discos:
 Paridade - Detecta erros de dados.
 Distribuição - Grava dados em várias unidades.
 Espelhamento - Armazena dados duplicados em uma segunda

unidade.
Existem vários níveis de RAID disponíveis, como mostrado na figura.
Spanning Tree
A redundância aumenta a disponibilidade da infraestrutura da rede,

protegendo-a de um ponto único de falha, como um cabo ou um switch com falha
na rede. Quando os designers projetam a redundância física em uma rede, pode
haver loops e quadros duplicados. Os loops e quadros duplicados têm
consequências graves para uma rede comutada.
O Spanning Tree Protocol (STP) soluciona esses problemas. A função

básica do STP é prevenir loops em uma rede, quando os switches se
interconectarem por vários caminhos.
O STP garante que os links físicos redundantes estejam sem loop. Ele
garante que haja somente um caminho lógico entre todos os destinos na rede.
O STP bloqueia intencionalmente os caminhos redundantes que poderiam
provocar um loop.

Bloquear os caminhos redundantes é fundamental para evitar loops na

rede. Os caminhos físicos ainda existirão para fornecer redundância, mas o STP
desativa esses caminhos para evitar que ocorram loops. Se um cabo ou switch
da rede falhar, o STP recalculará os caminhos e desbloqueará as portas
necessárias, para permitir que o caminho redundante se torne ativo.
Clique em Play na figura para visualizar a ação do STP quando ocorre

uma falha:
 O PC1 envia uma transmissão para a rede.

O trunk link entre S2 e S1 falha, resultando em interrupção do
caminho original.
O S2 desbloqueia a porta anteriormente bloqueada para Tronco2 e

permite que o tráfego de broadcast siga o caminho alternativo na rede,
permitindo que a comunicação continue.

Se o link entre S2 e S1 voltar a funcionar, o STP bloqueará
novamente o link entre S2 e S3.
Redundância de roteador
O gateway padrão é normalmente o roteador que proporciona acesso dos

dispositivos ao resto da rede ou à Internet. Se houver somente um roteador como
gateway padrão, é um ponto único de falha. A empresa pode escolher instalar
um roteador de standby adicional.
Na Figura 1, o roteador de
encaminhamento e o roteador
standby usam um protocolo de
redundância para determinar qual
roteador deve assumir o papel
ativo no tráfego de desvio.
Cada roteador está
configurado com um endereço IP
físico e um endereço IP do
roteador virtual. Dispositivos finais
usam o endereço IP virtual como o
gateway padrão. O roteador de
encaminhamento está escutando
o tráfego endereçado a
192.0.2.100.

O roteador de encaminhamento e o roteador standby usam seus

endereços IP físicos para trocar mensagens periódicas. O objetivo dessas
mensagens é ter certeza de que os dois ainda estão on-line e disponíveis.
Se o roteador standby não receber mais essas mensagens periódicas do

roteador de encaminhamento, o roteador standby assumirá a função de
encaminhador, conforme mostrado na Figura 2.
A capacidade de uma rede de se recuperar dinamicamente da falha de

um dispositivo que atua como um gateway padrão é conhecida como
redundância de primeiro salto.
Opções de redundância do roteador
A lista a seguir define as opções disponíveis para redundância do

roteador, com base no protocolo que define a comunicação entre dispositivos de
rede:
 O HSRP (Hot Standby Router Protocol, protocolo de roteador

em espera ativo) - O HSRP proporciona alta disponibilidade da rede,
proporcionando redundância de roteamento de primeiro salto. Um grupo de
roteadores usa HSRP para selecionar um dispositivo ativo e um dispositivo
standby. Em um grupo de interfaces de dispositivos, o dispositivo ativo é o
dispositivo que encaminha pacotes e o dispositivo standby é o dispositivo
que assume quando o dispositivo ativo falha. A função de roteador em
espera do HSRP é monitorar o status operacional do grupo de HSRP e para

assumir rapidamente a responsabilidade de encaminhamento de pacotes se

o roteador ativo falhar.
 Virtual Router Redundancy Protocol (VRRP, Protocolo de
redundância de roteador virtual) - Um roteador VRRP executa o protocolo
VRRP em conjunto com um ou mais outros roteadores conectados a uma
LAN. Em uma configuração de VRRP, o roteador eleito é o roteador virtual
mestre, e os outros roteadores atuam como backup, se o roteador virtual
mestre falhar.
 Gateway Load Balancing Protocol (GLBP, Protocolo de

balanceamento de carga do gateway) – O GLPB protege o tráfego de
dados de um roteador ou circuito com falha, como HSRP e VRRP,
permitindo, também, balanceamento de carga (também chamado de
compartilhamento de carga) entre um grupo de roteadores redundantes.
Redundância de local
Uma empresa pode precisar pensar em redundância de local,

dependendo de suas necessidades. A seguir, há uma descrição de três formas
de redundância de local.
Síncrono
 Sincroniza os dois locais em tempo real
 Requer alta largura de banda
 Os locais devem ser próximos um do outro, para reduzir a latência
Replicação assíncrona
 Não sincronizados em tempo real, mas muito próximo disso
 Requer menos largura de banda
Os sites podem estar mais distantes, pois a latência é o menor dos
problemas
Point-in-time-Replication (Replicação de um ponto no tempo)
 Atualiza periodicamente a localização dos dados de backup

Mais conservador em termos de largura de banda, pois não exige
uma conexão constante
O equilíbrio correto entre custo e disponibilidade determinará a escolha

correta para uma empresa.

Design resiliente
Resiliência representa os métodos e configurações usados para tornarem

um sistema ou rede tolerante a falhas. Por exemplo, uma rede pode ter links
redundantes entre switches que executam o STP. Embora o STP proporcione
um caminho alternativo pela rede se o link falhar, a transição pode não ser
imediata, se a configuração não for ideal.
Os protocolos de roteamento também proporcionam resiliência, mas o

ajuste fino pode melhorar a transição, para que os usuários da rede não
percebam. Os administradores devem investigar as configurações não padrão
em uma rede de testes, para ver se podem melhorar os tempos de recuperação
em uma rede.
O design resiliente é mais do que simplesmente adicionar redundância. É

fundamental entender as necessidades comerciais da empresa e, em seguida,
incorporar a redundância para criar uma rede resiliente.
Resiliência de aplicativo
Resiliência de aplicativo é a capacidade do aplicativo reagir a problemas

em um de seus componentes sem parar de funcionar. O período de inatividade
é devido a falhas causadas por erros de aplicativos ou por falhas de
infraestrutura.
Um administrador precisará, eventualmente, desativar aplicativos para

aplicações de patches, atualizações de versão ou para implantar novas
funcionalidades. Período de inatividade pode também ser o resultado de
corrupção de dados, falhas de equipamentos, erros humanos e erros de
aplicativos.
Muitas empresas tentam

reequilibrar o custo da resiliência
da infraestrutura para aplicativos
com o custo que teriam ao perder
clientes ou negócios devido a uma
falha de aplicativo.
Alta disponibilidade de
aplicativos é complexa e cara. A
figura mostra três soluções de
disponibilidade para abordar a
resiliência de aplicativos. À medida que o fator de disponibilidade de cada
solução aumenta, a complexidade e os custos também aumentam.

Resiliência do IOS
O IOS (Interwork Operating System, Sistema operacional Interwork) para

roteadores e switches Cisco incluem um atributo de configuração. Permite
recuperação mais rápida se alguém, intencionalmente ou não, reformatar a
memória flash ou apagar o arquivo de configuração de inicialização.
Este atributo mantém uma cópia de trabalho segura do arquivo de imagem

do IOS do roteador e uma cópia do arquivo de configuração de execução. O
usuário não pode remover esses arquivos seguros, também conhecidos como o
bootset primário.
Os comandos mostrados na figura protegem o arquivo de imagem IOS e

o arquivo de configuração em execução.
Preparação
Resposta a incidente são procedimentos que uma empresa segue, depois

da ocorrência de um evento fora dos limites de normalidade. Uma violação de
dados libera informações para um ambiente não confiável. Uma violação de
dados pode ocorrer como resultado de um ato intencional ou acidental. Uma
violação de dados ocorre sempre que uma pessoa não autorizada cópia,
transmite, visualiza, rouba ou acessa informações confidenciais.

Quando ocorre um incidente, a empresa deve saber como responder.

Uma empresa precisa desenvolver um plano de resposta a incidente e monta
uma CSIRT (Computer Security Incident Response Team, Equipe de resposta a
incidente de segurança em computadores) para gerenciar a resposta. A equipe
desempenha as seguintes funções:
 Mantém o plano de resposta a incidente
 Assegura que seus membros sejam conhecedores do plano
 Testa o plano
 Obtém a aprovação do plano com a gerência
A CSIRT pode ser um grupo estabelecido dentro da empresa para essa

finalidade. A equipe segue um conjunto de etapas predeterminadas para garantir
que sua abordagem seja uniforme e que não pulem nenhuma etapa. As CSIRTs
nacionais supervisionam o tratamento de incidente em um país.
Detecção e análise
A detecção começa quando alguém descobre o incidente. As empresas

podem comprar os mais sofisticados sistemas de detecção, mas, no entanto, se
os administradores não examinarem os logs e não monitorarem alertas, esses
sistemas são inúteis. A detecção adequada inclui como o incidente ocorreu,
quais dados estavam envolvidos e quais sistemas estavam envolvidos. A
notificação da violação vai para a gerência sênior e para os gerentes
responsáveis pelos dados e sistemas, para envolvê-los na solução e no reparo.
A detecção e a análise incluem o seguinte:
 Alertas e notificações
 Monitoramento e acompanhamento
A análise de incidente ajuda a identificar a origem, extensão, impacto e

detalhes de uma violação de dados. A empresa pode precisar decidir se deve
chamar uma equipe de especialistas para realizar a investigação de computação
forense.
Contenção, erradicação e recuperação
Os esforços de contenção incluem ações imediatas realizadas, como

desconectar um sistema da rede para parar o vazamento de informações.
Depois de identificar a violação, a empresa precisa contê-la e erradicá-la.

Isso pode exigir período de inatividade adicional para os sistemas. A fase de

recuperação inclui as medidas que a empresa precisa tomar para resolver a

violação e restaurar os sistemas envolvidos. Depois da solução, a empresa
precisa restaurar todos os sistemas ao seu estado original, antes da violação.
Acompanhamento pós-incidente
Depois de restaurar todas as operações a um estado normal, a empresa

deve examinar a causa do incidente e fazer as seguintes perguntas:
 Quais ações impedirão que o incidente ocorra novamente?
 Quais medidas preventivas precisam ser fortalecidas?
 Como seria possível melhorar o sistema de monitoramento?
Como seria possível minimizar o período de inatividade durante as

fases de contenção, de erradicação e de recuperação?
 Como o gerenciamento pode minimizar o impacto para o negócio?
Um exame das lições aprendidas pode ajudar a empresa a se preparar
melhor, melhorando o plano de resposta a incidente.
Network Admission Control
A finalidade do Network Admission Control (NAC) é permitir que usuários,

autorizados em sistemas em conformidade, acessem a rede. Um sistema em
conformidade atende a todos os requisitos de política da empresa.
Por exemplo, um notebook que faz parte de uma rede sem fio doméstica
pode não conseguir se conectar remotamente à rede corporativa. O NAC avalia
um dispositivo de entrada com relação às políticas da rede. O NAC também
coloca em quarentena os sistemas que não estão em conformidade e gerencia
a solução para sistemas fora de conformidade.
Uma estrutura NAC pode usar a infraestrutura de rede existente e

software de terceiros para aplicar a conformidade com as políticas de segurança
para todos os dispositivos finais. Alternativamente, um dispositivo NAC controla
o acesso à rede, avalia a conformidade e aplica a política de segurança.
Verificações de sistemas NAC comuns incluem:
1. Detecção de vírus atualizada
2. Patches e atualizações do sistema operacional
3. Aplicação de senhas complexas

Sistema de detecção de invasão
Os IDSs (Intrusion Detection

System, Sistemas de detecção de
invasão) monitoram passivamente o
tráfego em uma rede. A Figura mostra
que um dispositivo ativado para IDS
copia o stream de tráfego e analisa a
cópia do tráfego, no lugar dos pacotes
reais encaminhados. Trabalhando off-
line, ele compara o fluxo de tráfego
capturado com assinaturas
reconhecidamente mal-intencionadas,
como um software que verifica a
existência de vírus. Trabalhar off-line
significa várias coisas:
O IDS trabalha
passivamente
 O dispositivo de IDS está

posicionado fisicamente na rede
e, portanto, o tráfego deve ser espelhado para atingi-lo

 O tráfego de rede não passa pelo IDS, a menos que seja espelhado
Passivo significa que o IDS monitora e gera relatórios sobre o tráfego. Ele
não executa nenhuma ação. Essa é a definição de funcionamento em modo
promíscuo.
A vantagem de operar com uma cópia do tráfego é que o IDS não afeta
negativamente o fluxo de pacotes do tráfego encaminhado. A desvantagem de
operar com uma cópia do tráfego é que o IDS não pode evitar que os ataques
mal-intencionados de pacote único atinjam o alvo, antes de responder ao ataque.
Um IDS muitas vezes requer a assistência de outros dispositivos de rede, como
roteadores e firewalls, para responder a um ataque.
Uma solução melhor é usar um dispositivo que pode detectar e parar

imediatamente um ataque. Um IPS (Intrusion Prevention System, Sistema de
prevenção de invasão) executa essa função.
Sistemas de prevenção de invasão
Um IPS se baseia na tecnologia IDS. Entretanto, um dispositivo IPS é

implementado no modo InLine. Isso significa que todo o tráfego de entrada e de
saída deve fluir através dele para ser processado. Como mostrado na figura, um
IPS não permite que os pacotes ingressem no lado confiável da rede sem
primeiro terem sido analisados. Ele consegue detectar e resolver imediatamente
um problema de rede.
Um IPS monitora o tráfego da rede.

Ele analisa o conteúdo e o payload dos
pacotes com relação aos ataques mais
sofisticados integrados que possam incluir
dados mal-intencionados.
Alguns sistemas usam uma mistura

de tecnologias de detecção, inclusive com
base em assinatura, com base em perfil e
detecção de invasão baseada em análise
de protocolo. Essa análise mais profunda
permite que o IPS identifique, pare e
bloqueie os ataques que passariam por um
dispositivo de firewall tradicional. Quando
um pacote entra por uma interface em um
IPS, a interface de saída ou confiável não
recebe o pacote até o IPS analisá-lo.

A vantagem de operar em modo inline é que o IPS pode impedir que

ataques de pacote único alcancem o sistema de destino. A desvantagem é que
um IPS mal configurado pode afetar negativamente o fluxo de pacotes do tráfego
encaminhado.
A maior diferença entre o IDS e o IPS é que um IPS responde

imediatamente e não permite que nenhum tráfego malicioso passe, enquanto um
IDS permite que tráfego malicioso passe, antes de abordar o problema.
NetFlow e IPFIX
NetFlow é uma tecnologia CISCO IOS que fornece estatísticas em

pacotes que passam por meio de um switch multicamadas ou de um roteador da
Cisco. NetFlow é o padrão para a coleta de dados operacionais de redes. A
Força-tarefa de engenharia da Internet (IETF, Internet Engineering Task Force)
usou o NetFlow da Cisco, versão 9, como base para a exportação de
informações de fluxo de IP (IPFIX).
IPFIX é um formato padrão para exportar informações baseadas em

roteador sobre os fluxos de tráfego de rede para dispositivos de coleta de dados.
O IPFIX funciona em roteadores e aplicativos de gestão que suportam o
protocolo. Os gerentes de rede podem exportar informações de tráfego de rede
de um roteador e usar essas informações para otimizar o desempenho da rede.
Aplicativos que suportam IPFIX podem exibir as estatísticas de qualquer

roteador que suporta o padrão. Coletar, armazenar e analisar as informações
agregadas fornecidas por dispositivos suportados por IPFIX proporciona os
seguintes benefícios:
 Protege a rede contra ameaças internas e externas
 Soluciona os problemas de falhas de rede de forma rápida e precisa
 Analisa os fluxos de rede para o planejamento de capacidade

Threat Intelligence avançado
O Threat Intelligence avançado pode ajudar as empresas a detectar

ataques durante uma das etapas do ataque cibernético e, às vezes, antes, com
as informações certas.
As organizações podem conseguir detectar indicadores de ataque em

seus logs e relatórios do sistema para os alertas de segurança a seguir:
 Bloqueios de conta
 Todos os eventos de banco de dados
 Exclusão e criação de ativos
 Modificação da configuração de sistemas
O Threat Intelligence avançado é um tipo de evento ou de perfil de dados

que pode contribuir para o monitoramento da segurança e da resposta. Como os
criminosos virtuais se tornaram mais sofisticados, é importante entender as
manobras de malware. Com visibilidade melhorada em metodologias de ataque,
uma empresa pode responder mais rapidamente a incidentes.

Tipos de desastres
É fundamental para manter uma empresa em funcionamento quando

ocorre um desastre. Um desastre inclui qualquer evento natural ou causado pelo
homem que danifica bens ou propriedades e prejudica a capacidade da empresa
de continuar funcionando.
Desastres naturais
Desastres naturais diferem, dependendo do local. Alguns desses eventos

são difíceis de prever. Desastres naturais se enquadram nas seguintes
categorias:
 Desastres geológicos incluem terremotos, deslizamentos de terra,

vulcões e tsunamis
 Desastres meteorológicos incluem furacões, tornados,

tempestades de neve, raios e granizo
Desastres de saúde incluem doenças disseminadas, quarentenas

e pandemias
 Desastres diversos incluem incêndios, inundações, tempestades
solares e avalanches
Desastres provocados por seres humanos
Desastres provocados por seres humanos envolvem pessoas ou

organizações e se enquadram nas seguintes categorias:
 Eventos trabalhistas incluindo greves, passeatas e “operações

tartaruga”
 Eventos sócio-políticos incluindo vandalismo, bloqueios, protestos,

sabotagem, terrorismo e guerra
 Eventos materiais incluindo incêndios e derramamentos perigosos
 Interrupções de serviços essenciais incluído falhas de energia,

falhas de comunicação, escassez de combustível e precipitação radioativa
Plano de recuperação de desastres
Uma empresa coloca seu DRP (Disaster recovery plan, Plano de

recuperação de desastres) em ação enquanto o desastre está em curso e os
funcionários estão lutando para garantir que sistemas essenciais estejam on-

line. O DRP inclui as atividades que a empresa realiza para avaliar, recuperar,
reparar e restaurar instalações ou ativos danificados.
Para criar o DRP, responda às seguintes perguntas:
 Quem é responsável por esse processo?
 O que o indivíduo precisa para realizar o processo?
 Onde o indivíduo realiza esse processo?
 Qual é o processo?
 Por que o processo é essencial?
Um DRP precisa identificar quais processos da empresa são os mais

essenciais. Durante o processo de recuperação, a empresa restaura seus
sistemas de missão crítica, primeiro.
Implementação de controles de recuperação de desastres
Controles de recuperação de desastre minimizam os efeitos de um

desastre, para garantir que os recursos e processos comerciais possam retomar
a operação.
Existem três tipos de controles de recuperação
de desastres em TI:
 Medidas preventivas incluem controles

que evitam a ocorrência de um desastre. Essas
medidas visam a identificar os riscos.

Medidas de detecção incluem controles
que descobrem eventos indesejados. Essas
medidas descobrem novas possíveis ameaças.
Medidas corretivas incluem controles

que restauram o sistema depois de um desastre
ou um evento.
Necessidade de continuidade dos negócios
A continuidade dos negócios é um dos mais importantes conceitos em

segurança de computador. Mesmo que as empresas façam tudo o que podem
para evitar desastres e perda de dados, é impossível prever todas as
possibilidades.

É importante que as empresas tenham planos implementados para

garantir a continuidade dos negócios, independentemente do que possa ocorrer.
Um plano de continuidade dos negócios é um plano mais amplo que um DRP,
pois inclui levar sistemas essenciais para outro local, enquanto o reparo da
instalação original está em andamento.
O pessoal continua a executar todos os processos comerciais de forma

alternada, até retomar as operações normais.
A disponibilidade garante que os recursos necessários para manter a

empresa continuarão a estar disponíveis para o pessoal e os sistemas que
dependem deles.
Considerações sobre continuidade dos negócios
Os controles de continuidade dos negócios são mais do que apenas

backup de dados e fornecimento de hardware redundante. As empresas
precisam de funcionários para configurar e operar corretamente os sistemas. Os
dados podem ser inúteis, até que forneçam informações. Uma empresa deve
procurar o seguinte:
 Posicionamento das pessoas certas nos lugares certos
 Documentação de configurações
 Estabelecimento de canais de comunicação diferentes para voz e

dados
 Fornecimento de energia

Identificação de todas as dependências para aplicativos e
processos para que eles sejam adequadamente entendidos

Compreensão de como realizar essas tarefas automatização
manualmente
Melhores práticas de continuidade dos negócios
Como mostrado na figura, o Instituto Nacional de Padrões e Tecnologia

(NIST) desenvolveu as seguintes melhores práticas:
1. Escreva uma política que proporcione orientação para desenvolver o

plano de continuidade de negócios e atribua funções para realização das tarefas.
2. Identifique processos e sistemas essenciais e priorizá-los conforme a

necessidade.

3. Identifique vulnerabilidades, ameaças e calcule os riscos.

4. Identifique e implemente controles e contramedidas para reduzir o risco.
5. Planeje métodos para recuperar rapidamente os sistemas essenciais.
6. Escreva os procedimentos para manter a empresa funcionando em

uma condição de caos.
7. Teste o plano.
8. Atualize o plano regularmente.

CIBERSEGURANÇA - AULA 06 - O Mundo Dos Cinco Noves

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

CIBERSEGURANÇA - AULA 06 - O Mundo Dos Cinco Noves

Enviado por

Direitos autorais:

Formatos disponíveis

CENTRO SALESIANO DO MENOR – CESAM/DF

PROGRAMA ADOLESCENTE/JOVEM APRENDIZ

Aprendizagem, mais que uma oportunidade!

Aula 6: o conceito de cinco noves

As empresas que desejam maximizar a disponibilidade dos seus sistemas

As empresas medem a disponibilidade pela porcentagem de tempo de

Este capítulo discute diferentes abordagens que as empresas podem

Componentes redundantes podem incluir hardware, como unidades de

As empresas devem estar preparadas para responder a um incidente com

O que significam os Cinco Noves?

Os cinco noves significam que sistemas e serviços estão disponíveis

Alta disponibilidade se refere a um sistema ou componente que fica em

Aprendizagem, mais que uma oportunidade!

 Detectar falhas, à medida que elas ocorrem

Sustentar a alta disponibilidade com o padrão de cinco noves pode

À medida que uma empresa adiciona componentes, o resultado é um

Ambientes que exigem cinco noves

Embora o custo de sustentar a alta disponibilidade possa ser muito alto

 A indústria de finanças precisa manter a alta disponibilidade para

 As instalações de saúde exigem alta disponibilidade para prestar

 O setor de varejo depende de cadeias de abastecimento eficientes

 O público espera que o setor de mídia de notícias comunique

Aprendizagem, mais que uma oportunidade!

As seguintes ameaças representam um risco elevado para a

 Um usuário não autorizado entra e compromete o banco de dados

 A detecção de um script entre sites ou de compartilhamento de

 Utilitário de longo prazo ou

 Danos causados pela

Categorizar o nível de impacto

Aprendizagem, mais que uma oportunidade!

Projetar um sistema de alta disponibilidade

A alta disponibilidade incorpora três grandes princípios para atingir a meta

É importante compreender as maneiras de abordar um ponto único de

É importante saber que uma perda do sistema, de processo ou de pessoa

Esses clusters consistem em um grupo de computadores que têm acesso

Do lado de fora, o grupo de servidores se parece com um único

Resiliência de sistemas refere-se à capacidade de manter a

Geralmente, isso requer sistemas redundantes, em termos de energia e

Tolerância a falhas permite que um sistema continue funcionando, se um

Aprendizagem, mais que uma oportunidade!

Uma empresa precisa saber qual hardware e software estão presentes,

Isso significa que a empresa precisa saber todos os componentes que

Uma empresa pode escolher uma solução automatizada para controlar os

Aprendizagem, mais que uma oportunidade!

A classificação de ativos atribui todos os recursos de uma empresa a um

Uma empresa pode adotar um sistema de rotulagem, de acordo com o

2. Estabeleça a responsabilização, identificando o proprietário de todos

Por exemplo, o governo dos EUA usa a confidencialidade para classificar

Aprendizagem, mais que uma oportunidade!

O gerenciamento de ativos gerencia o ciclo de vida e o inventário de ativos

Como parte de um sistema de gerenciamento de ativos TI, uma empresa

Os padrões do ativo identificam produtos de hardware e software

Além de exigirem mais conhecimento para serem gerenciados, ambientes

A United States Computer Emergency Readiness Team (US-CERT) e o

Department of Homeland Security patrocinam um dicionário de Common

O CVE contém um número de identificadores padrão com uma breve

Aprendizagem, mais que uma oportunidade!

Análise de risco é o processo de analisar os perigos representados por

Um usuário realiza uma identificação de ativo para ajudar a determinar

Equilibrar o impacto da ameaça com relação ao custo da

Uma análise quantitativa atribui números para o processo de análise de

O valor do ativo é o custo de reposição do ativo. O valor de um ativo pode

Aprendizagem, mais que uma oportunidade!