DETECÇÃO DE AMEAÇAS EM SEGURANÇA CIBERNÉTICA

1
 NOSSA HISTÓRIA

A nossa história inicia com a realização do sonho de um grupo de empre-

sários, em atender à crescente demanda de alunos para cursos de Graduação
e Pós-Graduação. Com isso foi criado a nossa instituição, como entidade ofere-
cendo serviços educacionais em nível superior.

A instituição tem por objetivo formar diplomados nas diferentes áreas de

conhecimento, aptos para a inserção em setores profissionais e para a partici-
pação no desenvolvimento da sociedade brasileira, e colaborar na sua formação
contínua. Além de promover a divulgação de conhecimentos culturais, científicos
e técnicos que constituem patrimônio da humanidade e comunicar o saber atra-
vés do ensino, de publicação ou outras normas de comunicação.

A nossa missão é oferecer qualidade em conhecimento e cultura de forma

confiável e eficiente para que o aluno tenha oportunidade de construir uma base
profissional e ética. Dessa forma, conquistando o espaço de uma das instituições
modelo no país na oferta de cursos, primando sempre pela inovação tecnológica,
excelência no atendimento e valor do serviço oferecido.

2
Sumário
INTRODUÇÃO ................................................................................................... 4

O QUE É A SEGURANÇA CIBERNÉTICA ........................................................ 8

O VALOR DA INFORMAÇÃO ............................................................................ 9

O QUE É DETECÇÃO DE AMEAÇAS EM TEMPO REAL? ............................. 12

PORQUE A DETECÇÃO DE AMEAÇAS EM TEMPO REAL AUMENTA A

SEGURANÇA DO SITE? ................................................................................. 13

COMO FUNCIONA A DETECÇÃO DE AMEAÇAS EM TEMPO REAL? ......... 16

MANEIRAS IMPORTANTES DAS EMPRESAS SE PROTEGEREM DE

ATAQUE CIBERNÉTICOS ............................................................................... 17

A IMPORTÂNCIA DA CIÊNCIA DE DADOS .................................................... 20

PADRÃO DE COMPORTAMENTO.................................................................. 21

INTELIGÊNCIA NA DETECÇÃO DE AMEAÇAS ............................................. 24

CONSIDERAÇÕES FINAIS ............................................................................. 27

REFERÊNCIAS ................................................................................................ 29

3
INTRODUÇÃO

É cada vez mais natural lermos e encontrarmos situações em que o processo de

automação, integração e autossuficiência tecnológica esteja presente nas dife-
rentes situações de nosso dia a dia. Seja envolvendo a IoT (Internet of Things),
a IA (Inteligência Artificial), técnicas cada vez mais apuradas de blockchain, seja
envolvendo principalmente os chatbots e sobretudo a Machine Learning.

Perante, então, todo esse universo e todo um contexto de BigData, a quantidade

e qualidade das ameaças à segurança a todo ciberespaço que manipulamos,
criamos, organizamos, alteramos, descartamos informação, enfim, em que con-
vivemos nesta “bolha”, está cada vez mais complexo levarmos isso na esfera da
segurança das informações. Essa complexidade é diretamente proporcional a
toda essa evolução.

A Guerra de Informação é algo muito comum no nosso século, sendo a base

desse rumo o roubo de informações privadas de vários usuários, criando assim
um risco de vazamento de dados pessoais. O alvo desses tipos de ataques, além
do econômico, também é direcionado às elites políticas, assim vazando dados
classificados e até segredos de Estado. As empresas da nova era estão lidando
com muito mais dados do que no passado. Como os dados vêm em novos tipos
e formatos, são menos estruturados, ao contrário dos dados convencionais, e
isso lhes põe em grande risco, pela falta de processos internos adequados e
organizados. Outro grande risco para essas empresas é o fato de que eles usam
o armazenamento em nuvem, pela limitação dos servidores, o que os coloca em
uma situação vulnerável.

Desta maneira, possuir CSIRTs (Computer Security Incident Response Team),

SOCs (Security Operations Center) e demais centros e serviços operacionais de
combate às ameaças de segurança vem se tornando pré-requisito às empresas
de médio porte em diante. À medida que as organizações investem no uso de
dados de eventos em tempo real para detecção e resposta aos incidentes e a

4
adoção sofisticada do Machine Learning, entra em ação perante sua inteligência
de ameaças que terá o devido potencial de melhorar a visibilidade de riscos des-
conhecidos e fortalecer a postura destes centros de operações de segurança.
Almejar a maturidade desta ciência de dados no contexto da segurança ciberné-
tica significa capacitar os recursos certos com a inteligência correta para agir
enquanto minimiza falsos positivos.

A detecção de ameaças em tempo real aumenta a segurança da arquitetura,

identificando qualquer atividade maliciosa que comprometa a infraestrutura de
TI, a segurança do site e a confidencialidade dos dados.

Mitigar ameaças requer detecção rápida para identificá-las e neutralizá-las de

maneira adequada antes que os cibercriminosos explorem qualquer vulnerabili-
dade do sistema. As violações de sites podem prejudicar a confiabilidade da
marca, comprometer dados pessoais de terceiros, interromper todo o sistema
operacional e até mesmo gerar problemas jurídicos para a empresa.

Portanto, o emprego de tecnologias inteligentes contra qualquer agente malici-

oso é fundamental.

Conforme a internet e o meio digital se torna mais presente em nossas vidas e

atividades cotidianas, maior a motivação de criminosos para conseguir acesso a
nossas contas e dispositivos. De forma que não podemos mais acreditar que
possuir um antivírus ou um firewall habilitado vai manter esses criminosos longe.

Assim como os recursos tecnológicos evoluíram, o mesmo aconteceu com ações

criminosas no meio digital, com o adicional dos mesmos se sentirem mais confi-
antes devido a legislação falha e a uma falsa sensação de anonimato.

Dessa forma torna-se necessário uma postura proativa com relação as ameaças
digitais, não devemos apenas impedir que tenham acesso as redes, contas e
dispositivos, mas também entender suas motivações, forma de atuação e quem

5
são os atacantes. Temos então a segurança orientada a inteligência, que con-
segue processar grandes quantidade de dados quase em tempo real, procurar
padrões e verificar comportamentos suspeitos.

O que são os ataques cibernéticos?

Ataques cibernéticos são as tentativas de hackers de danificar ou destruir uma

rede de sistemas. Essas violações podem fazer com que dados sigilosos sejam
roubados e expostos e que ocorram casos de roubo de identidade, extorsão en-
tre outros.

Os ataques cibernéticos recebem também o nome de cibercrime, crime informá-

tico, crime eletrônico e outras variações, todas muito perigosas para os usuários.

Muitas são as formas de ter sua rede invadida, mas geralmente, os ataques são
sutis e silenciosos, tornando ainda mais difícil sua identificação.

Sofrer um ataque cibernético pode custar muito caro, afinal, muitos são os dados
e informações importantes contidas nas redes empresariais e, até mesmo, nas
pessoais. Por isso, é uma ameaça grave que não deve ser ignorada.

Quais são os ataques cibernéticos?

Os ataques cibernéticos nas redes podem acontecer de diferentes formas e po-

dem enganar ou passar despercebidas pelos usuários, que acabam caindo em
golpes. Como muitas são as formas de ataque, separamos algumas mais co-
muns para você. Confira!

Ataque DoS e DDoS

O ataque DoS é uma sobrecarga feita em um servidor ou computador para que

seus recursos fiquem indisponíveis ao usuário. Enquanto o DDoS, é uma evolu-
ção, que faz com que um computador mestre utilize vários outros para atacar
determinados sites.

6
Backdoor

O backdoor é um tipo de cavalo de troia que permite que se tenha acesso ao

sistema infectado. A partir do momento em que ele está instalado, é possível
modificar, excluir, instalar arquivos, mandar e-mail, visualizar informações e usar
perfeitamente o sistema do usuário atacado.

Ataque DMA

É um ataque de acesso direto à memória, permitindo que diversos programas

acessem a memória do dispositivo.

Eavesdropping

O eavesdropping é uma técnica hacker que viola a confidencialidade, fazendo

uma varredura sem autorização nas informações do dispositivo atacado.

Spoofing

Spoofing é uma falsificação de IP (protocolo de internet). Ou seja, esse é um dos

tipos de ataques cibernéticos que falsifica a comunicação entre os dispositivos
fingindo ser uma fonte confiável.

Decoy

Consiste em simular um programa seguro ao usuário alvo. Assim, ao efetuar

login, o programa armazena as informações para serem usadas mais tarde pe-
los hackers.

Esses são alguns dos muitos ataques cibernéticos e modos que os usuários po-
dem ser atacados. Os hackers se manifestam em variadas formas e é preciso
se proteger para minimizar danos e não sofrer ataques.

7
O QUE É A SEGURANÇA CIBERNÉTICA

A segurança cibernética surgiu em décadas recentes, pois nos anos 1970 – 1980
não havia tecnologia avançada para ser hackeada. Existiam violações de rede e
malware que foram usados para roubar dados dos países inimigos e para espi-
onagem. A exemplo, menciona-se o hacker alemão Marcus Hess, que em 1986
conseguiu hackear múltiplos computadores militares e roubar vários dados para
vender os segredos de outros países para o KGB. Neste período, o vírus tor-
nouse uma ameaça muito perigosa para a confidencialidade dos segredos dos
países. Por causa disso, começaram a ser criados novos programas que pode-
riam conter os vírus.

A segurança cibernética é tanto sobre a insegurança criada por e através deste

novo espaço, quanto sobre as práticas ou processos para torná-lo mais seguro.
Refere-se a um conjunto de atividades e medidas, tanto técnicas como não téc-
nicas, destinadas a proteger o ambiente bioelétrico e os dados que contém e
transporta de todas as ameaças possíveis. A terminologia em segurança da in-
formação é muitas vezes aparentemente congruente com a terminologia nos dis-
cursos sobre segurança nacional, ou seja, trata-se de ameaças, agentes e vul-
nerabilidades.

Um ataque no Ciberespaço não tem limites territoriais nem constrangimentos

nacionais, é muito mais rápido e pode ter múltiplos alvos, sempre atingindo um
computador e as informações nele contidas. Os resultados pretendidos do ata-
que podem ser, por exemplo, danificar algo físico, mas esse dano sempre re-
sulta, em primeiro lugar, num incidente no reino digital.

A segurança cibernética é um conjunto de ações sobre pessoas, tecnologias e

processos contra os ataques cibernéticos. Por vezes nomeadas como segurança
digital ou segurança de TI, é uma ramificação na segurança da informação.

A segurança da informação tem como objetivo tratar e proteger os dados físicos

e digitais, ou seja, a segurança cibernética ou cibersegurança, é uma área que

8
atua no ambiente digital, na prevenção, mitigando e recuperação frente aos ata-
ques cibernéticos.

O VALOR DA INFORMAÇÃO

São muitos tipos de ataques. Agora imagina essa legião de atacantes, com es-
sas inúmeras ferramentas maliciosas, tentando roubar os dados da sua em-
presa? Será que você teria prejuízos? Afinal, quanto vale uma informação?

Na segurança cibernética, em geral, existem dilemas de atribuição. É preciso

pesar os ganhos potenciais versus as perdas de apontar o dedo para um grupo
ou indivíduo que considera-se que está por trás de um ataque cibernético. De-
terminando o atacador, pode haver conexão com ganhos pessoais de algum país
ou pessoa.

Um grande equívoco que muitas pessoas, inclusive as pequenas e médias em-

presas cometem, é não conhecer ou minimizar o valor da informação.

Muitos acreditam que somente as grandes e megas empresas são visadas por
crackers, que estão à procura de oportunidades para colocar as mãos em infor-
mações.

Mas a verdade é que os cibercriminosos estão buscando informações! Indepen-

dentemente se elas pertencem a grandes empresas ou pequenas, eles procuram
oportunidades para roubá-las.

Caso essas informações caiam em mãos erradas, afetarão toda a funcionalidade

dos negócios de uma empresa, um exemplo simples é o de uma empresa que
sofra um ataque que possibilita a exposição dos números de cartões de crédito
de seus clientes. Uma falha como essa poderá gerar ações judiciais por parte
dos prejudicados pelo vazamento.

9
Como é possível admitir que a informação possua valor, é preciso definir parâ-
metros capazes de quantificá-lo, o que não é uma tarefa trivial. Uma das manei-
ras é realizada por meio dos juízos de valor, que, apesar de serem indefinidos,
consideram que o valor varia de acordo com o tempo e a perspectiva. Podem,
em certos casos, ser negativos, como acontece na sobrecarga de informação.

Sob esta perspectiva, o valor da informação pode ser classificado nos seguintes
tipos (Cronin, 1990):

 valor de uso: baseia-se na utilização final que se fará com a informação;

 valor de troca: é aquele que o usuário está preparado para pagar e variará
de acordo com as leis de oferta e demanda, podendo também ser deno-
minado de valor de mercado;
 valor de propriedade, que reflete o custo substitutivo de um bem;
 valor de restrição, que surge no caso de informação secreta ou de inte-
resse comercial, quando o uso fica restrito apenas a algumas pessoas.

Muitas vezes não é possível quantificar o valor da informação estabelecendo

uma equivalência a uma quantia em dinheiro. Por ser um bem abstrato e intan-
gível, o seu valor estará associado a um contexto. Assim, os valores de uso e de
troca poderão ser úteis na definição de uma provável equivalência monetária.

Por exemplo, uma empresa que atua em bolsa de mercadorias, mais especifica-
mente no mercado futuro, terá grande interesse em informações relativas à pro-
dução agrícola de um determinado país ou região. Esta empresa, provavel-
mente, irá alocar recursos na busca sistemática deste tipo de informação, que
será utilizada na determinação de indicadores de uma tendência e que funda-
mentará decisões sobre o tipo de investimento a ser realizado, caracterizando a
importância dos valores de uso e de troca. Considerando que, a partir delas,
poderá ser obtido algum tipo de vantagem competitiva ou de diferencial de mer-
cado, estas informações assumirão um valor de restrição, para que se possa
preservar o sigilo da aplicação.

Por outro lado, uma organização governamental ou não que realize censos de-
mográficos, de estilo de vida ou algum outro tipo de pesquisa de acompanha-
mento, deverá manter, por razões legais, o armazenamento de dados e séries

10
históricas sem que haja explícita intenção de exploração ou de uso. Neste caso,
a informação terá um valor de propriedade.

O ponto principal é perceber a informação pertencendo a dois domínios (Van

Wegen & De Hoog, 1996). No primeiro deles, ela deve atender às necessidades
de uma pessoa ou de um grupo. Nesse caso, a disponibilização da informação
deve satisfazer os seguintes requisitos:

 ser enviada à pessoa ou ao grupo certos;

 na hora certa e no local exato;
 na forma correta.

O segundo domínio é o da organização, que introduz questões a respeito da

determinação do valor da informação. Neste contexto, o valor da informação está
relacionado ao seu papel no processo decisório. A determinação do valor so-
mente do conteúdo parece um corolário natural do uso da informação como um
insumo da tomada de decisão. Entretanto, ainda que a informação adquira seu
valor a partir de seu papel na tomada de decisão, o produto informacional como
um todo também agrega valor a outras atividades no processamento da informa-
ção.

Cabe então uma questão: a informação possui um valor econômico? Ela terá
valor econômico quando levar à satisfação dos desejos humanos. Uma pequena
parcela da informação disponível constitui-se em produtos finais, ou seja, aque-
les que são consumidos diretamente pelas pessoas, cujo valor deriva-se da
oferta e da procura. A porção majoritária, porém, cabe aos bens intermediários,
que são aqueles que conduzem a outros bens e serviços. Neste caso, o valor
estará diretamente relacionado ao dos bens e serviços que deles se utilizam
(Dertouzos, 1997).

Da mesma forma, a informação terá valor econômico para uma organização, se

ela gerar lucros ou for alavancadora de vantagem competitiva. Cronin (1990)
afirma que, de modo geral, a percepção de valor pode ser influenciada pelos
seguintes fatores:

 identificação de custos;

11
  entendimento da cadeia de uso;
 incerteza associada ao retorno dos investimentos em informação;
 dificuldade de se estabelecerem relações causais entre os insumos de
informação e produtos específicos;
 tradição de se tratar a informação como uma despesa geral;
 diferentes expectativas e percepções dos usuários;
 fracasso em reconhecer o potencial comercial e o significado da informa-
ção.

O QUE É DETECÇÃO DE AMEAÇAS EM TEMPO REAL?

A detecção de ameaças em tempo real aumenta a segurança da arquitetura,

identificando qualquer atividade maliciosa que comprometa a infraestrutura de
TI, a segurança do site e a confidencialidade dos dados.

Mitigar ameaças requer detecção rápida para identificá-las e neutralizá-las de

maneira adequada antes que os cibercriminosos explorem qualquer vulnerabili-
dade do sistema. As violações de sites podem prejudicar a confiabilidade da
marca, comprometer dados pessoais de terceiros, interromper todo o sistema
operacional e até mesmo gerar problemas jurídicos para a empresa.

Portanto, o emprego de tecnologias inteligentes contra qualquer agente malici-

oso é fundamental.

Os programas de segurança devem combater as ameaças conhecidas, o que

significa que também devem saber como mitigá-las.

Mas a eficácia atenuante é reduzida quando os hackers usam métodos ou tec-

nologias inteiramente novos, e a empresa tem apenas ferramentas desatualiza-
das ou procedimentos manuais para combatê-los.

12
Um sistema avançado de detecção de ameaças em tempo real monitora todas
as atividades da rede, incluindo interceptação de tráfego de dados, testes contra
invasões conhecidas e desconhecidas e determinação de como responder à
ameaça.

PORQUE A DETECÇÃO DE AMEAÇAS EM TEMPO REAL AU-

MENTA A SEGURANÇA DO SITE?

A visibilidade em tempo real tem um papel crítico na estratégia de segurança

das empresas. Especialmente diante da proliferação de dispositivos conectados,
que tem tornado o perímetro cada vez mais tênue, com o ambiente se tornando
ainda mais complexo, apenas a visibilidade permite às empresas combater ad-
versários cada vez mais sofisticados.

Os ataques cibernéticos hoje vêm tanto de fora quanto de dentro da empresa, e

a superfície de ataque continua a crescer com a migração de aplicações para a
nuvem e a adoção da Internet das Coisas. Além disso, a integração de sistemas
de negócio, TI e tecnologias operacionais está fazendo com que as empresas
tenham de repensar radicalmente o modo como usam os recursos tecnológicos
para transformar a efetividade e a eficiência das operações.

Na medida em que a transformação digital cria novas oportunidades para

as ameaças cibernéticas, é natural que a segurança digital se torne uma priori-
dade para os negócios, que precisam estar atentos aos pontos cegos que tornam
os cenários ainda mais desafiadores para os profissionais de segurança da in-
formação.

Neste contexto, como as empresas podem identificar todas as vulnerabilidades

e agir de forma proativa para remediá-las? A resposta está na visibilidade total
para o time de segurança. Isso significa que é preciso contar com monitoramento
contínuo, com dados em tempo real das atividades relacionadas a ativos de alto
valor, ou seja, os mais visados pelos hackers, como dados bancários ou de pro-
priedade intelectual.

13
Como os hackers vão sempre explorar o caminho mais fácil para invadir o perí-
metro e então vão se mover lateralmente pela organização, a visibilidade deve
incluir todos os ativos gerenciados e não gerenciados (como shadow IT, siste-
mas legados e IoT) e todos os caminhos de comunicação associados. É preciso
eliminar os pontos cegos para que as ameaças deixem de explorar esses meios.

Além disso, a visibilidade dos processos e das atividades da rede é crítica para
detectar violações de regras e políticas, bem como comportamentos suspeitos.
Uma ferramenta de defesa importante nesse caso inclui os sistemas automati-
zados de detecção, que buscam ameaças de forma proativa e oferecem insights
para investigar ou remediar ameaças para reduzir os danos nos casos de uma
invasão, bloqueando a ação dos cibercriminosos antes que os dados sejam rou-
bados.

Para isso, as soluções de segurança precisam ser implementadas para coletar

os dados relevantes ao longo de todo o ambiente, garantindo o entendimento de
cada comunicação em cada porta. Neste contexto, os algoritmos de machine le-
arning podem levar a estratégia além, permitindo antecipar as ações dos hackers
e impedindo os movimentos laterais dos cibercriminosos dentro da rede.

Outro aspecto importante da visibilidade em tempo real é a possibilidade de con-

tar com dados do que é considerado um “comportamento normal” dentro da em-
presa. Isso é fundamental especialmente na identificação de atividades anormais
de algumas ameaças internas.

Em suma, a visibilidade em tempo real é importante para transformar a estratégia

de segurança, ajudando a deixar para trás uma postura reativa para adotar
ações proativas para combater ameaças avançadas, fornecendo vantagens de-
cisivas no combate às ameaças cibernéticas.

As empresas precisam lidar com o alto risco de ataques cibernéticos em seus

processos de digitalização. Este cenário pode piorar quando os hackers aplicam
Inteligência Artificial e aprendizado de máquina aos métodos de invasão. O se-
questro de um dispositivo inteligente pode ter consequências inimagináveis por

14
causa dos níveis de interconexão entre eles: imagine se um sistema de hospital
baseado em IoT parasse?

A mesma IA que protege um sistema operacional pode ser usada por bots mal-
intencionados para adaptar os estilos de escrita dos usuários ou seus tons de
voz, como o Death by Captcha, que usa aprendizado de máquina e reconheci-
mento óptico para identificar e resolver enigmas de identidade.

O Sentry MBA realiza testes automatizados de nomes de usuários e senhas em

sites até ter uma tentativa de login bem-sucedida para acessar e controlar mi-
lhões de contas simultaneamente.

É necessário responder igualmente à ameaça, usando Inteligência Artificial e

aprendizado de máquina em processos de defesa, informações de tráfego e aná-
lise de dados. Os cientistas de dados da ZeroFOX Inc. construíram uma rede
neural para analisar dados críticos e mitigar ataques de phishing por meio da
mídia social.

No entanto, de acordo com a pesquisa da PwC - Estado Global de Segurança

da Informação (GSISS), o alto potencial da automação e dos botnets pode influ-
enciar os ataques cibernéticos dos próximos anos. Por isso, em maio de 2017,
os líderes do G-7 e do G-20 reforçaram a urgência pela cibersegurança, aumen-
tando a confiança nas tecnologias digitais.

Apesar de saber disso, a maioria dos gerentes permanece despreparada. De

acordo com a pesquisa da PwC, 44% não possui uma estratégia de segurança e
mais da metade (54%) não possui solução para responder aos incidentes de
segurança.

Aplicando o aprendizado de máquina à análise gráfica de dados, identificando

padrões, comportamento incomum ou outras atividades, eles podem resolver
essa situação. Mas a solução também deve classificar o nível de riscos e amea-
ças e ajustar os métodos de segurança com base nas novas informações.

15
Com a Inteligência Artificial, as máquinas podem realizar coleta automatizada de
dados e análise de processos. Isso preenche a lacuna deixada pela escassez
de profissionais especializados em segurança cibernética.

Mas os desafios são enormes, pois a mesma tecnologia é aplicada legal e ile-
galmente. É apenas uma questão de tempo até que os hackers criem ataques
novos e mais avançados.

COMO FUNCIONA A DETECÇÃO DE AMEAÇAS EM TEMPO

REAL?

O sistema de segurança pode detectar facilmente ameaças conhecidas e as so-

luções de detecção de ameaças em tempo real podem mapear ameaças de in-
fraestrutura conhecidas e desconhecidas. Eles trabalham aproveitando a inteli-
gência de ameaças, configurando armadilhas de intrusão, examinando dados de
assinatura de ataques anteriores e comparando-os com esforços de intrusão em
tempo real.

Ao comparar o comportamento do usuário e do hacker - quando e onde diferen-

tes tipos de arquivos foram acessados - é possível distinguir as atividades nor-
mais das maliciosas. Dessa forma, as ferramentas de detecção de ameaças em
tempo real usam processos analíticos para varrer grandes conjuntos de dados e
compará-los para encontrar ameaças potenciais de anomalias.

Softwares como CMSs, hardware ou Endpoints podem integrar soluções de de-

tecção de ameaças em tempo real. O uso dessa tecnologia permite monitorar
todo o sistema, identificar riscos de segurança, como malware ou ransomware,
bloquear ameaças e alertar usuários sobre o uso não autorizado da infraestru-
tura.

16
MANEIRAS IMPORTANTES DAS EMPRESAS SE PROTEGEREM
DE ATAQUE CIBERNÉTICOS

Aqui estão alguns processos e tecnologias importantes que as empresas devem

implantar e otimizar para se proteger contra ameaças online.

 Treinamento de seus colaboradores –Conscientizar os seus colabora-

dores deve ser sua primeira ação contra ameaças de segurança online.
Treinar seu time para estar ciente das ameaças comuns ajudará sua em-
presa a evitá-las.

 Políticas de senha fortes – Uma quantidade surpreendente de hackers

obtém acesso a dados confidenciais empregando programas que geram
combinações de letras, números e símbolos até determinarem qual é sua
senha - para senhas simples, pode ser uma questão de minutos. Uma
política de senha forte pode evitar isso.

 Controle de acesso – As equipes de cibersegurança devem fornecer

acesso a apenas a determinados usuários - por exemplo, o RH deve pre-
cisar de aprovação especial para acessar registros financeiros da em-
presa. Isso reduzirá a quantidade de dados que podem ser acessados
durante uma única violação.

 Firewalls – Um firewall fornece uma barreira que impede a propagação

de malware e outras comunicações indesejadas entre dispositivos. Ele
sinaliza ou bloqueia conteúdo suspeito ao filtrar todas as comunicações
de rede que tentam entrar em seu dispositivo.

 Detecção e Resposta de Endpoint (EDR) – O software de segurança

geralmente se refere a soluções antimalware aprimoradas com algoritmos
de machine learning que detectam e removem códigos maliciosos. Pode
ser uma solução ampla que cobre muitos tipos diferentes de malware e
ransomware, ou pode se concentrar na detecção e remoção de spyware,
vírus, botnets e ameaças semelhantes.

17
 Monitoramento – As soluções de monitoramento ajudam sua equipe de
TI a ficar atenta quando uma atividade estranha ou perigosa está ocor-
rendo em sua rede. Por exemplo, se um funcionário mora no país A e
parece estar trabalhando no país B, algo suspeito pode estar aconte-
cendo.

 IDS/IPS – Esses dois complementam o trabalho do firewall. O IDS identi-

fica todo e qualquer tipo de atividade estranha, incomum na rede. Por
exemplo: um download excessivo de arquivos, após fazer isso ele manda
essa informação de alerta para IPS que vai tomar as ações de bloqueio
dos Ips que está fazendo esse tipo de download excessivo.

 Webfilter – Nem todos ataques são externos, na verdade, existem muitos

ataques que vem de dentro da sua rede. A função do webfilter é proteger
quem está dentro da sua rede: os computadores, usuários com acesso
liberado para mexer dentro da sua rede. Eles podem trazer vulnerabilida-
des para os ataques.

O webfilter faz o gerenciamento do que pode ou não pode ser acessado

pelas suas máquinas, ou usuários que são parte da sua rede. Com essa
ferramenta você pode aplicar a política de segurança para os colaborado-
res, como os sites que podem ou não ser acessados.

 VPN e Voucher – Além dos usuários que estão conectados a sua rede
no espaço físico, muitas empresas têm o acesso remoto, o diretor que
acessa os dados da empresa através do seu notebook em casa, aces-
sando dados e fazendo transações na empresa.

Para que esse acesso seja seguro faz-se necessário a criação da VPN,
que é basicamente um túnel seguro entre o usuário de fora autorizado a
acessar o que tem na rede.

18
 É importante a utilização dessa ferramenta para o monitoramento dos vi-
sitantes da rede, pessoas que irão participar de uma reunião ou alguma
conferência e para usuários que acessam a rede wifi, se for o caso da
empresa ter o mesmo liberado para acesso.

 Antivírus – Alguns ataques são tipos de softwares que se instalam nas

máquinas dos usuários da rede, para coletar dados. O antivírus é um sof-
tware bem mais poderoso que esses ataques, que inibe que eles aconte-
çam. A função do antivírus é proteger a sua máquina, o usuário especí-
fico.

 Backup de dados – Caso der tudo errado, você pode ser salvo
por backups regulares. Agentes mal-intencionados muitas vezes blo-
queiam ou excluem dados - com backups de dados consistentes, você
pode rapidamente voltar aos negócios com perda mínima de dados.

Embora existam outras medidas e ferramentas de segurança disponíveis para

as organizações, esta lista descreve as formas mais comuns para se proteger
de ameaças de cibersegurnça.

19
A IMPORTÂNCIA DA CIÊNCIA DE DADOS

O gráfico da imagem a seguir, Figura 1, reproduzido no site da ITGI, ilustra al-

guns segmentos envolvidos com o tema de Ciência de Dados:

Figura 1: Ciência de dados

Fonte: Google

Percebe-se então a importância da ciência de dados perante a segurança das

informações. Ou seja, antes de prever ou prover a segurança dos dados e infor-
mações de negócio, deve-se antes entender, interpretar, decifrar, o que tais da-

20
dos representam naquele dado instante ou num universo de análise diário, se-
manal, mensal, ou conforme a sazonalidade que se espera e precisa para to-
mada de uma decisão.

A visão é bem pragmática no ciclo de vida dos dados, desde os primórdios de

Von Neumann, ou seja: input → process → output.

Resumindo: se existe risco quanto a integridade e confidencialidade dos dados

já na inserção, a tomada de decisão será também comprometida: o que será
fatal ao negócio lá na ponta. O fato é que a maioria dos profissionais de segu-
rança já estão usando ferramentas baseadas em aprendizado de máquina para
operações de segurança.

PADRÃO DE COMPORTAMENTO

O dicionário de Collin define “padrão de comportamento” como uma forma recor-

rente de agir por um indivíduo ou grupo em relação a um determinado objeto ou
em uma determinada situação. A análise e a compreensão dos padrões de com-
portamento dos indivíduos provaram fornecer soluções aprofundadas para pro-
blemas em diferentes esferas da vida, incluindo a segurança cibernética.

Quando se trata de organizações que lutam contra ameaças cibernéticas, as

soluções de segurança tradicionais baseadas em regras não podem fornecer
visibilidade de ataques cibernéticos cada vez mais sofisticados. Vemos esse pa-
drão em violações bem-sucedidas que ocorrem diariamente. Além disso, no pro-
cesso de detecção e remediação rápidas de ameaças à segurança, as ferramen-
tas de segurança tradicionais tendem a sobrecarregar os analistas de segurança
com alertas sem contexto.

É aqui que a análise de comportamento de usuário e entidade (UEBA) oferece

uma solução mais eficiente. Uma solução UEBA orquestra análises avançadas

21
por meio de enriquecimento de dados, ciência de dados e aprendizado de má-
quina para combater ameaças avançadas. Por meio desse processo, a UEBA
produz um menor volume de alertas mais precisos e reduz o número de falsos
positivos. Incorporar análises de comportamento em sua solução SIEM ajuda a
lidar com o cenário de ameaças de segurança anormais e avançadas, junta-
mente com a detecção de ameaças tradicional baseada em regras.

Diferenciando comportamentos normais e maliciosos

Não é segredo que as ameaças internas são uma das muitas fontes de perda de
dados confidenciais. Aqui, o agente da ameaça é um insider mal-intencionado
ou comprometido. Detectar ameaças internas pode ser desafiador, pois a maio-
ria das ferramentas de segurança não consegue diferenciar um usuário legítimo
de um ator de ameaça potencial.
Nesse caso, uma solução UEBA detecta usuários executando atividades suspei-
tas que estão fora de sua linha de base normal. A análise do comportamento
leva em consideração o histórico de um usuário específico e detecta atividades
anormais como:

 Logins em horas incomuns, em frequências incomuns, de locais incomuns

e acessando dados ou sistemas incomuns, como servidores SQL
 Mudanças de escalonamento de privilégios para sistemas críticos
 Acesso não autorizado a contas de usuário

A exfiltração de dados tenta correlacionar eventos aparentemente não relacio-

nados, como fazer login em um momento incomum, acessar um banco de dados
do servidor SQL e inserir uma unidade USB.

Detectando ativos comprometidos com rapidez e precisão

Quando se trata de ataques cibernéticos, alguns dos ativos inicialmente visados

incluem sistemas, hosts, contas ou dispositivos. Agentes de ameaças mal-inten-
cionados podem operar sem serem detectados na rede da sua organização por

22
semanas ou até meses. Usando a análise de comportamento, a detecção de
ameaças à segurança, como dispositivos comprometidos, torna-se mais fácil,
mais precisa e muito mais rápida.

Nesse caso, a solução UEBA detecta atividades anômalas monitorando o com-

portamento das entidades em sua organização. A solução monitora:
 Contas de usuário privilegiadas para comprometimento
 Servidores para atividades que se desviam da linha de base normal
 Comportamento anômalo em tempo real, como aumento do tráfego em
dispositivos de rede, incluindo dispositivos Windows, roteadores e fire-
walls

Detectando tentativas de exfiltração de dados

A exfiltração de dados ocorre quando dados confidenciais são transferidos para

fora da organização sem autorização. Isso pode acontecer quando um usuário
mal-intencionado transfere dados copiando o conteúdo para um dispositivo físico
ou pela Internet. Também pode ocorrer por meio de infecções por malware nos
sistemas da sua organização.

Nesse caso, a solução UEBA monitora dispositivos de rede, detecta e fornece

alertas em tempo real para eventos suspeitos, com:

 Instalações incomuns de software em dispositivos específicos

 Downloads incomuns ou acesso a dados confidenciais
 Quantidades incomuns de tráfego de rede que podem ser uma indicação
de grande transferência de dados, contradizendo a linha de base normal
do usuário ou da máquina que está transferindo os dados

Como os ataques de hoje se tornam cada vez mais sofisticados e as ameaças à

segurança emanam tanto de fora quanto de dentro da rede, sua organização
precisa de uma solução de segurança que seja especializada em detectar e mi-
tigar ameaças incomuns. Uma solução UEBA pode se adaptar ao ambiente de

23
sua organização rapidamente, aprendendo e analisando o comportamento de
seus usuários e entidades, e alertá-lo sobre atividades anômalas que se desviam
da norma. Ele também ajuda você a se preparar para ameaças incomuns de
usuários internos e externos mal-intencionados.

Se você estiver interessado em aprender mais sobre análise de comportamento

e aprendizado de máquina no SIEM, junte-se a nós nesta série de webinar de
dois dias em que mergulharemos profundamente no mundo do aprendizado de
máquina e exploraremos alguns exemplos reais de mitigação de ameaças ciber-
néticas, como comprometimento de conta, insider ameaças, violações de dados
e muito mais.

INTELIGÊNCIA NA DETECÇÃO DE AMEAÇAS

De forma a fazer um bom uso da inteligência, uma organização deve ter amplo
conhecimento de si mesma, métodos, processos e tecnologias que utiliza, bem
como dos ataques e atacantes a que pode estar sujeita.

Primeiramente a organização deve saber quais atores são uma ameaça para
ela, considerando a capacidade, oportunidade e intenção dos mesmos.

Como segundo passo deve-se avaliar como as ameaças operam e qual seria o
objetivo de cada tipo de ameaça. Por exemplo, visa-se tirar os sistemas da or-
ganização por um determinado tempo do ar ou então roubar seus dados.

Após a identificação das ameaças, deve-se considerar qual o risco da organiza-

ção ser alvo de cada uma delas através da probabilidade x impacto. E por fim,
avaliar quais seriam as melhores formas de prevenção, detecção e resposta das
ameaças de maneira oportuna e proativa. Como forma de auxiliar a organização
na identificação das ameaças utiliza-se a “Piramid of Pain”.

24
Ela identifica as ameaças da mais baixa para a mais alta, sendo que para as
mais simples as organizações devem estar preparadas, e o grande risco de gran-
des danos estão nas ameaças próximas ao topo. Do primeiro ao quarto degrau
tem-se os ataques mais simples e fáceis de resolver e identificar. No primeiro
degrau estão problemas que podem ser identificados geralmente por antivírus e
firewalls e consistem usualmente em portas abertas ou arquivos infectados.

No segundo degrau já temos ameaças que podem ser barrados por uma defesa
ativa, tal como avisos por e-mail ao acessar alguma conta em local desconhe-
cido. No terceiro degrau podem ser executados ataques, por exemplo, de mu-
dança de registros DNS na máquina de usuário para acesso de páginas falsas
como se fossem as reais. O quarto degrau causa mais irritação que real dano,
sendo reservado a alguns problemas externos de infraestrutura.

Figura 2: Piramid of Pain

Fonte: https://gblogs.cisco.com/ca/2020/08/26/the-canadian-bacon-cisco-security-and-
the-pyramid-of-pain/

A partir do quinto degrau, as ameaças tornam-se mais desafiadores, tanto para

o atacante em já ter se infiltrado e passado pelos outros degraus sem ter sido
detectado, quanto para a organização que pode ter grandes danos. No quinto
degrau tem-se a infraestrutura interna, enquanto que no sexto e último degrau
tem-se todos os sistemas e controles da organização.

25
Pode-se visualizar então, que tanto a organização quanto o atacante têm longas
etapas a percorrer de forma a obter acessos expressivos. Apresentamos então,
a forma como o autor de uma ameça opera, desde seu reconhecimento até seu
objetivo final através da Cyber Kill Chain, que é definida como uma cadeia de 7
etapas para se realizar um ataque.

A primeira etapa consiste no reconhecimento e coleta de informações sobre o

alvo, sendo que nessa etapa é utilizado de varredura de servidores abertos, en-
genharia social, coleta de endereços de e-mail e pesquisa dos respectivos perfis
em redes sociais.

A segunda etapa tem por objetivo encontrar a ameaça certa para atingir o alvo,
um malware que possa comprometer a rede, por exemplo.

Afigura abaixo, ilustra a ideia do Cyber Kill Chain.

Figura 3: Cyber Kill Chain

Fonte: https://www.netsurion.com/articles/eventtracker-enterprise-and-the-cyber-kill-
chain

26
A terceira etapa consiste em entregar a ameaça para a vítima, sendo que pode
ser feito de diversas formas: por e-mail, pen drive, web, entre outros. Posterior-
mente, a quarta etapa consiste na exploração, ou seja, utilizar alguma vulnera-
bilidade no sistema de destino de forma a executar ou instalar o software malici-
oso, sendo essa a quinta etapa.

Por fim, na sexta etapa o alvo é totalmente comprometido, de forma que o ata-
cante possa atingir o objetivo planejado na sétima e última etapa.

CONSIDERAÇÕES FINAIS

Um estudo da Webroot, de dezembro de 2017, descobriu que 88% dos progra-

mas de segurança cibernética têm algumas soluções baseadas em inteligência
artificial (mais comumente para detecção de malware), detecção de IP spoofing
e pharming. Porém, 69% dos entrevistados acham que essas soluções não são
totalmente confiáveis e 91% expressaram intenção de aumentar seus investi-
mentos em soluções de segurança baseadas em IA nos próximos três anos. Em
suma, é impossível descartar ou desprezar a força que a ciência dos dados nos
revela, cada vez mais, neste contexto de cyber segurança com inteligência, uma
vez que ela (Ciência dos dados) é:

 Um processo de tomada de decisão;

 Um conceito para unificar estatísticas, análise de dados e seus métodos

relacionados;

 O processamento e o uso de ferramentas para extrair informações a partir

dos dados;

 Uma prática que apoia a gestão do conhecimento;

 Significa entender e analisar fenômenos reais a partir de dados;

27
  Observação, captura, curadoria, estudo, compartilhamento, retenção,

transmissão e visualização de grandes volumes de dados.

“Um quarto paradigma da ciência (empírica, teórica, computacional e agora ori-

entada por dados). Tudo sobre a ciência está mudando devido ao impacto da
tecnologia da informação e o dilúvio de dados.” – Jim Gray, vencedor do prêmio
Turing de 1998.

Enfim: use a ciência de dados e aprendizado de máquina para reduzir a fadiga

de alerta de seu centro de operações em segurança ou detecção de ameaças.
A adoção de inteligência de ameaças com aprendizado de máquina está em as-
censão – e com boa razão – mas não sem levantar algumas preocupações.

Na verdade, é muito comum as empresas serem alvo de ameaças à cibersegu-

rança - portanto, as empresas devem fazer tudo o que puderem para prevenir,
detectar e/ou eliminar as ameaças antes que se tornem um ataque em grande
escala. A melhor maneira de se manter à frente dos riscos e ameaças aos ne-
gócios é treinar toda a sua equipe em conscientização sobre segurança ciberné-
tica, aproveitar o software que pode detectar ou eliminar ameaças e implementar
soluções de backup para seus dados mais importantes. Ao seguir essas etapas,
sua organização será capaz de desviar a maioria das ameaças de segurança
cibernética.

28
REFERÊNCIAS

Carvalho, P. S. M. D. A defesa cibernética e as infraestruturas críticas naci-

onais. Coleção Meira Mattos-Revistadas Ciências Militares. 2011.

CRONIN, Blaise. Esquemas conceituais e estratégicos para a gerência da infor-

maçăo. Revista da Escola de Biblioteconomia da UFMG, v. 19, n. 2, p. 195-
220, Set 1990.

DERTOUZOS, Michael L. O que será? como o mundo da informação transfor-

mará nossas vidas. Săo Paulo: Companhia das Letras, 1997.

FERNANDES, Mirian. Tudo sobre Segurança Cibernética. Maio 2021. Dispo-

nível em: < https://blog.starti.com.br/author/mirian-fernandes/>. Acesso em 10
agosto de 2021.

SETHUNATHAN, Bela. Maneiras importantes de se proteger contra ata-

ques cibernéticos.SoftwareOne. 24 de Março 2021. Disponível em:<
https://www.softwareone.com/pt-br/blog/artigos/2021/03/15/porque-escolher-
pentest>. Acesso em: 10 de agosto de 2021.

_________.A inteligência das ameaças cibernéticas envolvendo a segu-

rança em Machine Learning e a ciência dos dados. Cedro Technologies.
Disponível em:< http://blog.cedrotech.com/inteligencia-das-ameacas-ciberneti-
cas-envolvendo-seguranca-em-machine-learning-e-ciencia-dos-dados>.
Acesso em: 10 de agosto de 2021.

KLINCZAK1. Marjori. Uso da Inteligência na Detecção de Ameaças Ciberné-

ticas. The Eleventh International Conference on FORENSIC COMPUTER SCI-
ENCE and CYBER LAW . DOI: 10.5769/C2019002 or
http://dx.doi.org/10.5769/C2019002São Paulo – novembro 2019. Disponível
em:< http://icofcs.org/2019/ICoFCS2019-002.pdf>. Acesso em 10 de agosto de
2021.

VAN WEGEN, Bert & DE HOOG, Robert. Measuring the economic value of infor-
mation systems. Journal of Information Technology, v. 11, n. 3, p. 247-260,
Sept 1996.

29