Introduction To The Threat Landscape 1.0 Lesson Scripts - En.pt

Traduzido do Inglês para o Português - www.onlinedoctranslator.
com
Introdução ao cenário de
ameaças
Roteiros de aula
1,0
Instituto de Treinamento Fortinet - Biblioteca
https://training.fortinet.com
Documentação do produto Fortinet
https://docs.fortinet.com
Base de Conhecimento Fortinet
https://kb.fortinet.com
Comunidade de usuários do Fortinet Fuse
https://fusecommunity.fortinet.com/home
Fóruns Fortinet
https://forum.fortinet.com
Suporte ao produto Fortinet
https://support.fortinet.com
Laboratórios FortiGuard
https://www.fortiguard.com
Informações sobre o programa de treinamento Fortinet
https://www.fortinet.com/nse-training
Fortuna | Pearson VUE
https://home.pearsonvue.com/fortinet
Helpdesk do Fortinet Training Institute (perguntas de treinamento, comentários, feedback)
https://helpdesk.training.fortinet.com/support/home
26/09/2023
ÍNDICE
Introdução ao Módulo de Segurança Cibernética 4

Lição de introdução à visão geral da segurança cibernética O 4
que é a lição de segurança cibernética 5
Lição de Princípios de Segurança da Informação 7
Módulo de cenário de ameaças 9
Lição Visão geral do cenário de ameaças Lição 9
sobre atores de ameaças 10
Lição sobre ameaças à segurança 13
cibernética Lição sobre inteligência de 15
ameaças Lição sobre estruturas de ataque 18
Módulo de Engenharia Social 20
Visão geral da engenharia social Lição Técnicas 20
de engenharia social Parte A Lição Técnicas de 22
engenharia social Parte B Lição Lição sobre 25
ameaças internas 28
Lição sobre fraudes, golpes e campanhas de influência 31
Módulo de malware 33
Lição sobre visão geral do malware 33
Lição sobre tipos de malware 34
Lição sobre vetores e métodos de ataque de malware 37
Introdução ao Módulo de Segurança Cibernética
Lição de introdução à visão geral da segurança cibernética
Bem vindo àIntrodução à segurança cibernéticamódulo.
CliquePróximopara começar.
A cibersegurança são os métodos, tecnologias e processos coletivos que protegem os sistemas de computadores, as redes e as
informações que eles contêm.
Observe que a segurança cibernética é mais do que tecnologia. Além da tecnologia, são também as ações e comportamentos
corretos das pessoas que mantêm os sistemas informáticos seguros.
Ao final deste módulo, você estará equipado com alguns dos conhecimentos conceituais fundamentais de segurança de TI. Você
aprenderá sobre os princípios de segurança da informação que orientam os profissionais de segurança de TI em suas atividades
diárias. E você terá uma visão melhor do processo de identificação de quais informações precisam de proteção e quanta proteção
elas exigem. Você aprenderá sobre a primeira linha de defesa contra ataques cibernéticos. Além disso, você se familiarizará com
alguns dos termos essenciais de segurança da informação.
Estes tópicos incluem alguns dos conhecimentos críticos que se espera que todos os profissionais de segurança cibernética conheçam e sobre
os quais serão construídas informações tecnológicas mais específicas.
Prossiga para a primeira lição para começar.
4 Introdução aos scripts de aula do cenário de ameaças 1.0

Fortinet Technologies Inc.
Introdução ao Módulo de Segurança Cibernética O que é lição de segurança cibernética
O que é lição de segurança cibernética
Bem vindo àO que é segurança cibernéticalição.
Depois de concluir esta lição, você será capaz de atingir estes objetivos:
eu Descreva os termos segurança cibernética, segurança da informação e segurança de sistemas de informação. Explique
eu como a segurança de TI determina quais informações precisam ser protegidas.
eu Explique a primeira linha de defesa contra ataques cibernéticos.
O que é segurança cibernética?
A cibersegurança é a prática de proteger redes de computadores, dispositivos e informações contra danos, perdas ou acesso não
autorizado. É importante observar que a segurança cibernética protege as informações digitais contra ameaças cibernéticas. A
proteção da informação significa a preservação da confidencialidade, integridade e disponibilidade da informação no ciberespaço.
Os profissionais de segurança cibernética atuam para proteger servidores, endpoints, bancos de dados e redes, encontrando falhas de segurança e
configurações incorretas que criam vulnerabilidades.
A segurança cibernética pode ser dividida em cinco categorias: segurança de infraestrutura crítica, segurança de aplicativos, segurança
de rede, segurança em nuvem e segurança da Internet das Coisas (IoT).
Observe que outras organizações podem categorizar os tipos de segurança cibernética de maneira diferente ou rotulá-los de forma
diferente. Além dessas cinco categorias, existem as pessoas e os processos que utilizam a tecnologia para defender sistemas de
computadores, redes e as informações neles contidas.
Estas diferentes categorias reflectem até que ponto as tecnologias informáticas transformaram o mundo.
Do gerenciamento on-line de gasodutos ou redes elétricas a aplicativos que permitem comprar e vender produtos on-line, à colaboração com
colegas de trabalho, independentemente da localização geográfica, ao aluguel de armazenamento de dados na nuvem, ao rastreamento de
toner e à manutenção de impressoras, todas essas tecnologias transformaram a forma como as pessoas vivem e como fazem negócios.
A transformação digital alcançou enormes eficiências, expandiu conveniências inéditas, proporcionou acesso onipresente à
informação e aumentou exponencialmente a produtividade, o que aumentou a riqueza e melhorou a qualidade de vida. Por exemplo,
as pessoas que vivem em áreas remotas do mundo podem aceder a especialistas médicos utilizando tecnologias informáticas.
Informações médicas pessoais podem ser coletadas localmente e transferidas para médicos especialistas para auxiliar no diagnóstico
e soluções. Sem proteger as redes informáticas e as ligações que as ligam, todos estes avanços estão em risco.
A segurança da informação, também conhecida como InfoSec, é a prática de proteger informações. InfoSec inclui as ferramentas e
processos usados para prevenir, detectar e remediar ataques e ameaças a informações confidenciais, tanto digitais quanto físicas.
InfoSec também inclui a documentação dos processos, ameaças e sistemas que afetam a segurança das informações. A natureza da
informação é inclusiva e ampla. Inclui informações armazenadas eletronicamente em um computador, ou informações que estão na
mesa de alguém, ou armazenadas em um arquivo. As informações que podem exigir proteção também podem incluir tudo, desde
dados de missão crítica até políticas de RH e contratos legais.
A segurança de TI examina todas as informações dentro de uma organização para categorizar e priorizar sua sensibilidade. Algumas
informações são rotuladas como desprotegidas, o que significa que nenhum controle é necessário, enquanto algumas informações são
rotuladas como protegidas, o que significa que é necessário algum nível de proteção e controle. Dependendo do protegido
Introdução ao cenário de ameaças 1.0 Scripts de aula 5

O que é lição de segurança cibernética Introdução ao Módulo de Segurança Cibernética
De acordo com a criticidade da informação, ela pode ser rotulada como confidencial, secreta ou ultrassecreta. Cada nível protegido
sucessivo requer controles e salvaguardas mais rigorosos.
A segurança dos sistemas de informação faz parte da InfoSec. É definida como a proteção dos sistemas de informação contra
acesso não autorizado, modificação, destruição ou negação de acesso a usuários autorizados. Os sistemas de informação incluem
dispositivos, redes de computadores e locais físicos que armazenam ou transmitem informações confidenciais. A forma das
informações pode ser digital ou física.
Dado o que você sabe agora sobre os termos discutidos nesta lição, você pode concluir que a segurança dos sistemas de informação é um
subconjunto da InfoSec e a segurança cibernética é um subconjunto da segurança dos sistemas de informação.
Dada a importância de proteger esta infra-estrutura cibernética, que é vital para a prosperidade e a qualidade de vida contínuas de
grande parte do mundo, podem ser tomadas certas precauções. Tudo começa com pessoas e educação. Numerosos estudos
identificaram o erro humano como a principal causa de violações de redes e computadores. Esta situação pode ser resolvida
educando as pessoas no trabalho e em casa para que pensem antes de clicar e para ajudá-las a identificar ataques de phishing e
outros métodos de ataque comuns cometidos por malfeitores.
Outra primeira linha de defesa, tanto no trabalho como em casa, é preparar-se para desastres e planear a recuperação. Se você fizer
backups regulares de seus dados e eles forem mantidos off-line com segurança, caso seus dados sejam excluídos ou corrompidos por
malware ou criptografados por ransomware, você poderá restaurar seus dados com o mínimo de perda e interrupção de dados.

Introdução ao Módulo de Segurança Cibernética Lição de Princípios de Segurança da Informação
Lição de Princípios de Segurança da Informação
Bem vindo àPrincípios de Segurança da Informaçãolição.
eu Liste os princípios da segurança da informação.

eu Descreva os termos autenticação, autorização e contabilidade.
Existe uma tríade de princípios que constitui os objetivos da segurança da informação. Esses princípios são
confidencialidade, integridade e disponibilidade que constituem as letras CIA.
As informações privadas devem permanecer confidenciais. Você precisa saber quem está tentando acessar as
informações e se está ou não autorizado a acessá-las.
Você também deve ter garantia de que as informações são autênticas, ou seja, íntegras. A informação deve ser
protegida de alterações não autorizadas, e caso seja alterada deve ser alertado para esse facto.
Por último, as partes autorizadas devem ter acesso às informações. Tecnologias, políticas e processos devem estar em vigor para
garantir uma disponibilidade confiável. Juntos, estes três princípios constituem a tríade da CIA.
Por outro lado, a Infosec trabalha para evitar a divulgação e alteração de informações. Além disso, esforça-se por garantir que não
sejam negadas informações às partes autorizadas.
Estas características, conhecidas como tríade DAD, são o oposto da tríade CIA.
A divulgação expõe dados confidenciais a partes não autorizadas.
A alteração dos dados, ou a incapacidade de testar a alteração, torna os dados não confiáveis.
A negação de informações impede que agentes legítimos e autorizados acessem os dados. Uma solução de
segurança eficaz, como um firewall de rede, ajudará a neutralizar a tríade DAD.
Os três termos de segurança com os quais você deve estar familiarizado são autenticação, autorização e contabilidade (AAA).
Juntos, AAA constitui uma estrutura de segurança que controla recursos, aplica políticas e audita o uso. A estrutura de segurança
desempenha um papel importante no gerenciamento de rede e na segurança cibernética, rastreando os usuários e monitorando
suas atividades enquanto estão conectados.
Autenticação é o processo de identificação e verificação de uma pessoa ou coisa. Como uma ferramenta de gerenciamento de identidade e acesso (IAM),
um servidor AAA compara as credenciais de um usuário com seu banco de dados de credenciais armazenadas, verificando se o nome de usuário, a senha
e outras ferramentas de autenticação estão alinhados com esse usuário específico.
Autorização é o processo de controle de acesso aos recursos. Durante a autorização, um usuário pode receber privilégios para acessar
determinadas áreas de uma rede ou sistema. As áreas e conjuntos de permissões concedidas a um usuário são armazenados em um banco
de dados junto com a identidade do usuário. Os privilégios do usuário podem ser alterados por um administrador.
Por último, a contabilidade em tecnologia da informação é a manutenção de registros e rastreamento das atividades dos agentes em
dispositivos e redes de computadores. A contabilidade rastreia informações como o tempo que um usuário esteve conectado, os dados que
ele enviou ou recebeu, seu endereço de protocolo de Internet (IP), o identificador uniforme de recursos (URI) que usou e os diferentes
serviços que acessou. A contabilidade pode ser usada para analisar tendências do usuário, auditar a atividade do usuário e fornecer
faturamento mais preciso.
Você concluiu a lição. Você esta capacitado para:

Lição de Princípios de Segurança da Informação Introdução ao Módulo de Segurança Cibernética
eu Liste os princípios da segurança da informação.

eu Descreva os termos autenticação, autorização e contabilidade.

Módulo de cenário de ameaças
Lição de visão geral do cenário de ameaças
Bem vindo àCenário de ameaçasmódulo.
O que é um cenário de ameaças? Um cenário de ameaças é o conjunto de ameaças num determinado contexto ou domínio
e inclui informações sobre os autores das ameaças: os malfeitores. No contexto da segurança cibernética, o cenário de
ameaças inclui todas as ameaças conhecidas e possíveis às redes de computadores. A introdução de novas tecnologias e
métodos garante um cenário dinâmico onde surgem novas ameaças de forma contínua.
Compreender a natureza das ameaças colocadas à sua rede fornece-lhe o conhecimento necessário para combater e derrotar
ataques contra sistemas informáticos.
As lições deste módulo Cenário de Ameaças fornecem uma compreensão essencial dos seguintes fundamentos
necessários para atingir seus objetivos.
Você poderá:
Identifique os diferentes tipos de maus atores e hackers por suas motivações e táticas.
Diferentes tipos de malfeitores têm maior probabilidade de atacar determinados setores ou tipos de negócios. Por exemplo, os hospitais são
grandes alvos de criminosos cibernéticos que desejam resgatar informações médicas valiosas para enriquecer. É mais provável que o
departamento de defesa de uma nação seja atacado por outros actores de ameaças do Estado-nação, que estão mais interessados em roubar
segredos de Estado do que em extrair dinheiro das suas vítimas. Portanto, ao conhecer seu inimigo, você estará mais bem equipado para
combater seus ataques.
Você poderá:
Descrever vetores de ataque, ameaças à segurança cibernética e as categorias em que as ameaças cibernéticas se enquadram.
Compreender a classificação das ameaças fornece informações sobre como os ataques podem ser realizados. Novamente, isso
pode ajudá-lo a identificar pontos fracos em seu ambiente e a tomar precauções para reduzir a superfície de ataque.
Você poderá:
Defina inteligência contra ameaças e explique como ela é processada.
Para que as informações sejam inteligência sobre ameaças, elas devem ser relevantes, acionáveis e contextuais. Se não for tudo isso,
então não é inteligência de ameaças. No entanto, isto também é muito situacional, por isso o que é inteligência para uma organização
pode não ser inteligência para outra.
Você poderá:
Descreva diferentes estruturas de ataque, como Cyber Kill Chain e MITRE ATT&CK.
As estruturas de ataque dão uma ideia da anatomia de um ataque cibernético. Compreender a cadeia de ações em um ataque
permite antecipar as ações do inimigo e combatê-las. Além disso, estruturas como MITRE ATT&CK são ricas em informações e
inteligência sobre ameaças de que você precisa para ser um profissional de segurança de TI eficaz.

Lição sobre atores de ameaças Módulo de cenário de ameaças
Lição sobre atores de ameaças
Bem vindo àAtores de ameaçaslição.
eu Descreva os diferentes tipos de maus atores e suas motivações.

eu Descreva as diferentes categorias de hackers.
O que é um mau ator? Atores mal-intencionados, também conhecidos como atores de ameaças, são pessoas que tentam roubar, sabotar ou
impedir que você use sistemas de computador ou acesse informações que você está autorizado a usar e que estão armazenadas ou em
trânsito entre dispositivos de computação. Pode haver uma infinidade de motivações para o seu comportamento criminoso, e essas diferentes
motivações não apenas influenciam os seus métodos de ataque, mas também fornecem informações sobre o seu caráter e crenças. Os maus
atores podem ser agrupados em tipos com base em seu caráter, motivações e métodos de ataque comuns que usam. É importante observar
que os maus atores NÃO são um grupo homogêneo.
Embora existam vários tipos de maus atores que têm motivações diferentes que ajudam a explicar suas atividades, você não deve ver um mau
ator como um misterioso personagem encapuzado que trabalha em um porão escuro, em outro país ou em outra cidade. Um mau ator pode
ser qualquer um, localizado em qualquer lugar. Pode ser alguém em uma cafeteria local que está configurando um ponto de acesso Wi-Fi falso
para roubar dados, um funcionário insatisfeito que está aproveitando seu status de funcionário para obter acesso mais profundo aos dados
corporativos, alguém em outro país cujo emprego em tempo integral é enganar pessoas de uma central de atendimento, ou pode ser um
adolescente da sua vizinhança que está curioso sobre os programas disponíveis gratuitamente na Internet que tornam a distribuição de
malware e ransomware tão fácil quanto alguns cliques do mouse.
Os tipos de maus atores são explorador, hacktivista, ciberterrorista, cibercriminoso e ciberguerreiro.
O explorador é talvez o menos nefasto de todos os tipos de maus atores.
A notoriedade é o maior motivador dentro deste grupo. O explorador está curioso sobre os tipos de fraquezas que existem nas
redes de computadores e se esforça para encontrá-las e explorá-las. Eles não pretendem infligir danos sérios, mas podem mudar
uma página de um site para envergonhar alguém ou fazer algo para anunciar ao mundo o quão inteligentes eles são.
Um método usado por exploradores e outros tipos de maus atores é chamado de phishing. Essencialmente, eles enganam as pessoas para
que forneçam informações pessoais. Um exemplo de phishing é um e-mail de uma fonte aparentemente legítima para um amplo grupo de
pessoas. Os ingredientes de um ataque de phishing bem-sucedido são: um, ganhar a confiança do destinatário ou pelo menos parecer inócuo
e, segundo, fabricar uma emergência para forçar o destinatário a agir. Existem variantes de phishing que também podem ser implantadas. O
spear phishing também usa email, mas o email é direcionado a uma pessoa ou grupo específico. O explorador também pode optar por ligar
ou enviar uma mensagem de texto para você, mais conhecido como smishing e vishing. Embora não seja usado e-mail, os mesmos
ingredientes são necessários para que o esquema seja bem-sucedido. O phishing e suas variantes, no entanto, não são exclusivos do
explorador, e outros tipos de malfeitores podem usá-los para seus próprios fins.
Clique nos ícones e botões para obter mais informações.
Exemplo de phishing:
Um e-mail de phishing pode indicar que alguma empresa exige a atenção imediata do destinatário e que um link para o
site da organização é fornecido para sua conveniência. O link, no entanto, não direciona o navegador para o site legítimo,
mas sim para um site falso. O site nocivo fornece a página de login e a vítima digita obedientemente seu nome de usuário
e senha. Quando a vítima clica em enviar, o site nocivo retorna uma mensagem informando que a senha estava incorreta.
Um link é fornecido para a página de login legítima, a vítima tenta novamente e desta vez faz login com sucesso. Porque
muitas vezes as pessoas digitam suas senhas rapidamente e às vezes fazem

Módulo de cenário de ameaças Lição sobre atores de ameaças
erros, a vítima pode não ser alertada para o fato de que algo suspeito aconteceu. Enquanto isso, o malfeitor tem o nome
de usuário e a senha da vítima e agora pode fazer login como eles.
Ao contrário do explorador interessado, os hacktivistas acreditam fervorosamente em uma causa externa. Eles são motivados pela
ideologia ou animados por uma força emotiva. O idealismo dos hacktivistas os leva a agir coletivamente em prol de uma causa
comum contra um inimigo.
Embora os hacktivistas possam fazer uma cruzada colectiva contra uma empresa específica, ou perseguir organizações políticas ou
sociais que considerem terem feito algo mau, o seu extremismo exige anonimato e os grupos online, por natureza, são
fragmentados. Uma estratégia comum dos hacktivistas é construir uma botnet em segredo. Para criar uma botnet, o hacktivista
configura um servidor de comando e controle (C&C) que pode ser acessado na internet. Este é um ponto central de coordenação para
todos os nós da botnet. Em seguida, eles criam malware que, uma vez instalado em alguns computadores desavisados, espera
pacientemente por instruções do servidor C&C. O servidor C&C instrui milhares de nós de botnet a enviar mensagens ao servidor de
destino, que fica sobrecarregado com solicitações e para de responder. Isso é chamado de ataque distribuído de negação de serviço
(DDoS). Os hacktivistas não têm recursos informáticos para realizar um ataque DDoS bem-sucedido, por isso precisam obter o
controle de milhares de computadores de outras pessoas.
O ciberterrorista tem mais em comum com o hacktivista do que com o explorador. A sua motivação também é motivada pela
ideologia, mas a sua violência é dirigida de forma mais ampla contra uma sociedade. Enquanto os hacktivistas se contentam em punir
os seus inimigos, os ciberterroristas esforçam-se por intimidar e desestabilizar uma sociedade, destruindo ou perturbando redes
informáticas ou de comunicação. Eles gostam de visar infraestruturas online, como centrais nucleares, gasodutos de gás natural e
redes de energia elétrica. Este tipo de infraestrutura online é denominado tecnologia operacional.
Tal como os hacktivistas, e a menos que sejam patrocinados por um Estado-nação, faltam-lhes os recursos para infligir uma destruição
catastrófica e têm de mendigar, pedir emprestado e roubar tecnologia para montar ataques eficazes. Ao contrário dos hacktivistas, os
ciberterroristas operam mais como um exército virtual coeso. Eles têm estrutura e direção. Eles podem implantar táticas como DDoS para
atacar alvos, mas um método favorito é o spear phishing. Depois de identificarem uma pessoa com amplos privilégios de rede, eles a
direcionam para uma campanha de engenharia social cuidadosamente planejada.
A motivação de um cibercriminoso é mais egocêntrica: eles querem dinheiro pura e simplesmente. Alcançam este objetivo através de uma
combinação de phishing, roubo de identidades ou cartões de crédito, que utilizam ou vendem no mercado negro, ou ransomware.
Ransomware é um tipo de malware que bloqueia o acesso a informações ou sistemas de computadores até que um resgate seja pago.
Às vezes pode haver múltiplas motivações para um grupo, ou dois ou mais tipos de maus atores. Por exemplo, não seria
incomum que cibercriminosos e ciberterroristas ou ciberguerreiros colaborassem num ataque ou existissem dentro do
mesmo grupo. No exemplo do ataque cibernético de 2021 contra Colonial Pipeline, suspeita-se que o país anfitrião da
organização criminosa tenha sido cúmplice ou aprovado o ataque. Este é um exemplo de conluio entre cibercriminosos e
ciberguerreiros.
Clique no ícone e no botão para obter mais informações.
Os ciberguerreiros são os menos interessados, mas são, no entanto, os mais perigosos porque têm à sua disposição os recursos de
um Estado-nação. Os guerreiros cibernéticos são motivados pelos interesses nacionais do seu país de origem. Se os guerreiros
cibernéticos são bons, maus ou neutros depende do Estado-nação pelo qual lutam. Os seus métodos são vastos e por vezes
secretos, e as suas missões incluem espionagem, extorsão e constrangimento, por um lado, e a utilização de armas cibernéticas
direcionadas para perturbar, danificar ou destruir infraestruturas críticas, por outro.
Eles gostam de aproveitar vulnerabilidades não corrigidas em sistemas operacionais e aplicativos comuns. Eles são conhecidos como
explorações de dia zero — provavelmente porque, quando a exploração é lançada, o fornecedor não tem nenhum dia para resolver o
problema. Os guerreiros cibernéticos fazem pesquisas intensivas sobre esses sistemas operacionais e aplicativos comuns, encontrando
pontos fracos, bugs e outros comportamentos que podem usar para atacar os sistemas de computador do inimigo. Os pontos fracos devem
permanecer em segredo até que possam ser usados, pois assim que forem conhecidos, o fornecedor emitirá um patch imediatamente.

Lição sobre atores de ameaças Módulo de cenário de ameaças
Assim como existem diferentes tipos de malfeitores, existem diferentes categorias de hackers, cada uma identificada por uma cor
simbólica. As principais categorias são: chapéu branco, chapéu preto, chapéu cinza e chapéu azul.
Um chapéu branco é um hacker ético que, com a devida autorização, investiga a rede para identificar vulnerabilidades. Em contraste, um
chapéu preto é um hacker que ataca uma rede para obter lucro ou causar danos. Um chapéu cinza é um hacker que ataca uma rede,
contradizendo o comportamento lícito e ético, mas que não tem a mesma intenção maliciosa de um hacker de chapéu preto. Esta categoria se
alinha mais estreitamente com o mau ator explorador. Um hacker de chapéu azul é uma variante de um chapéu branco. Esta categoria de
hacker refere-se a empresas externas de consultoria em segurança de computadores que são contratadas para testes de penetração de um
sistema antes de seu lançamento e com a intenção de detectar e eliminar vulnerabilidades.
eu Descreva os diferentes tipos de maus atores e suas motivações.

eu Descreva as diferentes categorias de hackers.

Módulo de cenário de ameaças Lição sobre ameaças à segurança cibernética
Lição sobre ameaças à segurança cibernética
Bem vindo àAmeaças à segurança cibernéticalição.
eu Descreva ameaças à segurança cibernética e liste exemplos. Liste as
eu principais categorias de ameaças cibernéticas.
eu Descreva os vetores de ataque perfilados.
O que é uma ameaça à segurança cibernética? Uma ameaça à segurança cibernética é uma ação que explora uma vulnerabilidade que resulta em danos a uma rede ou
sistema de computador.
Os maus atores são os instigadores das ameaças à segurança cibernética. Eles exploram diferentes vetores de ataque para atingir seus
objetivos. Em termos gerais, um vetor de ataque é um método usado por um malfeitor para acessar ilegalmente ou inibir uma rede, sistema
ou instalação. Você pode deduzir que as ameaças à segurança cibernética são um subconjunto de vetores de ataque. O que se entende por
método? Especificamente, o método é como uma vulnerabilidade é explorada. Existem três componentes que compõem um vetor de ataque:
(1) a vulnerabilidade, (2) o mecanismo ou objeto que explora a vulnerabilidade e (3) o caminho para a vulnerabilidade.
Aqui estão alguns exemplos. Diego recebe um e-mail de um colega solicitando que ele revise um documento anexo.
Ele salva o documento em seu disco rígido e o abre. Sem o conhecimento de Diego, o remetente não era realmente
seu colega e o documento instalou malware em seu computador. Neste exemplo, a vulnerabilidade é o usuário, o
mecanismo é o malware e a mensagem de engenharia social que o convenceu a baixar o documento, e o caminho é o
e-mail.
Em outro exemplo, uma pessoa autorizada está entrando em uma sala de servidores, que é uma zona restrita. Ele percebe
um técnico carregado de caixas e equipamentos de informática parado do lado de fora. Ela explica que precisa atualizar
alguns equipamentos, mas esqueceu o passe de acesso. Embora a pessoa autorizada não a reconheça, ela parece
convincente e ele quer ajudar, então ele abre a porta e ela passa. Enquanto está na sala do servidor, ela conecta
discretamente um dispositivo USB a um dos servidores que instala malware. Neste exemplo, a vulnerabilidade era a pessoa
autorizada e um servidor desprotegido. O mecanismo foi o malware e a situação usada para convencer o homem a permitir
seu acesso à sala do servidor. O caminho era a porta para a sala do servidor e o dispositivo USB que liberou o malware.
Como você pode ver nesses dois exemplos, os vetores de ataque podem ser divididos em engenharia social eletrônica, engenharia
social física e técnica, que inclui vulnerabilidades como configuração incorreta de computadores. Você deve ter notado neste último
cenário que havia vários vetores de ataque. O malfeitor precisava primeiro acessar as instalações antes de adquirir acesso à sala do
servidor, e a infecção do servidor foi apenas o primeiro estágio de uma cadeia de eventos que pode incluir reconhecimento e
exfiltração de dados. A preparação de uma campanha de ataque é por vezes referida como caminho de ataque. Um caminho de
ataque é a cadeia de eventos que ocorre quando os vetores de ataque são explorados.
As ameaças à segurança cibernética podem ser divididas em quatro categorias: engenharia social, software malicioso (conhecido
como malware), acesso não autorizado a locais físicos ou sistemas de computador e falha no design do sistema.
Engenharia social é o ato de usar a manipulação psicológica para induzir as pessoas a tomarem alguma ação contrária aos seus
melhores interesses, como a divulgação de informações confidenciais. Os ingredientes de um ataque de engenharia social bem-
sucedido geralmente envolvem ganhar a confiança da vítima e, em seguida, obrigá-la a agir.
Malware é um software projetado para interromper, danificar ou obter acesso não autorizado a um sistema de computador.

Lição sobre ameaças à segurança cibernética Módulo de cenário de ameaças
O acesso físico não autorizado pode ser um mau ator, seguindo uma pessoa autorizada através de uma porta depois de ela ter passado o
crachá. Isso é conhecido como utilização não autorizada. O acesso digital não autorizado pode ser um mau ator olhando por cima do ombro
de alguém enquanto digita suas credenciais.
A falha no projeto do sistema é uma falha de segurança em um sistema de computador ou aplicativo que o malfeitor explora para obter acesso a
um sistema de computador. Existem muitos exemplos de ataques cibernéticos que se enquadram em uma ou mais dessas categorias.
Os vetores de ataque podem ser categorizados de diversas maneiras e muitas vezes são combinados com outros vetores para
alcançar o resultado desejado. Por exemplo, um ataque distribuído de negação de serviço (DDoS) envolve um servidor de comando e
controle (C&C) sinalizando a milhares de computadores infectados para enviar solicitações a um servidor alvo ao mesmo tempo. No
entanto, antes que um ataque DDoS possa ser invocado, o malfeitor deve primeiro infectar milhares de computadores. Como eles
fizeram isso? Um método comum é o phishing. O malfeitor pode enviar um e-mail de phishing para milhões de usuários
desavisados, e alguns desses usuários clicarão no link fornecido que instalará malware em seus computadores.
Outras formas de phishing, como phishing de baleia ou spearphishing, podem não ser adequadas para configurar uma botnet DDoS
ou um farm de computadores infectados, mas seriam adequadas para instalar malware ou ransomware de cavalo de Tróia no
computador de um indivíduo específico. Whale phishing é um ataque de phishing direcionado a um alvo de alto valor, como o CEO
ou CFO de uma organização. Esses indivíduos são alvos porque têm privilégios de acesso a servidores e bancos de dados, aos quais
o malfeitor deseja acessar. O e-mail é cuidadosamente elaborado para ser plausível e personalizado para garantir que o alvo não
seja alertado sobre o golpe. Dentro do e-mail pode haver um documento anexado ou um link. Uma vez aberto, o documento parece
totalmente inofensivo, mas nos bastidores o malware é instalado no computador do alvo. Isso é conhecido como ataque de cavalo
de Tróia. A partir daí, o malware pode aproveitar os privilégios de rede do indivíduo para acessar e infectar outros computadores. O
computador alvo inicial é apenas o ponto de acesso à rede em um ataque em vários estágios.
Clique nos termos sublinhados para obter mais informações.
Como você pode ver, alguns vetores de ataque, como phishing, são usados para explorar uma fraqueza para ganhar uma posição segura
em um sistema de computador, enquanto outros vetores de ataque, como DDoS, ransomware e cavalo de Tróia, são usados durante a pós-
exploração. estágio. A fraqueza explorada pode ser humana, tecnológica ou uma combinação das duas. No caso do phishing, o ponto fraco é
a natureza humana. Confiar é uma característica padrão da natureza humana, especialmente se uma solicitação aparentemente vem de uma
fonte oficial ou se você conhece a pessoa ou coisa que está fazendo a solicitação.
Um exemplo de exploração da tecnologia informática durante a fase de pré-exploração é o ataque de aniversário. Este ataque explora uma
fraqueza em alguns algoritmos de hash, que são frequentemente usados para proteger senhas. Por último, um ataque de força bruta é
normalmente um método para roubar as credenciais de alguém. Envolve simplesmente tentar todas as combinações possíveis até que o
malfeitor adivinhe corretamente, mas o sucesso depende do indivíduo alvo usar uma senha fraca. Este tipo de ataque é pré-explorado e
depende da falibilidade humana.
Se você fosse um administrador de rede, poderia neutralizar esse ataque implementando uma política de senha forte. Como
isso sugere, há muitas contra-ações que você pode tomar contra os vetores de ataque listados. Ao longo deste curso, você
conhecerá mais vetores de ataque implantados por malfeitores e as medidas usadas para combatê-los.
Clique no termo sublinhado para obter mais informações.
eu Descreva ameaças à segurança cibernética e liste exemplos. Liste as
eu principais categorias de ameaças cibernéticas.
eu Descreva os vetores de ataque perfilados.

Módulo de cenário de ameaças Lição de inteligência de ameaças
Lição de inteligência de ameaças
Bem vindo àInteligência de ameaçaslição.
eu Defina inteligência de ameaças.

eu Descrever os padrões de formatação para inteligência contra ameaças.
eu Descreva as etapas para processar inteligência sobre ameaças.
O que é inteligência contra ameaças? De acordo com o Gartner, a inteligência de ameaças é um conhecimento baseado em evidências,
incluindo contexto, mecanismos, indicadores, implicações e conselhos acionáveis, sobre uma ameaça ou perigo existente ou emergente para
ativos que pode ser usado para informar decisões sobre a resposta do sujeito a essa ameaça ou perigo. .
Esta definição informa que a inteligência contra ameaças possui três características necessárias. Inteligência contra ameaças são
informações relevantes, acionáveis e contextuais. A inteligência sobre ameaças deve ser relevante para sua organização. Por
exemplo, se você receber informações de que existe um novo vírus de computador que explora uma vulnerabilidade no macOS, mas
sua organização não usa produtos Apple, essas informações não serão relevantes para sua organização. Embora seja relevante para
uma organização que utiliza produtos Apple, não se qualifica como inteligência de ameaças para a sua organização.
A inteligência sobre ameaças deve ser acionável, o que significa que a inteligência fornece informações suficientes para que você
tome medidas para proteger sua organização. Por exemplo, se você soube que o grupo de maus atores Dynamite Panda acaba de
lançar uma nova campanha de ataques contra instalações médicas, isso por si só não lhe fornece informações suficientes para agir.
A inteligência sobre ameaças deve ser contextual, o que significa que há informações suficientes para permitir que um analista de inteligência
avalie a ameaça. A vulnerabilidade do macOS mencionada anteriormente é um bom exemplo. Embora uma vulnerabilidade no macOS possa
ser motivo de preocupação, se a sua organização estiver gerenciando e verificando adequadamente seus ativos de rede, a equipe de
segurança deverá ser capaz de determinar rapidamente se há algum dispositivo macOS em qualquer lugar da rede. Se não existir,
provavelmente não haverá ameaça à organização devido à vulnerabilidade. É esse contexto adicional – ativos de rede de conhecimento – que
pode transformar informações em inteligência contra ameaças. O exemplo da história do Dynamite Panda também pode apoiar este ponto. A
informação de que esse grupo de malfeitores visa exclusivamente verticais específicas dos EUA torna-se inteligência de ameaças porque ajuda
você a avaliar a ameaça à sua própria organização. Quando visualizadas ou consideradas por si só, muitas informações não equivalem a
inteligência sobre ameaças. No entanto, quando considerada juntamente com outras informações adicionais, essa informação inicial pode
tornar-se inteligência sobre ameaças.
Onde você encontra inteligência sobre ameaças? Existem inúmeras fontes, tanto externas quanto internas. Uma fonte interna de inteligência
sobre ameaças são as informações coletadas pela própria equipe de segurança de TI da sua organização. Mais especificamente, as fontes
internas vêm na forma de logs de servidores, logs de dispositivos de rede, relatórios de incidentes anteriores, tráfego de rede capturado,
resultados de testes de penetração e muito mais. Esses dados brutos são organizados e contextualizados em informações, e algumas dessas
informações são relevantes, acionáveis e contextuais, o que as torna inteligência contra ameaças.
Externamente, a inteligência sobre ameaças pode vir de diversas fontes e as informações geralmente são gratuitas. Algumas
fontes externas de inteligência sobre ameaças são sites governamentais, como o Departamento de Segurança Interna, o FBI
e o Instituto Nacional de Padrões e Tecnologia (NIST) nos Estados Unidos. Esses sites geralmente não fornecem informações
específicas sobre malware individual, mas oferecem conselhos úteis sobre como se proteger contra ataques, como
ransomware, e informações oportunas sobre tendências de golpes e métodos de ataque.

Lição de inteligência de ameaças Módulo de cenário de ameaças
A inteligência pode vir de fontes privadas, como o SANS Institute e o FortiGuard, o serviço de pesquisa e inteligência de ameaças da Fortinet.
Alguns serviços do FortiGuard são oferecidos por assinatura, mas grande parte da inteligência sobre ameaças encontrada no site do
FortiGuard está disponível gratuitamente. Ele descreve como funcionam as variantes individuais de malware e usa um sistema de classificação
de gravidade para classificar o perigo que essas variantes representam. As organizações podem usar essas informações para priorizar
recursos para combater as ameaças mais perigosas.
Existe também o Sistema Comum de Pontuação de Vulnerabilidade (CVSS). CVSS é um padrão industrial gratuito e aberto usado para
avaliar vulnerabilidades de sistemas de computador. Uma avaliação CVSS produz uma pontuação numérica para avaliar a gravidade.
A pontuação, que classifica a vulnerabilidade de zero a dez – sendo dez a mais grave – é calculada usando diferentes conjuntos de
métricas. As métricas incluem fatores como quão explorável é a vulnerabilidade, como a vulnerabilidade afeta os sistemas e quão
eficazes são os esforços de mitigação contra novas explorações à medida que a campanha avança. Para obter uma descrição mais
detalhada dessas métricas, pesquise o sistema comum de pontuação de vulnerabilidade em nvd.nist.gov/vulnmetrics/cvss.
CVSS é um exemplo de inteligência de código aberto (OSINT). Se você pesquisar OSINT na Internet, descobrirá muitas outras fontes
de inteligência gratuita sobre ameaças.
Outra fonte pública inestimável de inteligência sobre ameaças cibernéticas é a MITRE ATT&CK. MITRE ATT&CK compartilha livremente uma
base de conhecimento de táticas e técnicas adversárias.
Finalmente, existem setores verticais que compartilham inteligência sobre ameaças. Por exemplo, os bancos no Brasil compartilham suas
informações sobre ameaças entre si. Existem também outros serviços e ferramentas de inteligência contra ameaças, incluindo inteligência de
código aberto, como o Maltego e o projeto MISP.
Existem também alguns padrões reconhecidos que ajudam a partilhar e descrever ameaças cibernéticas numa linguagem que seja
compreendida pela comunidade de inteligência cibernética. Um padrão é chamado de expressão estruturada de informações sobre ameaças
(STIX). Outra é chamada de troca automatizada confiável de informações de indicadores (TAXII).
STIX é definido como um esforço colaborativo conduzido pela comunidade para definir e desenvolver uma linguagem estruturada para
representar informações sobre ameaças cibernéticas. Ele fornece informações sobre malfeitores, incidentes ocorridos, indicadores de
comprometimento (IoC) e as táticas e explorações usadas para realizar ataques. A STIX também recomenda ações para mitigar os
incidentes que reporta.
TAXII é um protocolo de aplicação para troca de inteligência sobre ameaças cibernéticas (CTI) por HTTPS. Ele define uma API
RESTful e um conjunto de requisitos para clientes e servidores TAXII. Ao utilizar serviços, mensagens e trocas de mensagens
padronizadas, o TAXII elimina a necessidade de implementações personalizadas de troca ponto a ponto e facilita o
compartilhamento de CTI vitais. Como mostra o diagrama, uma organização que é cliente TAXII pode solicitar informações e
publicar novas informações sobre ameaças em um servidor TAXII, que podem então ser compartilhadas com outros assinantes.
Clique no termo sublinhado para obter mais informações.
Embora saber onde coletar inteligência sobre ameaças seja um bom primeiro passo, saber como usar a inteligência sobre ameaças é
indiscutivelmente mais importante, porque informações inertes são inúteis. Existe um processo que você pode seguir para converter dados
em massa em inteligência de ameaças proposital que pode ser implementada.
Primeiro, identifique as principais ameaças à sua rede; isto é, aquelas ameaças que são mais vitais para parar. Dado que existe um
volume inesgotável de ameaças cibernéticas, é impossível detê-las todas, e tentar fazê-lo dispersaria perigosamente e diminuiria as
defesas cibernéticas. Sites como CVSS e FortiGuard ajudarão você a responder essa pergunta, pois fornecem inteligência sobre as
ameaças mais atuais com suas classificações de gravidade. Mas as ameaças relevantes também podem ser determinadas pela
vertical ou negócio da sua organização. Por exemplo, se você estiver protegendo um hospital contra ataques cibernéticos, o
ransomware provavelmente estará no topo da lista de métodos de ataque empregados pelos agentes de ameaças. Por outro lado, se
você estiver defendendo o Departamento de Defesa, então os ataques envolvendo exfiltração são mais prováveis.

Módulo de cenário de ameaças Lição de inteligência de ameaças
Em segundo lugar, reúna informações sobre ameaças de fontes internas e externas. Terceiro, processe essas informações.
Isso pode envolver o foco nas informações mais relevantes para as principais ameaças identificadas na primeira etapa. O
processamento provavelmente também implicará a definição de linhas de base de normalidade nas atividades da rede. O
objetivo disso é ajudá-lo a reconhecer atividades anormais de rede. Ao separar o ruído do sinal – eliminando os dados
inconsequentes – você será mais capaz de focar e processar as informações relevantes. Quarto, analise as informações e
procure indicadores de comprometimento (IoC). Quinto, divulgue sua análise, juntamente com qualquer informação nova,
para amigos e parceiros. Este esforço é facilitado pelo STIX e TAXII. E sexto, implemente as lições aprendidas durante o
processo. As informações alteram quais ameaças você considera mais perigosas para sua organização? Isso afeta quais
informações você está coletando ou como você as processa e analisa?
Como você pode ver, o processo funciona como um loop contínuo.
Você concluiu esta lição. Agora você é capaz de:
eu Defina inteligência de ameaças.

eu Descrever os padrões de formatação para inteligência contra ameaças.
eu Descreva as etapas para processar inteligência sobre ameaças.

Lição de estruturas de ataque Módulo de cenário de ameaças
Lição de estruturas de ataque
Bem vindo àEstruturas de ataquelição.
eu Descreva a cadeia de morte cibernética.
eu Liste e explique os estágios da Cyber Kill Chain.

eu Explique os benefícios da matriz MITRE ATT&CK.
Para melhor compreender e defender-se contra ataques cibernéticos, é útil examinar as várias estruturas que foram
desenvolvidas para classificá-los e analisá-los. Estas estruturas fornecem uma estrutura para identificar as diferentes fases
do ataque, discernindo as diferentes tácticas utilizadas durante essas fases, analisando o seu impacto e desenvolvendo
estratégias de prevenção e resposta.
As estruturas de ataque foram desenvolvidas em resposta a ataques cibernéticos mais sofisticados e prolongados do que no passado. Esses
tipos de ataques, que podem envolver longos períodos de vigilância e planejamento antes de atacar metodicamente uma rede de
computadores visada, são frequentemente chamados de ameaças persistentes avançadas (APTs). Embora as estruturas de ataque incorporem
amplo conhecimento sobre as táticas e técnicas dos invasores, elas são mais do que uma base de conhecimento. Em vez disso, você deve ver as
estruturas de ataque como uma caixa de ferramentas para os profissionais de segurança cibernética melhorarem a postura de segurança de
uma organização.
O Cyber Kill Chain da Lockheed Martin e o MITRE ATT&CK são apenas duas das várias estruturas de ataque cibernético do setor. É
provável que você use pelo menos uma dessas estruturas durante uma carreira em segurança cibernética.
Uma das estruturas mais utilizadas para análise de ataques cibernéticos é a Cyber Kill Chain, desenvolvida pela Lockheed Martin
em 2011. A Cyber Kill Chain é um modelo de sete etapas que descreve os estágios de um ataque cibernético, desde o
reconhecimento inicial e a transformação do ataque em arma. método para a exploração final e exfiltração de dados.
A primeira etapa da Cyber Kill Chain é o reconhecimento, no qual o invasor coleta informações sobre o alvo e suas
vulnerabilidades. Isto pode envolver a utilização de ferramentas como motores de busca, redes sociais e outras fontes
abertas para recolher informações sobre a organização alvo e os seus sistemas.
A segunda etapa é a armamento, na qual o invasor cria uma carga útil ou exploração que pode ser entregue ao alvo. Isso
pode envolver a criação de malware ou outro código malicioso, como um vírus ou cavalo de Tróia, e seu empacotamento de
uma forma difícil de detectar. Por exemplo, pode ser um documento do Microsoft Word de aparência inócua, mas infectado,
destinado a ser entregue por meio de um e-mail de phishing.
A terceira etapa é a entrega, na qual o invasor entrega a carga ao alvo. Isso pode envolver o envio de um e-mail
com um anexo malicioso ou a exploração de uma vulnerabilidade em um site para injetar a carga no sistema do
alvo.
A quarta etapa é a exploração, na qual o invasor usa a carga útil para obter acesso aos sistemas ou dados do alvo.
Isso pode envolver a execução da carga para explorar uma vulnerabilidade no software ou sistema operacional do
alvo, ou usar a carga para obter acesso à rede do alvo.
A quinta etapa é a instalação, na qual o invasor estabelece uma posição segura nos sistemas do alvo. Isso pode envolver
a instalação de um rootkit ou outro software malicioso que permita ao invasor manter o acesso aos sistemas do alvo,
mesmo que a carga inicial seja detectada e removida.
Clique nas palavras sublinhadas para obter mais informações.

Módulo de cenário de ameaças Lição de estruturas de ataque
A sexta etapa é comando e controle, na qual o invasor estabelece um meio de comunicação com os sistemas comprometidos.
Isso pode envolver a configuração de um servidor de comando e controle ou o uso de outros métodos para se comunicar
remotamente com os sistemas comprometidos.
A etapa final do Cyber Kill Chain é a exfiltração, na qual o invasor extrai os dados ou outros ativos que foram o objetivo do
ataque. Isto pode envolver a cópia de dados sensíveis para um local remoto ou a utilização dos sistemas comprometidos
para lançar novos ataques a outros alvos.
O Kill Chain da Lockheed Martin fez muito para avançar na compreensão dos estágios incrementais de um ataque
cibernético. No entanto, faz algumas suposições que reduzem sua eficácia. Uma grande desvantagem do Cyber Kill Chain é
que ele assume que a origem de um ataque é externa à rede. Além disso, a metodologia da cadeia de morte visa reforçar os
métodos tradicionais de defesa. Outras estruturas de ataque cibernético surgiram, em parte, devido às limitações da Cyber
Kill Chain.
Em 2013, a MITRE Corporation publicou as táticas, técnicas e conhecimento comum do adversário ou diretriz MITRE ATT&CK.
A diretriz classificou e descreveu ataques cibernéticos e invasões. Então, assim como o Cyber Kill Chain, vai te ajudar a
entender a metodologia do invasor, mas o MITRE é mais do que isso. É um recurso em constante evolução que fornece uma
linguagem e abordagem comuns para compreender e mitigar ataques cibernéticos. A matriz é organizada em uma série de
“técnicas” que descrevem táticas e métodos específicos usados por invasores para comprometer sistemas e roubar ou
manipular informações. Essas técnicas são agrupadas em categorias de acordo com o tipo de ataque ou atividade realizada,
como “Acesso Inicial”, “Execução” e “Evasão de Defesa”.
Um dos principais benefícios da matriz MITRE ATT&CK é que ela fornece uma linguagem e uma estrutura comuns para
discutir e analisar ameaças cibernéticas. Isto permite que as organizações comuniquem e coordenem os seus esforços para
prevenir e responder a ataques de forma mais eficaz. A matriz também ajuda as organizações a identificar e priorizar as
ameaças e vulnerabilidades mais críticas, mapeando-as nas técnicas e categorias apropriadas.
A matriz também é um recurso valioso para profissionais de segurança porque fornece uma visão abrangente das táticas,
técnicas e procedimentos (TTPs) usados pelos invasores. Isto permite que as equipes de segurança compreendam melhor
os métodos e motivações dos invasores e projetem e implementem contramedidas para prevenir ou mitigar ataques de
forma mais eficaz.
eu Descreva a cadeia de mortes cibernéticas.
eu Liste e explique os estágios da Cyber Kill Chain.

eu Explique os benefícios da matriz MITRE ATT&CK.

Módulo de Engenharia Social
Lição de visão geral de engenharia social
Bem-vindo à introdução aoEngenharia socialmódulo.
O que é engenharia social? Entendido no contexto da segurança da informação, é o ato de manipular as pessoas
para obter vantagens, muitas vezes às custas dos visados.
Todos os ataques de engenharia social são projetados para beneficiar o invasor. A maioria dos ataques de engenharia social bem-sucedidos
são prejudiciais às suas vítimas. Os ataques de engenharia social podem resultar na perda de dados confidenciais, chantagem ou apropriação
indébita, perturbação ou danos a uma rede, negação de serviços de rede, alinhamento da opinião do alvo com a do atacante como resultado
de manipulação, ou alguma combinação de todos estes aspectos. esses resultados.
Existem muitos métodos diferentes – físicos e digitais – de ataque de engenharia social. Alguns exemplos desses métodos
incluem um mau ator convencendo um alvo a permitir-lhe acesso a uma área restrita ou um e-mail enviado a um alvo
convencendo-o a clicar em um link fornecido. Em ambos os exemplos, a manipulação é o meio utilizado para obter a ação
desejada do indivíduo visado. A engenharia social funciona porque as pessoas são vulneráveis à manipulação. Como você
se protege de tais ataques?
Ao ser informado e mais atento às técnicas de engenharia social, você terá menos probabilidade de ser vítima desse tipo de
ataque.
As lições do módulo Engenharia Social fornecem uma compreensão essencial dos fundamentos necessários para
atingir seus objetivos.
Você poderá:
Descrever os diferentes métodos de engenharia social.
Você já viu dois exemplos, mas existem muitos outros métodos e técnicas usados por malfeitores para atingir
seus objetivos.
Você poderá:
Descreva os vetores de ataque, métodos e indicadores de ameaça associados a ameaças internas.
Os maus atores confiam na sua complacência para implementar seus planos e, quanto mais seguro você se sentir, mais felizes ficarão os
maus atores. Os sentimentos de segurança, no entanto, são enganosos. Você pode se sentir mais seguro perto das pessoas com quem
trabalha e isso pode fazer com que baixe a guarda. Ainda assim, você pode ter certeza de que os maus atores tirarão vantagem disso.
E você será capaz de:
Descreva fraudes, golpes e campanhas de influência.
Fraudes e golpes são geralmente transações de curto prazo destinadas a roubar o dinheiro das pessoas. Em contraste, as campanhas
de influência podem ser operações prolongadas e sofisticadas que afectam as opiniões das pessoas, ou mesmo a sua moral. Embora
os objetivos das fraudes, dos golpes e das campanhas de influência possam ser diferentes dos ataques de phishing, baiting ou
watering hole, todos eles dependem da manipulação psicológica para aproveitar a vantagem do instigador, e muitas vezes às custas
dos alvos humanos, o que é Engenharia social.

Módulo de Engenharia Social Lição de visão geral de engenharia social

Técnicas de engenharia social, parte A, lição Módulo de Engenharia Social
Técnicas de engenharia social, parte A, lição
Bem vindo àTécnicas de Engenharia Social, Parte Alição.
eu Explique a engenharia social.

eu Descrever os diferentes métodos de engenharia social.
O que é engenharia social? Engenharia social é um termo que já foi apresentado a você, mas, dada a sua importância, vale a pena
revisitá-lo. De acordo com uma fonte, a engenharia social continua a ser uma das principais causas de violações de rede. A
engenharia social refere-se a uma ampla gama de ataques que utilizam as emoções humanas para manipular um alvo. O ataque
pode incitar o alvo à ação ou à inação. Em última análise, a engenharia social visa orientar o alvo numa direção prescrita pelo
orquestrador e muitas vezes em detrimento do alvo. Exemplos de objetivos de engenharia social incluem a divulgação de
informações confidenciais, a transferência de dinheiro e a influência de uma pessoa ou pessoas a pensar de uma determinada
maneira.
Duas características importantes da engenharia social são:
eu Primeiro, o objetivo é alcançar um resultado desejável para o orquestrador, e
eu Segundo, o método é a manipulação emocional.
Para detectar um ataque de engenharia social, procure os seguintes sinais:
eu Um apelo emocional que potencializa o medo, a curiosidade, a excitação, a raiva, a tristeza ou a culpa
eu Um senso de urgência em torno da solicitação, e
eu Uma tentativa de estabelecer confiança com o destinatário
Tenha cuidado ao receber uma mensagem que possua algum desses atributos. Não permita que um mau ator mexa seus
pauzinhos. O mau ator planejou uma peça e pretende que você desempenhe o papel trágico. Não faça isso!
Clique no ícone para mais informações.
Talvez o mau ator mais famoso da engenharia social seja Frank Abagnale. Sua vida criminosa foi retratada no filme
Catch Me If You Can e em uma autobiografia de mesmo nome. O livro e o filme revelam como Abagnale se passou
por médico, advogado e piloto de avião para ganhar a confiança das pessoas e tirar vantagem delas.
Em 2011, um invasor comprometeu a rede de uma respeitada empresa de segurança enviando e-mails de phishing a
grupos de funcionários, usando um método conhecido como spear phishing. Os e-mails tinham uma planilha Excel
anexada. A planilha continha código malicioso incorporado, que explorava uma vulnerabilidade do Adobe Flash para
instalar um backdoor no computador host. Infelizmente, pelo menos um funcionário abriu o anexo. Leva apenas um.
Como você pode ver nesses dois exemplos, existem muitos métodos ou vetores de ataque que um malfeitor pode usar
para executar um ataque de engenharia social. Um mau ator de engenharia social pode falar diretamente com o alvo
humano, como Frank Abagnale, ou comunicar-se por e-mail ou por algum outro método. Nesta lição, você aprenderá os
diferentes métodos de ataque de engenharia social.
Você já está familiarizado com o termo phishing e provavelmente já tem experiência com e-mails de phishing. Esperamos que você não
tenha sido vítima de um. As duas características importantes do phishing são que ele explora o e-mail como vetor de ataque e tem como
alvo qualquer pessoa com um endereço de e-mail. O ataque é indiscriminado, na medida em que quem recebe o

Módulo de Engenharia Social Técnicas de engenharia social, parte A, lição
e-mail. Phishing é simplesmente spam malicioso enviado ao maior número de pessoas possível com a esperança de que pelo menos uma seja
enganada. No entanto, o phishing também pode ter um significado categorial – pode ser usado para se referir a todos os ataques eletrônicos
de engenharia social, como como spear phishing, whaling, smishing e vishing.
Existem muitas variantes de phishing, algumas das quais podem fazer parte de uma campanha sofisticada e exigir investigação e
reconhecimento por parte do atacante. O spear phishing e a caça às baleias se enquadram nesta categoria. Tanto o spear phishing quanto a
caça às baleias podem ser descritos como um ataque de engenharia social que usa e-mail para atingir um indivíduo ou grupo específico com a
intenção de roubar informações confidenciais ou lucrar de alguma forma. Assim como o phishing, o spear phishing e a caça às baleias usam o
e-mail como vetor de ataque, mas com alvos específicos em mente.
Clique nos ícones para revisar as diferentes descrições dos tipos de phishing.
Qual é, então, a diferença entre spear phishing e caça às baleias? Num ataque de spear phishing, o malfeitor tem como alvo
um indivíduo ou uma categoria de indivíduos com perfis inferiores, como os funcionários dessa empresa de segurança. Num
ataque baleeiro, o mau ator tem como alvo indivíduos de alto escalão dentro de uma organização. Ao criar um e-mail de caça
às baleias, o invasor geralmente pesquisa seu alvo para poder personalizar o e-mail e ganhar a confiança do alvo.
O trabalho extra muitas vezes compensa porque os executivos e membros do conselho podem ser tão suscetíveis a ataques por e-
mail quanto aqueles que trabalham para eles. Um dos ataques baleeiros mais bem-sucedidos e, na verdade, um dos ataques de
engenharia social mais bem-sucedidos de todos os tempos, foi conduzido contra um banco belga. O CEO do banco nem sabia que
tinha sido comprometido até depois de uma auditoria interna de rotina revelar que os atacantes escaparam com mais de 70 milhões
de euros. Os agressores nunca foram capturados ou levados à justiça.
Desde a introdução do e-mail como meio de comunicação onipresente, outros métodos se tornaram populares, como mensagens
instantâneas, chat ao vivo e SMS ou mensagens de texto. Esses métodos também podem atuar como vetores de ameaças para um
ataque de engenharia social da mesma forma que o email é usado. Um ataque do tipo phishing que utiliza essas mídias é conhecido
como smishing. Seu nome deriva da combinação de SMS com phishing.
Outros ataques de engenharia social podem ocorrer por telefone ou dispositivo móvel. Esses tipos de ataques são chamados de
vishing. Seu nome deriva da combinação de voz e phishing. Em março de 2019, o CEO de um fornecedor de energia do Reino Unido
recebeu um telefonema de alguém que parecia exatamente como o seu chefe. Sabe-se que os fraudadores usam tecnologia de voz
de IA para se passar por outras pessoas. A ligação foi tão convincente que o CEO acabou transferindo US$ 243 mil para um
“fornecedor húngaro”, que era uma conta bancária pertencente ao malfeitor.
Esses tipos de ataques são idênticos ao phishing, ao spear phishing ou à caça às baleias, exceto que os vetores de ataque são
diferentes. Eles também podem ser igualmente lucrativos.
Em 2020, um grupo de hackers assumiu o controle de 130 contas em uma conhecida plataforma de mídia social, incluindo aquelas
pertencentes a diversas celebridades. Eles baixaram dados de usuários, acessaram mensagens diretas e fizeram tweets solicitando
doações para uma carteira Bitcoin. Em poucos minutos, os malfeitores arrecadaram US$ 110 mil em 320 transações. Embora o
método usado para assumir o controle dessas contas permaneça desconhecido, especula-se que os funcionários da plataforma de
mídia foram induzidos a revelar as credenciais das contas, o que permitiu o acesso a essas contas.
Os malfeitores da engenharia social usam outras táticas que não estão restritas a nenhum vetor de ataque. Eles poderiam usar e-
mail, mensagens, voz ou até mesmo falar cara a cara com o alvo. Uma tática é chamadaquid pro quo, frase em latim que significa
“uma coisa por outra”. No contexto da engenharia social, um ataque quid pro quo ocorre quando um malfeitor oferece um serviço,
geralmente suporte técnico, em troca de acesso a informações, como credenciais de usuário.
Pretextandoé outra tática de ataque. Envolve uma situação, ou pretexto, concebido para invocar uma resposta
emocional do alvo. Aqui está um exemplo da vida real. O alvo, um avô, recebe um telefonema de alguém que
afirma ser policial – o mau ator. O policial conta ao avô que seu neto foi preso por posse de entorpecentes. O
policial conta ainda ao avô que o neto resistiu à prisão e que, na briga que se seguiu, o neto quebrou o nariz. O
policial então coloca o neto—

Técnicas de engenharia social, parte A, lição Módulo de Engenharia Social
outro mau ator - ao telefone, que soluça e implora para que o avô pague a fiança. A voz do neto não soa muito
bem para o avô, mas ele raciocina que, afinal, o neto está soluçando e com o nariz quebrado. Felizmente, o
avô decide desligar e telefonar para os pais do neto para verificar se a história é verdadeira.
Outra tática usada por maus atores éisca. A isca pode assumir várias formas e é semelhante ao phishing. A isca pode ocorrer na
forma de e-mail, mensagem de texto ou telefonema alegando que você ganhou um prêmio ou que está qualificado para um
desconto. A isca depende de emoções positivas, como uma recompensa, para motivá-lo a agir. Um ataque de isca também pode ser
sutil. Por exemplo, um malfeitor deixa um cartão de memória USB em um local público, como estacionamento, saguão ou banheiro
da organização visada. Um rótulo intrigante, como “salários e remunerações dos gestores”, seria afixado na campanha. O malfeitor
está contando com você para ser dominado pela curiosidade e conectar o drive USB ao seu computador. Quando você faz isso, o
malware na unidade USB instala um backdoor no seu computador e o malfeitor agora tem um gateway para a rede.
Clique nos ícones para revisar os ataques de engenharia social.
Você concluiu a lição. Agora você é capaz de:


Módulo de Engenharia Social Lição de Técnicas de Engenharia Social Parte B
Lição de Técnicas de Engenharia Social Parte B
Bem vindo àTécnicas de Engenharia Social, Parte Blição.

Na lição Técnicas de Engenharia Social, Parte A, maus atores iniciaram ações contra alvos. Nesta lição, os ataques de
engenharia social são menos intrusivos e alguns deles podem até ser descritos como clandestinos. Todos os
métodos de engenharia social descritos aqui dependem de você recorrer ao malfeitor, ou pelo menos é assim que
ele parece.
Você está navegando na Internet quando um aviso aparece. O aviso informa que seu computador está infectado por
malware e que, para limpá-lo, você deve baixar o software antivírus usando o link fornecido. Se isso já aconteceu com você,
então você sofreu um ataque de scareware. O software antivírus oferecido, gratuitamente ou com custo, muito
provavelmente é falso ou malware. Um ataque de scareware também é conhecido como ataque desonesto.
Em um ataque watering hole, o invasor pode comprometer um site que provavelmente será visitado por um determinado
grupo-alvo. Sabe-se que os maus atores exploram sites de redes sociais, como o Facebook e o LinkedIn, para iniciar e cultivar
relacionamentos com os alvos.
Isto também se aplica ao mundo físico, onde um mau ator ou agente orquestraria um encontro casual em um local que o
alvo costuma frequentar. Se o agente for talentoso, ele poderá desenvolver esse contato inicial em um relacionamento que
poderá explorar. Na cinematografia, um bom exemplo de encontro orquestrado pode ser visto no filmePardal Vermelho
onde a agente feminina, interpretada por Jennifer Lawrence, vai nadar em uma piscina pública onde sabe que poderá
atingir seu alvo. A atratividade dela garante que ele se aproximará dela, em vez de ela se envolver com ele, o que pode
causar suspeitas.
Clique nos ícones para obter mais informações.
Isto leva a outro tipo de ataque que tem as suas origens – pelo menos em termos de cultura popular – no mundo da espionagem.
Esse tipo de ataque é conhecido como armadilha honeypot. Os serviços secretos de algumas nações recrutam mulheres bonitas e
educadas e preparam-nas para agirem como sedutoras profissionais. Conforme o exemplo anterior, o agente é o honeypot e a
piscina pública é o bebedouro.
Na segurança cibernética, os analistas de chapéu branco podem aplicar o mesmo conceito para fortalecer as defesas da rede. Um honeypot é
um mecanismo de segurança que cria uma armadilha virtual para atrair invasores. Um sistema de computador comprometido
intencionalmente permite que invasores explorem vulnerabilidades. Então, os analistas podem estudar as táticas do invasor e usar o que
aprenderam para melhorar a segurança da rede. Muitas empresas de segurança de rede vendem sistemas honeypot. O nome do produto
honeypot Fortinet é FortiDeceptor.
O último método de ataque de engenharia social abordado nesta lição é chamado utilização não autorizada. A utilização não
autorizada envolve um mau ator seguindo alguém com autorização de segurança até um prédio seguro ou uma sala com acesso
controlado. O mau ator, ou tailgater, depende da cortesia ou simpatia do alvo para obter acesso. Por exemplo, o alvo pode manter
uma porta aberta para alguém que o segue, sem saber que essa pessoa tem intenções maliciosas. Ou talvez o malfeitor se
aproxime do alvo fingindo estar sobrecarregado de pacotes e precisando de ajuda para abrir a porta. Ou talvez o invasor alegue
que esqueceu seu passe de segurança.

Lição de Técnicas de Engenharia Social Parte B Módulo de Engenharia Social
Embora seja profissional e correto ser cortês, se você não reconhecer a pessoa ou conhecer seu status de segurança,
certifique-se de envolver a recepção ou a segurança para ajudar a pessoa. Para ser claro, se um tailgater passar pela
porta sem você perceber, isso não se qualifica como engenharia social. Deve haver manipulação psicológica entre o
atacante e o alvo para que um ataque seja considerado engenharia social. Um ataque pode ser físico, como utilização
não autorizada; ativo, como caça às baleias e pretextos; ou sutil, como isca.
Clique nos ícones para obter mais informações.
Na vida real, os malfeitores muitas vezes contam com vários métodos e vetores de ataque para atingir seus objetivos. À medida que a
campanha de ataque avança e surgem novos alvos de oportunidade, as táticas e métodos utilizados pelos malfeitores podem evoluir e
mudar. Pense nas técnicas de engenharia social e nos vários tipos de malware, como ransomware, cavalo de Tróia, backdoor, worm, bot e
ataques de dia zero, como ferramentas em uma caixa de ferramentas, que um invasor pode usar conforme a situação exigir. Assim como
um carpinteiro precisa de mais do que um martelo para fazer o seu trabalho, um ciberataque requer diferentes ferramentas e técnicas para
fazer o seu trabalho.
A história a seguir é um exemplo real de um ataque de engenharia social bem-sucedido realizado por uma equipe de testes de
penetração blue hat. O analista da equipa de penetração, que relatou os resultados na conferência de segurança RSA Europe em
2012, não revelou o nome da organização, mas revelou que a organização é especializada em segurança cibernética.
A equipe começou a se preparar para o ataque construindo uma identidade online confiável no LinkedIn para uma atraente mulher
fictícia chamada Emily Williams. A equipe também configurou informações sobre ela em outros sites para que as pessoas pudessem
comparar as informações em seus perfis de mídia social com as informações obtidas por meio de pesquisas no Google. Isto
significou que perfis fabricados criados no Facebook e outros sites de redes sociais foram usados para corroborar as informações
encontradas no LinkedIn. Eles até postaram em alguns fóruns universitários usando o nome dela. De acordo com seus perfis falsos
nas redes sociais, ela era uma graduada do MIT, de 28 anos, com dez anos de experiência, que alegou ter acabado de ser contratada
pela organização visada.
Nas primeiras 15 horas, Emily Williams tinha 60 amigos no Facebook e 55 conexões no LinkedIn com funcionários da organização
visada e seus contratados. Após 24 horas, ela recebeu três ofertas de emprego de outras empresas. Logo, ela recebeu
recomendações do LinkedIn por suas habilidades, e homens que trabalhavam para a organização-alvo se ofereceram para ajudá-la
a começar mais rápido em seu suposto novo emprego. A equipe, agindo como Emily, conseguiu manipular os homens para que lhe
fornecessem um laptop de trabalho e acesso à rede, evitando os canais adequados e os procedimentos normais. Na verdade, ela
recebeu mais privilégios de rede do que normalmente teria recebido como uma nova contratada.
A equipe de penetração decidiu não usar o laptop e o acesso à rede, mas sim continuar seu ataque de engenharia social à
organização. Perto das férias de Natal, a equipe criou um site com um cartão de Natal e postou um link para ele nos perfis de
Emily nas redes sociais. As pessoas que visitaram o site foram solicitadas a executar um miniaplicativo Java assinado que
abria um shell reverso para a equipe de ataque, por meio de uma conexão SSL. Depois de ter um shell, a equipe usou
explorações de escalonamento de privilégios para obter direitos administrativos e foi capaz de detectar senhas, instalar
outros aplicativos e roubar documentos contendo informações confidenciais.
Embora não fizesse parte do plano, os prestadores de serviços da organização visada também foram enganados pelo ataque
ao cartão de Natal, incluindo funcionários de empresas de antivírus. Pelo menos uma das vítimas era um desenvolvedor com
acesso ao código-fonte. Poderia ter sido possível comprometer o código-fonte que estava sendo escrito para a organização
visada, o que tornaria ainda mais difícil a detecção de um ataque à organização.
Clique nos ícones identificados para mais informações.
Através do Facebook, a equipe de penetração soube por dois funcionários que o chefe de segurança da informação da organização
estava prestes a comemorar seu aniversário. Embora esse indivíduo não tivesse qualquer exposição nas redes sociais, a equipe de
penetração enviou-lhe um e-mail com um cartão de aniversário que parecia ter vindo de um dos dois funcionários que falavam sobre
o evento no Facebook. Depois que ele clicou no link do cartão de aniversário malicioso, seu

Módulo de Engenharia Social Lição de Técnicas de Engenharia Social Parte B
O computador foi infectado por malware e, devido aos seus privilégios elevados dentro da organização, grande parte da
rede e das informações confidenciais também foram comprometidas.
No entanto, a equipe não se concentrou apenas em indivíduos de destaque. O ataque a Emily Williams começou visando
funcionários de baixo escalão, como pessoal de vendas e contabilidade. Ao conectar-se ou fazer amizade com esses funcionários
primeiro, a equipe ganhou credibilidade e aumentou a confiança, facilitando assim o avanço com os indivíduos de alto escalão. À
medida que a rede social em torno de Emily Williams crescia, a equipe de ataque conseguiu atingir mais técnicos, seguranças e até
executivos.
Em suma, o sucesso da equipa de testes de penetração confirmou que mesmo organizações tecnicamente sofisticadas podem ser
vítimas de ataques de engenharia social.


Lição sobre ameaças internas Módulo de Engenharia Social
Lição sobre ameaças internas
Bem vindo àAmeaça internalição.
eu Defina ameaça interna.

eu Explique os diferentes tipos de insiders.
eu Descrever os diferentes vetores e métodos de ameaças usados por ou contra pessoas internas.
eu Descrever os indicadores de ameaça de ameaças internas e métodos de mitigação.
Ao abordar a segurança cibernética, as organizações tendem a concentrar-se nas ameaças externas. No entanto, dado que um número significativo de
violações de segurança se deve a pessoas internas, as equipas de segurança cibernética devem abordar as ameaças internas através de iniciativas como
a formação de sensibilização dos funcionários. Mas o que é uma ameaça interna?
Uma ameaça interna é um indivíduo ou indivíduos que trabalham para uma organização ou têm acesso autorizado às suas redes ou
sistemas e que representam uma ameaça física ou ciberameaça para a organização. O insider normalmente é um funcionário atual,
mas também pode ser um ex-funcionário, contratado, parceiro de negócios, membro do conselho ou até mesmo um impostor que
obtém acesso a informações confidenciais ou privilégios de rede.
Existem diferentes formas de categorizar ameaças internas e atribuir-lhes nomes, mas essencialmente existem dois grupos principais:
aqueles que ajudam involuntariamente os maus atores devido a erro humano, mau julgamento ou descuido e aqueles que estão no interior
que agem de forma maliciosa. O primeiro grupo poderia ser denominado negligente e o segundo grupo malicioso. Essas duas categorias
podem ser subdivididas ainda mais.
Os principais objetivos das ameaças internas maliciosas, às vezes chamadas de turncloaks, incluem espionagem, fraude, roubo
de propriedade intelectual e sabotagem. Aqui está um exemplo: em 2020, um ex-executivo da empresa A roubou segredos
comerciais de sua divisão de carros autônomos e os entregou ao seu novo empregador. Ele foi condenado a 18 meses de
prisão.
As ameaças internas maliciosas podem ser divididas em três tipos: toupeiras, colaboradores e lobos solitários. Lobos solitários podem
parecer tão inofensivos quanto ovelhas, mas abrigam intenções maliciosas. E como o nome indica, os lobos solitários trabalham de
forma independente e sem influência externa. Colaboradores são usuários autorizados que trabalham com terceiros. O terceiro pode
ser um concorrente, um Estado-nação, uma rede criminosa organizada ou um indivíduo. Um terceiro tipo de insider mal-intencionado
é aquele de fora que obteve acesso à rede da organização. Eles podem obter acesso à organização se passando por fornecedores,
parceiros, contratados ou funcionários. Esse tipo de insider malicioso é conhecido como toupeira. O ataque de Emily Williams,
discutido na lição Técnicas de Engenharia Social, Parte B, é um exemplo em que uma toupeira foi usada. No ataque, Emily Williams
obteve acesso à rede da organização visada se passando por funcionária.
A categoria mais benigna, mas igualmente perigosa, é a do insider descuidado que inadvertidamente ajuda um mau ator. Eles são vítimas de
phishing e outros ataques de engenharia social. A categoria de insiders descuidados pode ser subdividida em dois grupos: peões e idiotas. Um
peão é um usuário autorizado que foi manipulado para ajudar involuntariamente o malfeitor, muitas vezes por meio de técnicas de engenharia
social, como utilização não autorizada ou spear phishing. Um exemplo de peão é o chefe de segurança da informação que foi enganado por um
cartão de aniversário digital no ataque a Emily Williams. Um idiota é um insider que deliberadamente realiza ações potencialmente prejudiciais,
mas não nutre nenhuma intenção maliciosa. Esse tipo de

Módulo de Engenharia Social Lição sobre ameaças internas
um insider pode ser descrito como arrogante, ignorante ou incompetente, e alguém que se recusa a reconhecer a necessidade de seguir
políticas e procedimentos de segurança.
Agentes maliciosos usam muitos métodos e vetores de ataque contra o insider descuidado. O vetor de ataque pode ser físico. Os
métodos usados contra um vetor de ataque físico incluemutilização não autorizadaou pegando carona,surf de ombro, mergulhar na
lixeira, eescuta. A utilização não autorizada, ou piggybacking, é um tipo de ataque de engenharia em que uma pessoa não autorizada
obtém acesso físico a uma área restrita seguindo alguém autorizado. O surf de ombro utiliza técnicas de observação direta, como
olhar por cima do ombro de alguém, para obter informações. Mergulhar no lixo é procurar informações no lixo ou na lixeira de outra
pessoa. O mergulho no lixo também pode ocorrer em uma área de acesso geral, como uma sala de impressão onde informações
confidenciais são impressas e não recuperadas imediatamente. Escutar a escuta em um ambiente físico pode significar ouvir uma
conversa onde informações confidenciais são discutidas. Digitalmente falando, espionagem refere-se à espionagem ou detecção de
rede, que ocorre quando um agente mal-intencionado explora uma rede insegura ou vulnerável para ler ou roubar informações
enquanto elas trafegam entre dois dispositivos. A escuta clandestina ocorre mais comumente em comunicações sem fio do que em
redes Ethernet porque as redes sem fio são mais acessíveis.
Dentro dos vetores de ataque digital, uma infinidade de métodos, incluindo ataques de spear phishing e ataques de caça às baleias, são
usados para enganar pessoas descuidadas. Em outros vetores de ataque, como mensagens ou telefonemas, os internos podem ser
vítimas de smishing, vishing ou pretexting. No vetor de ataque de mídia social, ataques watering hole podem ser usados. Esses são termos
com os quais você já deve estar familiarizado nas lições anteriores.
Clique nos ícones para revisar suas definições.
Um ataque interno pode ser mais difícil de detectar do que um ataque externo. Em parte, isso ocorre porque um insider tem
acesso e conhecimento sobre a rede que um invasor externo provavelmente não tem. No entanto, existem indicadores
comportamentais e digitais que podem ajudá-lo a detectar uma possível ameaça interna.
Se um membro interno parece estar insatisfeito com a organização, parece guardar rancor contra a organização ou começa a
assumir mais tarefas com entusiasmo excessivo, estes podem ser indicadores de uma potencial ameaça interna. Contexto é tudo.
Existem personalidades empreendedoras ou do tipo A que assumem agressivamente novos desafios. No entanto, se o
comportamento de um funcionário mudar sensivelmente sem alguma explicação lógica, então isto pode ser um indicador de
ameaça. Violações de rotina, desprezo aberto pelas políticas da organização ou tentativas de contornar a segurança também são
possíveis indicadores comportamentais de uma ameaça interna.
A atividade anômala no nível da rede é um indicador digital. Várias atividades são rastreáveis, como:
eu Atividade em horários incomuns, como fazer login na rede às 4 da manhã ou trabalhar sempre até tarde. Volume
eu de tráfego, como a transferência de quantidades incomuns de dados dentro da rede.
eu Tipo de atividade, como acessar recursos atípicos ou desnecessários para o trabalho do insider.
Você também deve estar alertado sobre atividades digitais, como:
eu Pedidos repetidos de acesso a sistemas não relevantes para a sua função profissional. Uso de
eu dispositivos não autorizados, como unidades USB.
eu Rastreamento de rede e pesquisas deliberadas de informações confidenciais. Envio
eu de informações confidenciais por e-mail para fora da organização.
Seu comportamento como pessoa que trabalha para uma organização pode comprometer ou aumentar a segurança. Para ajudar
a tornar sua organização mais segura, siga esta lista de recomendações:
eu Aprenda as políticas de segurança da sua organização. Não

eu tome atalhos em torno dos protocolos de segurança. Não
eu deixe as credenciais de login expostas.
eu Não permita utilização não autorizada.

Lição sobre ameaças internas Módulo de Engenharia Social
eu Não armazene documentos digitais confidenciais sem criptografia nem deixe documentos físicos inseguros.
eu Não desative a segurança e os controles do endpoint. Não compartilhe informações proprietárias ou confidenciais com pessoas não
autorizadas.
eu Aplique patches em seus dispositivos assim que atualizações de sistema operacional e software estiverem disponíveis.
Existem medidas que você pode tomar para proteger os ativos da sua organização contra ameaças internas. Primeiro, identifique
os ativos críticos da sua organização, tanto lógicos quanto físicos. Isso inclui redes, sistemas, dados confidenciais, instalações e
pessoas. Classifique e priorize cada ativo e identifique o estado atual da proteção de cada ativo. Ao priorizar os ativos, você pode se
concentrar primeiro em proteger os ativos mais importantes.
Ferramentas como aplicativos de aprendizado de máquina (ML) podem ajudar a analisar o fluxo de dados e priorizar os alertas mais relevantes. Você
pode usar ferramentas forenses e analíticas digitais, como análise de comportamento de usuários e eventos (UEBA) para ajudar a detectar, analisar e
alertar a equipe de segurança sobre possíveis ameaças internas. A análise do comportamento do usuário e do dispositivo pode estabelecer uma linha de
base para a atividade normal de acesso a dados, enquanto o monitoramento da atividade do banco de dados pode ajudar a identificar violações de
políticas.
Implante ferramentas que monitorem a atividade do usuário, bem como agreguem e correlacionem informações de atividades de diversas
fontes. Softwares fraudulentos, como o FortiDeceptor da Fortinet, estabelecem armadilhas para atrair pessoas mal-intencionadas e rastreiam
suas ações para entender melhor suas intenções. As informações coletadas por uma solução honeypot podem ser compartilhadas com outras
inteligências para melhorar a detecção e mitigar ataques e violações.
Definir, documentar e divulgar as políticas de segurança da organização. Em seguida, forneça treinamento para aqueles
que trabalham para sua organização e faça testes para garantir a compreensão. Isto evita ambiguidade e estabelece uma
base para a aplicação. Devem reconhecer a sua responsabilidade de cumprir e respeitar as políticas de segurança da
organização.
Esta é uma boa continuação para a recomendação final: Promover uma cultura de sensibilização para a segurança. Promover uma cultura
consciente da segurança é fundamental para mitigar a ameaça interna. Incutir as crenças e atitudes corretas combate a negligência e reduz a
oportunidade de comportamento malicioso.
eu Defina ameaça interna.

eu Explique os diferentes tipos de insiders.
eu Descrever os diferentes vetores e métodos de ameaças usados por ou contra pessoas internas.
eu Descrever os indicadores de ameaça de ameaças internas e métodos de mitigação.

Módulo de Engenharia Social Lição sobre fraudes, golpes e campanhas de influência
Lição sobre fraudes, golpes e campanhas de influência
Bem vindo àFraude, golpes e campanhas de influêncialição.
eu Descreva fraudes, golpes e campanhas de influência. Liste exemplos de

eu fraudes cibernéticas e golpes cibernéticos. Descreva como se desenrola
eu uma típica campanha de influência online.
Cada vez mais, a Internet tornou-se uma plataforma para maus atores encenarem fraudes, golpes ou influência malévola em grande escala
para influenciar as pessoas a um determinado ponto de vista. Os métodos usados para atingir os objetivos sórdidos de fraudes e golpes
geralmente envolvem técnicas de engenharia social, como phishing, juntamente com malware. Nesta lição, você também aprenderá sobre
campanhas de influência, que é uma técnica de mídia social para divulgar ideias e manipular outras pessoas.
O que é fraude cibernética? A fraude cibernética é uma técnica de engenharia social, malware ou outro tipo de engano usado
para fraudar ou tirar vantagem de uma pessoa ou organização para ganho financeiro ou pessoal.
O que são golpes cibernéticos? Os golpes cibernéticos são um tipo de fraude, mas geralmente são classificados como mesquinhos ou não
tão graves quanto a fraude cibernética. No entanto, isso não quer dizer que os golpes cibernéticos sejam triviais. Segundo o FBI, os idosos
americanos perdem mais de três bilhões de dólares anualmente em vários tipos de golpes. Os idosos são frequentemente visados porque
são mais confiantes do que os adultos mais jovens e têm uma vida inteira de poupanças para aproveitar.
Fraudes e golpes são atividades criminosas que usam os mesmos vetores e métodos de ameaça que você viu nas lições anteriores.
Exemplos de fraudes cibernéticas e golpes cibernéticos incluem o seguinte:
eu Sites governamentais imitadores — Os malfeitores usam phishing, spear phishing ou outra variante para fornecer um link para um site
governamental falso, geralmente com a intenção de roubar as credenciais ou informações do cartão de crédito do usuário.
eu Golpes de namoro e romance – Maus atores aproveitam sites de namoro legítimos, redes sociais e salas de bate-papo para obter
detalhes pessoais ou dinheiro de outras pessoas.
eu Fraude de férias – Maus atores oferecem aos clientes férias e acomodações on-line que não estão disponíveis ou não
existem.
eu Fraude obrigatória – Esse tipo de fraude ocorre quando um malfeitor hackeia uma transação de e-mail, como uma transação entre um
cliente e um fornecedor. O malfeitor então envia uma segunda via da fatura com as informações da conta bancária do malfeitor e
solicita o pagamento.
eu Pharming – Os malfeitores redirecionam o tráfego de um site legítimo para um site falso, como um site de comércio eletrônico ou bancário.
eu Golpes de cartões comemorativos: esse tipo de fraude envolve o envio de um cartão comemorativo malicioso a uma pessoa no aniversário dela
ou durante um feriado importante, como Natal ou Páscoa.
O que são campanhas de influência online? As campanhas de influência são esforços em grande escala para mudar a opinião pública. Tais
campanhas são geralmente executadas de má-fé e procuram promover uma narrativa falsa. Estas campanhas são frequentemente realizadas
por grupos com elevados níveis de capacidade, incluindo intervenientes do Estado-nação.
É assim que uma campanha de influência pode se desenrolar: (1) O malfeitor cria contas de usuário falsas em plataformas de mídia social. (2)
O mau ator cria conteúdo para promover uma determinada narrativa. (3) Eles postam este conteúdo como usuários falsos

Lição sobre fraudes, golpes e campanhas de influência Módulo de Engenharia Social
em vários sites de mídia social. (4) Pessoas reais veem o conteúdo e começam a compartilhá-lo. (5) Depois de atingir um certo limiar, os meios
de comunicação de massa retomam a história, ampliando ainda mais a narrativa.
Essa é a força das campanhas de influência. Com pouco custo e esforço, o mau ator pode manipular as opiniões de centenas
de milhares de pessoas. A natureza das redes sociais permite que o malfeitor opere secretamente e sem medo de ser
identificado como a fonte do ataque.
Atacar publicamente um adversário provavelmente resultará em consequências indesejáveis, mas virar secretamente a opinião pública contra
ele é mais difícil de provar e mais difícil de retaliar. Considere este cenário. Dois proprietários de restaurantes são rivais ferrenhos. O
proprietário do restaurante A usa contas anônimas de mídia social para espalhar desinformação sobre o proprietário do restaurante B. O
proprietário do restaurante A afirma que o proprietário do restaurante B se recusou a contratar um indivíduo com base na raça desse
indivíduo. Outros recorrem às redes sociais, exigem retribuição e boicotam o restaurante. Se o dono do restaurante B acusar o seu rival de
espalhar mentiras, o tiro poderá facilmente sair pela culatra e provocar ainda mais a multidão de sinais de virtude. Independentemente do que
o dono do restaurante B faça – permaneça em silêncio, negue a acusação ou acuse seu rival de crime – é uma proposta perdida. Por outro lado,
se alguém fizer abertamente uma alegação ou acusação falsa, a vítima pode recorrer legalmente, colocando em risco a reputação do acusador.
As campanhas de influência também podem fazer parte da guerra híbrida, conduzida por “ops psicológicos”, uma divisão das forças armadas.
Neste cenário, as táticas de guerra tradicionais são combinadas com a estratégia política e a guerra cibernética, que pode incluir hacking,
engenharia social, campanhas de influência e promoção de notícias falsas. Na guerra híbrida, o objectivo das campanhas de influência é
enfraquecer a determinação do inimigo, semeando confusão e divisão.
eu Descreva fraudes, golpes e campanhas de influência. Liste exemplos de

eu fraudes cibernéticas e golpes cibernéticos. Descreva como se desenrola
eu uma típica campanha de influência online.

Módulo de malware
Lição de visão geral sobre malware
Bem vindo àProgramas maliciososmódulo.
O que é malware? O termo malware é a abreviação de software malicioso que interrompe, danifica ou obtém acesso não
autorizado a um computador. Os malfeitores criam malware para executar diversas tarefas, como modificar o
comportamento de um programa, espionar pessoas que usam o computador infectado, exfiltrar dados, criptografar
informações importantes e depois exigir um resgate ou negar aos usuários acesso a um sistema. A finalidade de cada tipo de
malware depende dos objetivos dos malfeitores. Além disso, uma campanha de ataque pode usar vários tipos de malware
projetados para concluir tarefas específicas em cada estágio do ataque. Compreender os diferentes tipos de malware, suas
características e usos ajudará você a se preparar para ataques cibernéticos contra seu computador e sua rede. As lições
deste módulo fornecem uma compreensão essencial dos seguintes fundamentos necessários para atingir seus objetivos.
Categorize e descreva os diferentes tipos de malware no cenário de ameaças, como vírus, worms e
ransomware.
Uma característica importante de um vírus é que ele não é autoativado; em outras palavras, requer que um usuário o invoque. Por outro
lado, um worm é autoativado e não precisa que um usuário o invoque no computador de destino. O ransomware nega aos usuários o
acesso às informações, geralmente criptografando-as. Por outro lado, o spyware relata o comportamento do usuário a terceiros. Cada
tipo de malware possui características e finalidades diferentes.
Você também será capaz de:
Descreva o que é um vetor de ataque e como ele é composto de três partes essenciais: um mecanismo, um caminho e uma
vulnerabilidade.
Você também será capaz de:
Explique como diferentes tipos de malware e mecanismos exploram os computadores.
Sempre que houver um caminho para uma vulnerabilidade, você pode ter certeza de que um malfeitor desenvolverá um mecanismo para
explorá-la. Os malfeitores tentam manipular os usuários usando vários métodos de engenharia social ou explorar pontos fracos ou
configurações incorretas nos dispositivos.
Conhecer como os ataques são organizados e como o malware funciona ajudará você a se defender de ser
vítima de um ataque cibernético.

Lição sobre tipos de malware Módulo de malware
Lição sobre tipos de malware
Bem vindo àTipos de malwarelição.
eu Defina malware.
eu Descreva as características de um vírus de computador.
eu Descrever os diferentes tipos de vírus e malware de computador.
Seu computador já se comportou de maneira estranha? Talvez seu desempenho tenha diminuído repentina e
inexplicavelmente, ou janelas pop-up indesejadas apareçam, ou aplicativos travem ou iniciem sozinhos. Você pode pensar que
há um fantasma na máquina, mas é mais provável que um malware tenha infectado seu computador.
Se um malware infectar seu computador, seu comportamento poderá mudar abruptamente e sem qualquer motivo óbvio. Alguns
sintomas comuns de infecção de computador são:
eu Os dispositivos de computação ficam repentinamente lentos ou sem resposta.
eu Janelas pop-up indesejadas aparecem em um aplicativo ou navegador da web. Esses são sinais reveladores de que malware, vírus ou spyware
estão afetando seu dispositivo.
eu Os aplicativos fecham sozinhos inesperadamente. Isso provavelmente significa que o software foi infectado por algum tipo
de vírus ou malware.
eu Os aplicativos não carregam quando selecionados no menu Iniciar ou no ícone da área de trabalho. O malware de computador faz com que os
computadores atuem de diversas maneiras estranhas, que podem incluir abrir arquivos sozinhos, exibir mensagens de erro incomuns ou
inserir caracteres aleatoriamente.
eu Os aplicativos travam ou desconectam o usuário.
eu O sistema trava e o próprio computador desliga inexplicavelmente.

eu Emails no seu Outlook que você não enviou. Os hackers usam contas de e-mail de outras pessoas para espalhar malware e realizar ataques
cibernéticos mais amplos. E-mails na sua caixa de saída que você não enviou podem ser um sinal de infecção.
eu Mudanças inexplicáveis em um computador, como a modificação da página inicial do sistema ou a atualização das configurações
do navegador, são sinais da presença de malware.
Agora que você conhece os sintomas da infecção do computador, a próxima etapa é aprender a descrever e categorizar os
diferentes tipos de malware.
Embora o malware seja um software malicioso que interrompe, danifica ou obtém acesso não autorizado a um sistema de
computador, um vírus de computador é um malware com características adicionais. Norton.com define vírus de computador como “…
um tipo de código ou programa malicioso escrito para alterar a forma como um computador opera e que é projetado para se
espalhar de um computador para outro. Um vírus opera inserindo-se ou anexando-se a um programa ou documento legítimo que
suporta macros para executar seu código. No processo, um vírus tem o potencial de causar efeitos inesperados ou prejudiciais, como
danificar o software do sistema ao corromper ou destruir dados.”
Os vírus de computador têm várias características definidoras das quais você deve estar ciente. Em primeiro lugar, os vírus
informáticos devem ser invocados por um utilizador, em segundo lugar, eles inserem-se ou anexam-se a aplicações legítimas e,
em terceiro lugar, são concebidos para espalhar a infecção a outras aplicações e computadores na rede.
Saber disso ajudará você a distinguir entre malware que é vírus e malware que não é.

Módulo de malware Lição sobre tipos de malware
Muitos tipos de vírus possuem essas características, mas fazem coisas muito diferentes. A seguir está uma lista de alguns tipos de vírus
comuns:
Um vírus residente se propaga infectando aplicativos à medida que são abertos por um usuário.
Um vírus não residente infecta arquivos executáveis quando os aplicativos não estão em execução.
Um vírus multipartido usa vários métodos para infectar e se espalhar pelos computadores. Normalmente permanece na
memória do computador para infectar o disco rígido e depois se espalha e infecta mais unidades, alterando o conteúdo dos
aplicativos.
Um vírus de ação direta acessa a memória principal de um computador e infecta todos os aplicativos, arquivos e pastas localizados no caminho
autoexec.bat ou no caminho do registro de inicialização automática, antes de ser excluído. Esse vírus normalmente altera o desempenho de um sistema
e pode destruir todos os dados do disco rígido do computador e de qualquer dispositivo USB conectado a ele.
Um sequestrador de navegador altera manualmente as configurações dos navegadores da web, como substituir a página inicial, editar a
página da nova guia e alterar o mecanismo de pesquisa padrão. Tecnicamente, não é um vírus porque não pode infectar ficheiros, mas pode
ser extremamente prejudicial para os utilizadores de computador, que muitas vezes não conseguem restaurar a sua página inicial ou motor
de pesquisa. Ele também pode conter adware que causa janelas pop-up e anúncios indesejados.
Os vírus de substituição são extremamente perigosos. Eles podem excluir e substituir dados por seu próprio conteúdo ou código de arquivo.
Depois que os arquivos são infectados, eles não podem ser substituídos e o vírus pode afetar os sistemas Windows, DOS, Linux e macOS. A
única maneira de remover esse vírus é excluindo todos os arquivos infectados.
Um vírus de script da web ataca a segurança do navegador da web, permitindo que um hacker injete código malicioso em páginas da web ou scripts do
lado do cliente. Script do lado do cliente significa simplesmente executar scripts, como JavaScript, no dispositivo do cliente, geralmente dentro de um
navegador. Isso permite que os cibercriminosos ataquem os principais sites, como sites de redes sociais, provedores de e-mail e qualquer site que
permita comentários ou comentários do usuário. Os invasores podem usar o vírus para enviar spam, cometer atividades fraudulentas e danificar arquivos
do servidor.
Um infectador de arquivos é um dos vírus de computador mais comuns. Ele substitui os arquivos quando eles são abertos e pode se
espalhar rapidamente por sistemas e redes. Afeta principalmente arquivos com extensões .exe ou .com.
Os vírus de rede são extremamente perigosos porque podem paralisar completamente redes de computadores inteiras. Muitas
vezes são difíceis de descobrir porque o vírus pode se esconder em qualquer computador de uma rede infectada. Esses vírus
podem facilmente replicar-se e espalhar-se através da Internet e transferir-se para dispositivos conectados à rede.
Um vírus do setor de inicialização tem como alvo o registro mestre de inicialização (MBR) de um computador. O vírus injeta seu código na tabela de partição do
disco rígido e, em seguida, move-se para a memória principal quando o computador é reiniciado.
Além dos vírus, existem outros tipos de malware que não compartilham todas as características de um vírus. Por exemplo, o
malware worm não precisa de um sistema host e pode se espalhar entre sistemas e redes sem ação do usuário, enquanto um vírus
exige que o usuário execute seu código. Aqui estão alguns outros tipos de malware que não são vírus:
Um rootkit é uma coleção de software de computador, geralmente malicioso, projetado para permitir o acesso a um computador ou a uma
área de seu software que de outra forma não seria permitida. Um rootkit muitas vezes mascara a sua existência ou a existência de outro
software. Ele opera próximo ou dentro do kernel do sistema operacional, mas não pode se auto-replicar ou se espalhar pelos sistemas. Um
ataque de injeção de DLL permite que o invasor execute código malicioso, substituindo arquivos DLL legítimos por arquivos maliciosos. Esse
tipo de ataque é difícil de detectar e prevenir porque geralmente envolve o uso de arquivos e processos legítimos. Da mesma forma, um
ataque de manipulação de driver altera ou substitui o software do driver que permite que o sistema operacional se comunique com
dispositivos de hardware.
Um keylogger é um programa de computador que registra cada pressionamento de tecla feito por um usuário de computador, com
o objetivo de obter acesso fraudulento a senhas e outras informações confidenciais. Keyloggers são um tipo de spyware, um
malware projetado para espionar as vítimas. Como podem capturar tudo o que você digita, os keyloggers são uma das formas mais
invasivas de malware.

Lição sobre tipos de malware Módulo de malware
Um programa potencialmente indesejado (PUP) é um programa que pode ser indesejado, apesar da possibilidade de um usuário
ter consentido em baixá-lo. Os PUPs incluem spyware, adware e discadores e geralmente são baixados em conjunto com um
programa desejado pelo usuário.
Spyware é um malware que obtém informações secretas sobre as atividades do computador de um usuário, transmitindo dados
secretamente do disco rígido. Spyware é um tipo de malware que coleta informações pessoais e dados sobre um usuário sem
consentimento.
Adware é uma forma de malware que se esconde em um dispositivo e exibe anúncios. Alguns adwares também monitoram o comportamento online de um usuário
para que possam direcioná-lo com anúncios específicos.
Um discador é um programa malicioso instalado em um computador e que tenta usar os recursos de discagem, muitas vezes gerando
contas telefônicas caras para a vítima. Um discador é diferente de outros tipos de spyware, embora às vezes seja incluído em downloads de
software gratuito.
O aprendizado de máquina adversário é uma técnica usada no aprendizado de máquina para enganar ou desorientar uma rede neural com
entradas maliciosas. A inteligência artificial adversária utiliza entradas especializadas criadas com o propósito de confundir uma rede neural,
resultando na classificação incorreta de uma entrada. Essas entradas notórias podem ser indistinguíveis ao olho humano, mas fazem com que
a rede não consiga identificar corretamente uma imagem.
Ransomware é um tipo de vírus que criptografa ou impede o acesso às informações de um computador e restaura o acesso
somente após o usuário pagar um resgate.
Um vírus cavalo de Tróia é um vírus disfarçado para parecer algo que não é. Por exemplo, os vírus podem estar ocultos em jogos, aplicativos,
sites de compartilhamento de arquivos e filmes contrabandeados não oficiais. Um vírus Trojan de acesso remoto (RAT) é um malware Trojan
que pode controlar remotamente um computador infectado.
Um conta-gotas é um tipo de cavalo de Tróia projetado para instalar malware em um computador. Depois que o conta-
gotas é instalado, duas coisas podem acontecer: o conta-gotas instala o malware incorporado ou baixa o malware no
computador de destino.
O software de segurança nocivo, também conhecido como rogueware ou scareware, induz o usuário a acreditar que
há malware em seu computador e, em seguida, solicita que ele pague pelo antimalware, que é falso ou malware.
O malware botnet controla seu host infectado por meio de um servidor de comando e controle (C&C). Um computador infectado é
denominado bot ou robô, e um conjunto de computadores infectados é conhecido como botnet.
Cryptojacking é o uso ilegal de recursos computacionais para extrair criptomoedas. Os invasores usam malware ou scripts para sequestrar um
computador. Por exemplo, o Coinhive era um serviço de mineração de criptomoedas que permitia aos proprietários de sites incorporar código
JavaScript em seus sites, o que sequestrava os recursos de computadores conectados para fins de criptografia. Esse tipo de exploração é
chamado de mineração no navegador.
eu Defina malware.
eu Descreva as características de um vírus de computador.
eu Descrever os diferentes tipos de vírus e malware de computador.

Módulo de malware Lição sobre vetores e métodos de ataque de malware
Lição sobre vetores e métodos de ataque de malware
Bem vindo àVetores e métodos de ataque de malwarelição.
eu Distinguir a diferença entre um vetor de ataque e uma superfície de ataque.

eu Descreva os três componentes de um vetor de ataque.
eu Descrever exemplos de malware de vetor de ataque e seus mecanismos.
O que é um vetor de ataque? Um vetor de ataque, também conhecido como vetor de ameaça, é um método que um malfeitor usa
para acessar ilegalmente ou inibir uma rede, sistema ou instalação. Um vetor de ataque pode referir-se a um método específico de
ataque ou a uma categoria de ataque. Por exemplo, a engenharia social é uma categoria de vetor de ataque e consiste em muitos
tipos de ataque. Como você viu em uma lição anterior, os malfeitores podem acessar áreas restritas ou fazer spear phishing em um
usuário para explorar seus privilégios de rede. Lembre-se de que um vetor de ataque possui três componentes: uma
vulnerabilidade, um mecanismo e um caminho. O caminho permite que um mecanismo acesse o alvo.
Aprender a diferença entre um vetor de ataque e uma superfície de ataque também é importante. Embora um vetor de ataque seja o
método usado para atacar um alvo, uma superfície de ataque representa o número total de pontos de entrada que o vetor cria para
obter acesso não autorizado ao alvo. Além disso, a superfície de ataque pode expandir ou contrair devido às circunstâncias. Neste
gráfico, a pessoa visada é a superfície de ataque e está exposta a vários métodos de assassinato. O indivíduo inteiro é a superfície de
ataque. A pessoa poderia reduzir sua vulnerabilidade, ou superfície de ataque, usando capacete e colete Kevlar. Em outro exemplo,
um requisito de política de senha é um fator na superfície de ataque. Requisitos de senha mais rigorosos fazem com que a superfície
de ataque se contraia, e requisitos brandos fazem com que a superfície de ataque se expanda. Um dos objetivos da segurança de TI é
reduzir a superfície de ataque da rede.
Embora os vetores de ataque possam ser físicos ou eletrônicos, esta lição se concentra apenas nos vetores de ataque que envolvem
malware. Os ataques de engenharia social infectam computadores com diferentes tipos de malware, conforme visto na lição anterior. A
seguir estão dois exemplos de vetores de ataque de malware:
Watering hole são caminhos que conectam mecanismos a vulnerabilidades. Por exemplo, um mau ator compromete um local de
encontro digital. Os usuários são mais vulneráveis à manipulação em um ambiente familiar, como um site de mídia social, por isso
são mais propensos a clicar em links ou baixar um vídeo divertido de gato que serve como cavalo de Tróia para malware.
O malware assume o controle de um computador, transformando-o em um robô, ou bot, para abreviar. Outro termo para bot é
zumbi. O malfeitor controla o computador usando um servidor de comando e controle (C&C), que envia comandos para sistemas
comprometidos por malware de bot e, em seguida, recebe dados roubados. Uma coleção de computadores controlados por um
servidor C&C é chamada de botnet. As botnets podem ter vários propósitos, por exemplo, coletar informações de máquinas
infectadas, enviar spam e e-mails de phishing ou atacar serviços da web. Um ataque de uma botnet contra um servidor com a
intenção de torná-lo inacessível é conhecido como ataque distribuído de negação de serviço (DDoS). Neste caso, o mecanismo do
vetor de ataque é o botnet, o caminho é a internet e a vulnerabilidade é o servidor alvo.
Quando um malfeitor encontra um caminho para uma vulnerabilidade, ele pode instalar malware ou implantar um mecanismo malicioso.
Aqui estão alguns exemplos de mecanismos clandestinos e métodos de exploração usados por malfeitores:
Um backdoor é uma forma não autorizada de obter acesso a um computador.

Lição sobre vetores e métodos de ataque de malware Módulo de malware
Uma bomba lógica é um pedaço de código malicioso deixado à espreita em um computador que será executado sob condições
específicas.
Um ovo de Páscoa é um recurso oculto ou um pedaço de código deixado pelos desenvolvedores. Em alguns casos, um ovo de Páscoa pode
deixar sua rede e seus dados expostos a malfeitores.
Droppers são programas projetados para extrair outros arquivos de seu próprio código. Normalmente, os droppers extraem vários arquivos em um
computador para instalar um pacote de programa malicioso. Os conta-gotas também podem ter outras funções.
Um downloader é um tipo de cavalo de Tróia que se instala em um computador e espera até que uma conexão com a Internet
esteja disponível para se conectar a um servidor ou site remoto. Em seguida, ele baixa programas adicionais (geralmente
malware) no computador infectado.
Shellcode é um conjunto de instruções em software que executa um comando para assumir o controle ou explorar um computador
comprometido.
Injeção de código é o termo usado para descrever ataques que injetam código em um aplicativo. O código injetado é interpretado pela
aplicação, alterando a forma como um programa é executado. Os ataques de injeção de código normalmente exploram uma
vulnerabilidade do aplicativo que permite o processamento de dados inválidos.
eu Distinguir a diferença entre um vetor de ataque e uma superfície de ataque.

eu Descreva os três componentes de um vetor de ataque.
eu Descrever exemplos de malware de vetor de ataque e seus mecanismos.

Nenhuma parte desta publicação pode ser reproduzida de qualquer forma ou por qualquer meio ou usada para fazer
qualquer derivação, como tradução, transformação ou adaptação, sem permissão da Fortinet Inc., conforme estipulado
pela Lei de Direitos Autorais dos Estados Unidos de 1976.
Copyright© 2023 Fortinet, Inc. Todos os direitos reservados. Fortinet®, FortiGate®, FortiCare® e FortiGuard® e algumas outras marcas são marcas registradas da Fortinet, Inc., nos EUA e em outras
jurisdições, e outros nomes da Fortinet aqui mencionados também podem ser marcas registradas e/ou marcas comerciais da Fortinet. Todos os outros nomes de produtos ou empresas podem ser
marcas registradas de seus respectivos proprietários. O desempenho e outras métricas aqui contidas foram obtidas em testes de laboratório interno sob condições ideais, e o desempenho real e
outros resultados podem variar. Variáveis de rede, diferentes ambientes de rede e outras condições podem afetar os resultados de desempenho. Nada aqui representa qualquer compromisso
vinculativo da Fortinet, e a Fortinet se isenta de todas as garantias, sejam expressas ou implícitas, exceto na medida em que a Fortinet celebre um contrato vinculativo por escrito, assinado pelo
Conselho Geral da Fortinet, com um comprador que garanta expressamente que o produto identificado funcionará de acordo a certas métricas de desempenho expressamente identificadas e, nesse
caso, apenas as métricas de desempenho específicas expressamente identificadas em tal contrato escrito vinculativo serão vinculativas para a Fortinet. Para maior clareza, qualquer garantia desse
tipo será limitada ao desempenho nas mesmas condições ideais dos testes de laboratório internos da Fortinet. Em nenhum caso a Fortinet faz qualquer
compromisso relacionado definir entregas, recursos ou desenvolvimento e circundar
para o futuro mstAs situações podem mudar de tal forma que quaisquer declarações prospectivas aqui contidas não sejam
Fortinet se isenta em acordos, representações e garantias em busca de
completo um formiga precisas. aqui contidos, sejam expressos ou implícitos. A Fortinet reserva-se o direito de alterar, modificar,
transferir, ó outro revisão sábia este pu blicação sem aviso prévio, e o mais atual eu não A versão da publicação será aplicável.

Introduction To The Threat Landscape 1.0 Lesson Scripts - En.pt

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Introduction To The Threat Landscape 1.0 Lesson Scripts - En.pt

Enviado por

Direitos autorais:

Formatos disponíveis

Traduzido do Inglês para o Português - www.onlinedoctranslator.

Documentação do produto Fortinet

Base de Conhecimento Fortinet

Comunidade de usuários do Fortinet Fuse

Suporte ao produto Fortinet

Informações sobre o programa de treinamento Fortinet

Fortuna | Pearson VUE

Helpdesk do Fortinet Training Institute (perguntas de treinamento, comentários, feedback)

Introdução ao Módulo de Segurança Cibernética 4

Lição de introdução à visão geral da segurança cibernética

Bem vindo àIntrodução à segurança cibernéticamódulo.

Prossiga para a primeira lição para começar.

4 Introdução aos scripts de aula do cenário de ameaças 1.0

O que é lição de segurança cibernética

Bem vindo àO que é segurança cibernéticalição.

eu como a segurança de TI determina quais informações precisam ser protegidas.

eu Explique a primeira linha de defesa contra ataques cibernéticos.

O que é segurança cibernética?

Introdução ao cenário de ameaças 1.0 Scripts de aula 5

6 Introdução aos scripts de aula do cenário de ameaças 1.0

Lição de Princípios de Segurança da Informação

Bem vindo àPrincípios de Segurança da Informaçãolição.

eu Liste os princípios da segurança da informação.

A divulgação expõe dados confidenciais a partes não autorizadas.

Você concluiu a lição. Você esta capacitado para:

Introdução ao cenário de ameaças 1.0 Scripts de aula 7

eu Liste os princípios da segurança da informação.

8 Introdução aos scripts de aula do cenário de ameaças 1.0

Lição de visão geral do cenário de ameaças

Bem vindo àCenário de ameaçasmódulo.

Defina inteligência contra ameaças e explique como ela é processada.

Prossiga para a primeira lição para começar.

Introdução ao cenário de ameaças 1.0 Scripts de aula 9

Lição sobre atores de ameaças

Bem vindo àAtores de ameaçaslição.

eu Descreva os diferentes tipos de maus atores e suas motivações.

Os tipos de maus atores são explorador, hacktivista, ciberterrorista, cibercriminoso e ciberguerreiro.

O explorador é talvez o menos nefasto de todos os tipos de maus atores.

Clique nos ícones e botões para obter mais informações.

10 Introdução aos scripts de aula do cenário de ameaças 1.0

Clique no ícone e no botão para obter mais informações.

Introdução ao cenário de ameaças 1.0 Scripts de aula 11

Você concluiu a lição. Você esta capacitado para:

eu Descreva os diferentes tipos de maus atores e suas motivações.

12 Introdução aos scripts de aula do cenário de ameaças 1.0

Lição sobre ameaças à segurança cibernética

Bem vindo àAmeaças à segurança cibernéticalição.

eu Descreva ameaças à segurança cibernética e liste exemplos. Liste as

eu principais categorias de ameaças cibernéticas.

eu Descreva os vetores de ataque perfilados.

Introdução ao cenário de ameaças 1.0 Scripts de aula 13

Clique nos termos sublinhados para obter mais informações.

Clique no termo sublinhado para obter mais informações.

Você concluiu a lição. Você esta capacitado para:

eu Descreva ameaças à segurança cibernética e liste exemplos. Liste as

eu principais categorias de ameaças cibernéticas.

eu Descreva os vetores de ataque perfilados.

14 Introdução aos scripts de aula do cenário de ameaças 1.0

Lição de inteligência de ameaças

Bem vindo àInteligência de ameaçaslição.

eu Defina inteligência de ameaças.

Introdução ao cenário de ameaças 1.0 Scripts de aula 15

Clique no termo sublinhado para obter mais informações.