2.0.1 Por que devo fazer este Módulo?

As redes estão sob ataque! Neste módulo, você aprenderá sobre o estado atual do cenário de
segurança de rede e também aprenderá sobre os diferentes tipos de redes que exigem proteção.

2.1.2 As redes são alvos

As redes estão sob ataque rotineiramente. É comum ler as notícias sobre outra rede que foi
comprometida. Uma rápida pesquisa na Internet para ataques de rede retornará muitos artigos sobre
ataques de rede, incluindo notícias sobre organizações que foram comprometidas, as mais recentes
ameaças à segurança de rede, ferramentas para mitigar ataques e muito mais.

Para ajudá-lo a compreender a gravidade da situação, Kapersky mantém a exibição interativa do

Mapa em Tempo Real de Ameaças Cibernéticas dos atuais ataques de rede. Os dados de ataque são
enviados a partir de produtos de segurança de rede Kapersky que são implantados em todo o
mundo. A figura exibe uma captura de tela de amostra desta ferramenta web, que mostra esses
ataques em tempo real. Muitas ferramentas semelhantes estão disponíveis na internet e podem ser
encontradas pesquisando mapas de ameaças cibernéticas.

2.1.3 Razões para a segurança da rede

A segurança da rede está diretamente relacionada à continuidade dos negócios de uma organização.
As violações de segurança de rede podem interromper o comércio eletrônico, causar a perda de
dados comerciais, ameaçar a privacidade das pessoas e comprometer a integridade das informações.
Essas violações podem resultar em perda de receita para empresas, roubo de propriedade
intelectual, ações judiciais e até ameaçar a segurança pública.

Manter uma rede segura garante a segurança dos usuários da rede e protege os interesses
comerciais. Manter uma rede segura requer vigilância por parte dos profissionais de segurança de
rede de uma organização. Eles devem estar constantemente cientes de novas e em evolução
ameaças e ataques a redes e vulnerabilidades de dispositivos e aplicativos.

Muitas ferramentas estão disponíveis para ajudar os administradores de rede a adaptar, desenvolver
e implementar técnicas de mitigação de ameaças. Por exemplo, o site do Cisco Talos Intelligence
Group, mostrado na figura, fornece inteligência abrangente de segurança e ameaça para defender
clientes e proteger seus ativos.

Outro grupo, chamado de Cisco Product Security Incident Response Team (PSIRT), é responsável
por investigar e mitigar vulnerabilidades potenciais em produtos Cisco. A figura indica uma página
dos avisos de segurança Cisco da amostra que lista estas vulnerabilidades em tempo real e forneça
aos administradores de rede a informação para ajudar a mitigar-las.

2.1.4 Vetores de ataques de rede

Um vetor de ataque é um caminho pelo qual um atacante poder obter acesso a um servidor,
equipamento ou rede. Os vetores de ataque são originários de dentro ou de fora da rede corporativa,
conforme mostrado na figura. Por exemplo, os atacantes podem direcionar uma rede pela Internet,
para interromper as operações da rede e criar um ataque de negação de serviço (DoS).
Ameaças internas e externas

Nota: Um ataque de DoS ocorre quando um dispositivo ou aplicativo de rede está incapacitado e
não é mais capaz de suportar solicitações de usuários legítimos.

Um usuário interno, como um funcionário, pode acidentalmente ou intencionalmente:

• Roubar e copiar dados confidenciais para mídia removível, email, software de mensagens e
outras mídias.
• Comprometer servidores internos ou dispositivos de infraestrutura de rede.
• Desconectar uma conexão de rede crítica e cause uma interrupção na rede.
• Conectar uma unidade USB infectada a um sistema de computador corporativo.

Ameaças internas têm o potencial de causar maior dano que as ameaças externas, pois os usuários
internos têm acesso direto ao edifício e a seus dispositivos de infraestrutura. Os funcionários
normalmente têm conhecimento da rede corporativa, seus recursos e seus dados confidenciais.

Os profissionais de segurança de rede devem implementar ferramentas e aplicar técnicas para

mitigar ameaças externas e internas.

2.1.5 Perda de dados

Lista de seções expansíveis. Selecione cada botão para expandir o conteúdo.

É provável que os dados sejam o ativo mais valioso de uma organização. Os dados organizacionais
podem incluir dados de pesquisa e desenvolvimento, dados de vendas, dados financeiros, recursos
humanos e dados legais, dados de funcionários, dados de contratados e dados de clientes.

Perda de dados, ou exfiltração de dados, ocorre quando os dados são intencionalmente ou não
perdidos, roubados ou vazados para o mundo exterior. A perda de dados pode resultar em:

• Danos à marca e perda de reputação

• Perda da vantagem competitiva
• Perda de clientes
• Perda de receita
• Litígio / ação legal que resulta em multas e penalidades civis
• Custo e esforço significativos para notificar as partes afetadas e se recuperar da violação

Os profissionais de segurança de rede devem proteger os dados da organização. Vários controles de

prevenção contra perda de dados (DLP) devem ser implementados, combinando medidas
estratégicas, operacionais e táticas.

Os vetores comuns de perda de dados são exibidos na tabela.

Selecione os títulos abaixo para saber mais sobre alguns deles.

-O vetor mais comum para a perda de dados inclui o software de sistema de mensagens instantâneas
e sites de mídia social. Por exemplo, e-mail ou mensagens instantâneas interceptadas podem ser
capturados e revelam informações confidenciais.

-Um laptop corporativo roubado normalmente contém dados organizacionais confidenciais. Se os

dados não forem armazenados usando um algoritmo de criptografia, o ladrão poderá recuperar
dados confidenciais valiosos.

-Um laptop corporativo roubado normalmente contém dados organizacionais confidenciais. Se os

dados não forem armazenados usando um algoritmo de criptografia, o ladrão poderá recuperar
dados confidenciais valiosos.

-Um laptop corporativo roubado normalmente contém dados organizacionais confidenciais. Se os

dados não forem armazenados usando um algoritmo de criptografia, o ladrão poderá recuperar
dados confidenciais valiosos.

-Um laptop corporativo roubado normalmente contém dados organizacionais confidenciais. Se os

dados não forem armazenados usando um algoritmo de criptografia, o ladrão poderá recuperar
dados confidenciais valiosos.

-Senhas são a primeira linha de defesa Senhas ou senhas fracas que foram comprometidas podem
fornecer a um agente de ameaças acesso fácil aos dados corporativos.

2.1.7 Packet Tracer - Investigue um cenário de ameaças

Nesta atvidade do Packet Tracer, você completará os seguintes objetivos:

• Parte 1: Investigar uma vulnerabilidade de configuração de rede

• Parte 2: Investigue uma vulnerabilidade de malware de phishing
• Parte 3: Investigar uma vulnerabilidade de rede sem fio e DNS

Packet Tracer - Investigue um cenário de ameaças

Objetivos
Parte 1: Investigar uma vulnerabilidade de configuração de rede

Parte 2: Investigue uma vulnerabilidade de malware de phishing

Parte 3: Investigar uma vulnerabilidade de rede sem fio e DNS

Histórico/Cenário
O cenário de ameaças consiste em todas as vulnerabilidades que podem ser exploradas pelos
agentes de ameaças. Cada incidente de segurança digital envolve a exploração de vulnerabilidades
por diferentes tipos de agentes de ameaça. Alguns agentes de ameaças querem dinheiro, outros
querem ser famosos e outros querem destruir informações e infraestrutura.

Nesta atividade, você investigará três vulnerabilidades que podem ser exploradas por agentes de
ameaças.
Observação: nessa atividade, os Data Centers e sites de ISP/Telco estão bloqueados.

Instruções
Parte 1: Investigar uma vulnerabilidade de configuração de
rede
Às vezes, as vulnerabilidades de segurança da rede podem acontecer por acidente. Por exemplo,
esquecer de atualizar o software do servidor ou host pode expor vulnerabilidades conhecidas que
poderiam ser facilmente mitigadas com uma atualização simples. Da mesma forma,
vulnerabilidades podem ser introduzidas quando um dispositivo de rede não está configurado
corretamente ou um dispositivo está com defeito. Nesta parte, você explorará uma vulnerabilidade
resultante de um dispositivo que não está configurado corretamente com as melhores práticas de
segurança.

Etapa 1: usar uma rede de convidados para obter acesso a outros dispositivos na
rede.
a. Em Greenville, localize o Smartphone 3 fora da localidade Home.

Maria é a proprietária do smartphone. Ela é uma amiga de Bob que mora na casa. Mary está
estudando para conseguir um emprego na defesa de segurança digital e está familiarizada com o
teste de penetração de rede. Ela percebeu que uma rede sem fio de convidado é aberta e acessível
por qualquer pessoa. Ela se conectou à rede de convidados e usou o Nmap para executar uma
verificação, que pode identificar e descobrir detalhes sobre todos os dispositivos ativos. Um dos
dispositivos parece ser uma webcam. O endereço IP é 192.168.100.101.

b. Clique em Smartphone 3 e, em seguida, clique em Prompt de comando. Digite o comando ping

192.168.100.101. Após uma ou duas mensagens de "Solicitação expirarem", os pings restantes
devem ser bem-sucedidos.

Mary informa Bob que a rede está muito vulnerável a ataques. Alguém pode assumir o controle da
webcam, por exemplo, e assistir o vídeo de dentro da casa. Bob convida Mary para entrar,
investigar o problema e propor uma solução.

Etapa 2: Explore a rede doméstica para identificar a vulnerabilidade.

a. Clique em Início. Sabendo que os roteadores domésticos normalmente controlam as redes sem
fio domésticas, Mary vai direto para o escritório e fica atrás da mesa. Ela usará o PC do Home
Office para se conectar ao roteador. Mas primeiro ela precisa determinar o endereço IP.

b. Clique em Home Office PC > Desktop > Prompt de comandoe digite o comando ipconfig.

O gateway padrão é o endereço IP do Roteador sem fio doméstico.

Pergunta:
Qual é o endereço IP usado?

Área de Resposta

192.168.100.1

c. Em seguida, Mary usa o Navegador da Web para se conectar ao Roteador sem fio doméstico.
Feche o Prompt de Comando e clique em Navegador da Web. Insira o endereço IP do gateway
padrão.

d. Bob não tem a documentação para o roteador nem conhece as credenciais de login. Mary
consulta o modelo de roteador na Internet e descobre que as credenciais padrão usam admin para
nome de usuário e senha. Faça login no Roteador sem fio doméstico.

e. Clique em Conexão sem fio. Analise as configurações básicas da rede sem fio para cada um
dos três rádios que fazem parte do roteador sem fio.

Perguntas:
Quais das bandas estão ativas?

Área de Resposta

O roteador sem fio tem três rádios : 2,4 GHz, 5 Ghz-1 e 5GHz-2. Todos os três rádios estão ativos.

Quais são os SSIDs atribuídos a esses rádios?

Área de Resposta

Para os rádios de 2,4 GHz e 5 GHz-2, o SSID é HomeNet. Para o rádio de 5 GHz-1, o SSID é
Guest.

f. Clique no submenu Segurança sem fio

Pergunta:
A segurança está ativada para cada um dos rádios? As senhas estão definidas?

Área de Resposta

A segurança é ativada para os rádios 2,4 GHz e 5 GHz-2. As senhas são definidas para os rádios. A
segurança não está definida para o rádio de 5 GHz-1.

g. Mary conseguiu acessar a rede de fora sem fazer login; portanto, ela investiga mais. Clique no
submenu Guest Network (Rede de convidados) e investigue as configurações.
Pergunta:
A rede Guest está ativa? Em caso afirmativo, em qual rádio?

Área de Resposta

A rede de convidados está ativa. Ele é configurado no rádio de 5 GHz-1.

Uma rede sem fio Guest deve fornecer acesso à Internet apenas para convidados. Ele não deve
permitir que os convidados acessem os dispositivos na rede local dentro de casa. Nesse caso, os
convidados podem acessar a rede local. Isso indica que o roteador doméstico está configurado
incorretamente.

Pergunta:
O que você sugeriria que Bob fizesse para proteger essa rede?

Área de Resposta

A rede de convidado deve ser desativada ou configurada com segurança básica, como autenticação
forte, transmissão de SSID desabilitada e acesso aos dispositivos de rede locais desabilitados.

Parte 2: Investigue uma vulnerabilidade de malware de

phishing
Phishing é um tipo de ataque de engenharia social em que um agente de ameaças se disfarça como
uma fonte legítima e confiável para induzi-lo a instalar malware no dispositivo ou compartilhar
informações pessoais ou financeiras. Os ataques de phishing normalmente ocorrem por e-mails ou
telefonemas. Ao contrário de outras vulnerabilidades de rede, a principal vulnerabilidade em
ataques de phishing são os usuários da rede. Por esse motivo, uma defesa importante contra o
phishing é treinar os usuários sobre como evitar explorações de phishing.

Nesta parte, você simulará e investigará um ataque de phishing.

Observação: esta atividade é apenas para fins de demonstração. Escrever e enviar mensagens de e-
mail de phishing é antiético e é considerado um ataque criminoso na maioria das jurisdições.

Etapa 1: Agir como um agente de ameaças e criar um e-mail de phishing.

a. Navegue até a rede Cafe.

b. Clique na guia Cafe Hacker Laptop > Área de trabalho > E-mail.

c. Clique em Escrever.

Use sua imaginação para escrever um e-mail de phishing. Seu objetivo é persuadir o usuário a
copiar e colar uma URL da mensagem de e-mail no navegador. Inclua o link pix.example.com no
e-mail. Você pode procurar, por exemplo, e-mails de phishing on-line para ver como agentes de
ameaças gravam esse tipo de e-mail.

Observação: os links em e-mails de phishing normalmente são ativos ou "ativos". Tudo o que a
vítima precisa fazer é clicar. No entanto, o Packet Tracer não é compatível com o uso de links
ativos dentro do cliente de e-mail.

d. Envie seu e-mail para três pessoas dentro da rede Filial . Seus endereços de e-mail são os
seguintes:

o user1@mail.isp.net

o user2@mail.isp.net

o user3@mail.isp.net

Etapa 2: abrir os e-mails recebidos do agente de ameaças.

a. Navegue até a rede Filial.

b. Clique em um dos dispositivos, PC-BR1, Laptop BR-1 ou Laptop BR-2.

c. Clique na guia Desktop (Área de Trabalho) e depois clique em E-mail e clique em Receber.
Você deve receber o e-mail que acabou de enviar.

Observação: o Packet Tracer pode levar vários segundos para convergir. Você pode precisar clicar
em Receber várias vezes se o e-mail não for recuperado.

d. Opcional: acesse outros dispositivos da vítima, abra o cliente de E-mail e clique em Receber
para verificar se eles também receberam seu e-mail de phishing.

Etapa 3: Se passar por vítima e seguir as instruções de phishing.

a. Leia o e-mail e copie o endereço do site.

b. Feche a janela Navegador de email e clique em Navegador da Web.

c. Cole a URL no campo URL e, em seguida, clique em Ir.

Observação: o Packet Tracer pode levar vários segundos para convergir. Você pode clicar em Fast
Forward Time para acelerar o processo.

Perguntas:
O que aconteceu quando a página da Web foi carregada?

Área de Resposta
Uma mensagem apareceu dizendo que o disco rígido foi criptografado e pede o pagamento em
dinheiro para recuperar os arquivos.

Que tipo de ataque é esse?

Área de Resposta

Em uma situação do mundo real, esse e-mail é normalmente espalhado por um vírus que envia
automaticamente e-mails mal-intencionados para todos os endereços na sua lista de contatos.

Pergunta:
Descreva os danos que esse tipo de ataque pode causar em uma empresa?

Área de Resposta

Se o vírus de e-mail espalhar essa mensagem para todos na rede, esses usuários também seguirem
as instruções, então vários discos rígidos poderão ser criptografados e muitos dados potencialmente
perdidos. Em alguns casos, empresas e outras organizações pagaram milhares de dólares na
esperança de recuperar os dados criptografados.

Os funcionários devem ser treinados para identificar e-mails de phishing e as ações que devem ser
tomadas para evitar danos. Além disso, as empresas podem configurar firewalls, sistemas de
prevenção contra invasões e outros dispositivos de segurança e software para bloquear e-mails de
phishing antes de entrar na rede. Algumas empresas assinam serviços que compilam e mantêm
listas de sites mal-intencionados. Os dispositivos de segurança da empresa podem, então, usar essas
listas para atualizar automaticamente os filtros para bloquear o tráfego mal-intencionado.

Parte 3: Investigar uma vulnerabilidade de rede sem fio e DNS

O usuário médio de rede tende a confiar em redes Wi-Fi abertas em locais públicos. Ao usar o Wi-
Fi, os serviços de dados por celular podem proporcionar taxas de dados mais rápidas e ser mais
econômicos. No entanto, os agentes de ameaças podem configurar um laptop com uma interface
Wi-Fi que possa atuar como um ponto de acesso Wi-Fi e um cliente Wi-Fi. Isso significa que os
agentes de ameaças podem criar suas próprias redes sem fio e transmitir um SSID convincente para
possíveis vítimas em locais públicos. Os agentes de ameaças usam esses access points não
autorizados para criar ataques de interferência principal. Nesse ataque, os agentes de ameaças
podem capturar e ler todo o tráfego sem fio de dispositivos que se associam ao access point não
autorizado, potencialmente aprendendo nomes de usuário, senhas e outras informações
confidenciais.

Nesta parte, você investigará como um access point não autorizado pode ser usado para motivar
usuários a se conectarem a uma rede sem fio falsa. Quando combinados com serviços de rede como
DHCP e DNS, os usuários podem se tornar vítimas de ataques mal-intencionados a sites por meio
de sequestro de DNS.
Etapa 1: Conectar-se à rede sem fio do agente de ameaças.
a. Navegue até a rede Cafe. Observe o agente de ameaças sentado no canto.

b. Clique na Hacker Backpack e investigue o conteúdo. Ele tem um roteador sem fio e um sniffer
de rede. Seu objetivo é interceptar o tráfego de usuários e direcioná-lo para um servidor mal-
intencionado.

c. Volte para o Café e clique no laptop Café do cliente > Desktop > aplicativo PC Wireless.

d. Clique na guia Connect. Talvez seja necessário clicar em Atualizar para ver a lista de redes sem
fio disponíveis.

Pergunta:
Se você estivesse no Café, a qual rede sem fio você escolheria se conectar? Explique.

Área de Resposta

As respostas podem variar. A rede Cafe_WI-FI_FAST é muito tentadora. Seu nome é legítimo, mas
melhor do que a rede real. Além disso, ele tem um sinal um pouco mais forte do que a rede
legítima. No entanto, os usuários de rede atuais podem saber a diferença entre uma rede sem fio
segura e não segura. A rede Café_Wi-Fi é a única com segurança ativada.

e. Clique em qualquer um dos nomes de rede Cafe_WI-FI_FAST e clique em Connect.

Etapa 2: Visite seu site de mídia social favorito.

a. Feche o aplicativo PC Wireless e clique em Navegador da Web.

b. No campo URL, digite friends.example.com e clique em Ir. Este site é uma rede social
legítima nessa simulação.

Perguntas:
O que aconteceu?

Área de Resposta

Embora a URL fosse amigos.exemplo.com, ela foi levada para o servidor de malware.

Qual era a URL do servidor de malware usada no cenário de ataque de phishing? É a mesma coisa?

Área de Resposta

A URL para o cenário anterior era pix.example.com. É um URL diferente, mas parece com o
mesmo servidor.
Etapa 3: Investigar a origem do ataque.
a. Feche o navegador da Web e clique em Configuração de IP.

b. No Café, clique em VPN Laptop > Desktop > Configuração de IP.

c. Clique em Café do cliente na barra de tarefas para trazê-lo de volta à vista e, em seguida,
organizar as duas janelas de Configuração de IP lado a lado. Compare os valores entre os dois
dispositivos.

Perguntas:
Quais são as diferenças entre os endereços dos dois notebooks?

Área de Resposta

Os endereços IP do host são diferentes, mas isso é normal. Cada host em uma LAN precisa de um
endereço IP único. As máscaras de sub-rede são iguais. Os endereços do servidor DNS são
diferentes.

d. Investigue o laptop Cafe Hacker.

Pergunta:
Qual é o seu endereço IP? Por que isso é significativo?

Área de Resposta

No laptop Cafe Hacker, clique na guia Serviços > DNS.

e. Localize o nome do site friends.example.com. Observe que o endereço IP é o mesmo endereço

IP associado a pix.example.com do ataque de phishing anteriormente.

f. Em Serviços, clique em DHCP. Observe que o endereço do servidor DNS distribuído para os
hosts pelo DHCP é o mesmo atribuído ao cliente do Cafe.

Pergunta:
Quais são as etapas desse ataque?

Área de Resposta

Quando o Cafe Customer se conectou à rede sem fio do access point não autorizado, ele recebeu
uma configuração de endereço IP do DHCP. O servidor DHCP está configurado para distribuir o
endereço do laptop hacker como o endereço do servidor DNS. O servidor DNS no Laptop Cafe
Hacker associa o endereço IP de um servidor mal-intencionado, 10.6.0.250, ao nome de um site
popular, amigos.exemplo.com. Quando o usuário do laptop Cafe Customer tenta acessar o site, o
tráfego é redirecionado para o servidor mal-intencionado. O ransomware é instalado no laptop do
cliente Cafe e os arquivos do usuário são criptografados.
Resumo
Nesta atividade, analisamos três maneiras diferentes pelas quais as vulnerabilidades podem gerar
explorações. Como um usuário de rede ou profissional de segurança digital informado, é de sua
responsabilidade pensar nas diferentes maneiras pelas quais essas vulnerabilidades podem ser
detectadas e mitigadas antes que ocorra um ataque digital.

2.2.1 Ameaça, Vulnerabilidade e Risco

Estamos sob ataque e os atacantes querem acesso aos nossos bens. Os ativos são tudo de valor para
uma organização, como dados e outras propriedades intelectuais, servidores, computadores,
smartphones, tablets e muito mais.

-Ameaça Um perigo potencial para um ativo, como dados ou a própria rede.

-vulnerabilidade Uma fraqueza em um sistema ou em seu design que pode ser explorada por uma
ameaça.

-Superfície de ataque Uma superfície de ataque é a soma total das vulnerabilidades em um

determinado sistema que são acessíveis a um invasor. A superfície de ataque descreve diferentes
pontos em que um invasor pode entrar em um sistema e onde ele pode obter dados do sistema. Por
exemplo, o sistema operacional e o navegador da Web podem precisar de patches de segurança.
Cada um deles é vulnerável a ataques e está exposto na rede ou na internet. Juntos, eles criam uma
superfície de ataque que o ator ameaça pode explorar.

-Exploit O mecanismo que é usado para alavancar uma vulnerabilidade para comprometer um
ativo. As explorações podem ser remotas ou locais. Uma exploração remota é aquela que funciona
através da rede sem qualquer acesso prévio ao sistema de destino. O invasor não precisa de uma
conta no sistema final para explorar a vulnerabilidade. Em uma exploração local, o ator de ameaça
tem algum tipo de acesso administrativo ou de usuário ao sistema final. Uma exploração local não
significa necessariamente que o invasor tenha acesso físico ao sistema final.

-Risco A probabilidade de uma determinada ameaça explorar uma vulnerabilidade específica de um

ativo e resultar em uma consequência indesejável.

A gestão de riscos é o processo que equilibra os custos operacionais de provisão de medidas de

proteção com os ganhos obtidos através da proteção do ativo. Existem quatro maneiras
comuns de gerenciar o risco, como mostrado na tabela:

-Aceitação de riscos Isso ocorre quando o custo das opções de gerenciamento de risco supera o
custo do próprio risco. O risco é aceito, e nenhuma ação é tomada.

-Prevenção de riscos Isto significa evitar qualquer exposição ao risco eliminando a atividade ou
dispositivo que apresenta o risco. Ao eliminar uma atividade para evitar riscos, todos os benefícios
possíveis da atividade também são perdidos.

-Redução de risco Isto reduz a exposição ao risco ou reduz o impacto do risco, tomando medidas
para diminuir o risco. É a estratégia de mitigação de riscos mais utilizada. Essa estratégia requer
uma avaliação cuidadosa dos custos de perda, da estratégia de mitigação e dos benefícios obtidos
com a operação ou atividade que está em risco.
-Transferência de risco Parte ou todo o risco é transferido para um terceiro disposto, como uma
companhia de seguros.

Outros termos de segurança de rede comumente usados incluem:

• Contramedida - As ações que são tomadas para proteger ativos, atenuando uma ameaça ou
reduzindo o risco.
• Impacto - O dano potencial à organização causado pela ameaça.

Observação: uma exploração local requer acesso interno à rede, como um usuário com uma conta
na rede. Uma exploração remota não requer uma conta na rede para explorar a vulnerabilidade
dessa rede.

2.2.2 Hacker vs Ator de Ameaças

Como sabemos, “hacker” é um termo comum usado para descrever um ator de ameaça. No entanto,
o termo “hacker” tem uma variedade de significados, como se segue:

• Um programador inteligente capaz de desenvolver novos programas e codificar alterações

em programas existentes para torná-los mais eficientes.
• Um profissional de rede que usa habilidades sofisticadas de programação para garantir que
as redes não sejam vulneráveis a ataques.
• Uma pessoa que tenta obter acesso não autorizado a dispositivos na internet.
• Um indivíduo que executa programas para impedir ou retardar o acesso à rede a um grande
número de usuários, ou corromper ou eliminar dados em servidores.

Um vetor de ataque é um caminho pelo qual um atacante poder obter acesso a um servidor,
equipamento ou rede. Os vetores de ataque são originários de dentro ou de fora da rede corporativa,
conforme mostrado na figura. Por exemplo, os atacantes podem direcionar uma rede pela Internet,
para interromper as operações da rede e criar um ataque de negação de serviço (DoS).

Ameaças internas e externas

Conforme mostrado na figura, os termos hacker de White Hat, hacker de Black Hat e hacker de
Gray Hat são freqüentemente usados para descrever hackers.

1. Hackers de White Hat são hackers éticos que usam suas habilidades de programação para
propósitos bons, éticos e legais. Eles podem realizar testes de penetração de rede na tentativa
de comprometer redes e sistemas, usando seu conhecimento de sistemas de segurança de
computador para descobrir vulnerabilidades de rede. As vulnerabilidades de segurança são
relatadas aos desenvolvedores e equipes de segurança que tentam consertar a
vulnerabilidade antes que ela possa ser explorada. Algumas organizações concedem prêmios
ou recompensas a hackers de chapéu branco quando fornecem informações que ajudam a
identificar vulnerabilidades.
2. Hackers Gray Hat são indivíduos que cometem crimes e fazem coisas possivelmente
antiéticas, mas não para ganho pessoal ou para causar danos. Um exemplo seria alguém que
compromete uma rede sem permissão e, em seguida, divulga publicamente a
vulnerabilidade. Os hackers Grey hat podem divulgar uma vulnerabilidade à empresa
 afetada, depois de ter comprometido sua rede. Isso permite que a empresa corrija o
problema.
3. Os hackers Black Hat são criminosos antiéticos que violam a segurança do computador e da
rede para ganho pessoal ou por motivos maliciosos, como ataques a redes. Os hackers Black
Hat exploram vulnerabilidades para comprometer os sistemas de computador e rede.

Bom ou ruim, hacking é um aspecto importante da segurança da rede. Neste curso, o termo ator de
ameaça é usado quando se refere a indivíduos ou grupos que podem ser classificados como hackers
grey ou black hat.

2.2.3 Evolução dos Atores de Ameaças

Lista de seções expansíveis. Selecione cada botão para expandir o conteúdo.

A atividade de hacker começou nos anos 1960 com o freaking (ou phreaking) telefônico, que se
refere ao uso de várias frequências de áudio para manipular sistemas telefônicos. Naquela época, as
centrais telefônicas usavam vários tons, ou discagem por tom, para indicar funções diferentes. Os
primeiros agentes de ameaça perceberam que, imitando um tom usando um apito, eles poderiam
explorar os comutadores telefônicos para fazer chamadas gratuitas de longa distância.

Em meados da década de 1980, conexões discadas e modems foram usados para conectar
computadores a redes. Atores de ameaças escreveram programas de “discagem de guerra” que
discavam cada número de telefone em uma determinada área em busca de computadores, sistemas
de boletins e aparelhos de fax. Quando um número de telefone era encontrado, programas de quebra
de senha eram usados para obter acesso. Desde então, os perfis e motivos gerais dos agentes de
ameaças mudaram um pouco.

Existem muitos tipos diferentes de agentes de ameaça.

Clique nos botões para ver as definições dos diferentes tipos de agentes de ameaças.

-Script kiddes Script kiddies surgiram na década de 1990 e se refere a adolescentes ou atores de
ameaças inexperientes executando scripts, ferramentas e explorações existentes para causar danos,
mas normalmente sem fins lucrativos.

-Corretores de vulnerabilidades Os corretores de vulnerabilidade normalmente se referem a

hackers Grey Hat que tentam descobrir exploits e relatá-los aos fornecedores, às vezes por prêmios
ou recompensas.

-Hacktivistas Hacktivistas é um termo que se refere a hackers Grey Hat que se manifestam e
protestam contra diferentes ideias políticas e sociais. Os hacktivistas protestam publicamente contra
organizações ou governos, publicando artigos, vídeos, vazando informações confidenciais e
realizando ataques DDoS (Denial of Service, Negação de serviço).

-Cibercriminosos Criminoso cibernético é um termo para hackers black hat que são autônomos ou
trabalham para grandes organizações do crime cibernético. A cada ano, os criminosos virtuais são
responsáveis por roubar bilhões de dólares de consumidores e empresas.

-Patriocinados pelo Estado Os hackers patrocinados pelo Estado são atores de ameaças que
roubam segredos do governo, coletam informações e sabotam redes de governos estrangeiros,
grupos terroristas e corporações. A maioria dos países do mundo participam, em algum grau, em
ataques de hackers patrocinados pelo estado. Dependendo da perspectiva de uma pessoa, estes são
hackers de white hat ou black hat.

2.2.4 Cibercriminosos
Os cibercriminosos são atores de ameaça que estão motivados a ganhar dinheiro usando todos os
meios necessários. Embora às vezes os cibercriminosos trabalhem de forma independente, eles são
mais frequentemente financiados e patrocinados por organizações criminosas. Estima-se que,
globalmente, os cibercriminosos roubam bilhões de dólares de consumidores e empresas todos os
anos.

Os cibercriminosos operam em no submundo onde compram, vendem e comercializam explorações

e ferramentas. Eles também compram e vendem as informações pessoais e propriedade intelectual
que roubam das vítimas. Os cibercriminosos visam pequenas empresas e consumidores, bem como
grandes empresas e setores.

2.2.5 Tarefas de Segurança Cibernética

Atores de ameaça não discriminam. Eles têm como alvo os dispositivos finais vulneráveis de
usuários domésticos e empresas de pequeno a médio porte, bem como grandes organizações
públicas e privadas.

Para tornar a Internet e as redes mais protegidas e mais seguras, todos temos de desenvolver uma
boa consciência da segurança cibernética. A segurança cibernética é uma responsabilidade
compartilhada que todos os usuários devem praticar. Por exemplo, devemos denunciar crimes
cibernéticos às autoridades apropriadas, estar ciente de possíveis ameaças no e-mail e na Web e
proteger informações importantes contra roubo.

As organizações devem agir e proteger seus ativos, usuários e clientes. Eles devem desenvolver e
praticar tarefas de segurança cibernética, como as listadas na figura.

Lista de verificação de cibersegurança

Fornecedor de TI confiável
Software de segurança atualizado
Testes de penetração regulares
Backup para nuvem e disco rígido
Alterar periodicamente a senha WIFI
Política de segurança atualizada
Aplicar senhas fortes
Autenticação de dois fatores

2.2.6 Indicadores de Ameaças Cibernéticas

Muitos ataques de rede podem ser evitados compartilhando informações sobre indicadores de
comprometimento (COI). Cada ataque tem atributos identificáveis únicos. Indicadores de
compromisso são a evidência de que um ataque ocorreu. Os IOCs podem ser recursos que
identificam arquivos de malware, endereços IP de servidores que são usados em ataques, nomes de
arquivos e alterações características feitas no software final do sistema, entre outros. Os IOCs
ajudam o pessoal de segurança cibernética a identificar o que aconteceu em um ataque e
desenvolver defesas contra o ataque. Um resumo do COI para um pedaço de malware é mostrado na
figura.

Malware File - "studiox-link-standalone-v20.03.8-stable.exe"

sha256 6a6c28f5666b12beecd56a3d1d517e409b5d6866c03f9be44ddd9efffa90f1e0
sha1 eb019ad1c73ee69195c3fc84ebf44e95c147bef8
md5 3a104b73bb96dfed288097e9dc0a11a8
DNS requests
domain log.studiox.link
domain my.studiox.link
domain _sips._tcp.studiox.link
domain sip.studiox.link
Connections
ip 198.51.100.248
ip 203.0.113.82

Por exemplo, um usuário recebe um e-mail afirmando que ganhou um grande prêmio. Clicar no link
no e-mail resulta em um ataque. O COI poderia incluir o fato de o usuário não estar concorrendo a
nenhum sorteio, o endereço IP do remetente, a linha de assunto do e-mail, o URL a ser clicado, ou
um anexo para baixar, entre outros.

Indicadores de ataque (IOA) se concentram mais na motivação por trás de um ataque e nos
potenciais meios pelos quais os atores da ameaça têm, ou irão, comprometer vulnerabilidades para
obter acesso a ativos. Os IOAs estão preocupadas com as estratégias usadas pelos atacantes. Por
esse motivo, em vez de informar a resposta a uma única ameaça, os IOAs podem ajudar a gerar uma
abordagem de segurança proativa. Isso ocorre porque as estratégias podem ser reutilizadas em
vários contextos e ataques múltiplos. Defender contra uma estratégia pode, portanto, impedir
ataques futuros que utilizem a mesma estratégia, ou similar.

2.2.7 Compartilhamento de ameaças e conscientização sobre segurança cibernética

Os governos estão agora promovendo ativamente a segurança cibernética. Por exemplo, a Agência
de Infraestrutura e Segurança Cibernética dos EUA (CISA) está liderando esforços para automatizar
o compartilhamento de informações de segurança cibernética com organizações públicas e privadas
sem nenhum custo. A CISA usa um sistema denominado Compartilhamento Automático de
Indicador (AIS). O AIS permite o compartilhamento de indicadores de ataque entre o governo dos
EUA e o setor privado assim que as ameaças são verificadas. A CISA oferece muitos recursos que
ajudam a limitar o tamanho da superfície de ataque dos Estados Unidos.

A CISA e a National Cyber Security Alliance (NCSA) promovem a segurança cibernética a todos
os usuários. Por exemplo, eles têm uma campanha anual em outubro chamada “National
Cybersecurity Awareness Mês” (NCASM). Esta campanha foi desenvolvida para promover e
aumentar a conscientização sobre segurança cibernética.

O tema para o NCASM para 2019 foi “TI Própria. TI Segura. Proteja a TI.” Esta campanha
incentivou todos os cidadãos a serem mais seguros e mais pessoalmente responsáveis pela
utilização das melhores práticas de segurança online. A campanha fornece material sobre uma
grande variedade de tópicos de segurança, incluindo:

• Segurança das redes sociais

• Atualizando configurações de privacidade
 • Reconhecimento da segurança de aplicativos de dispositivos
• Manter o software atualizado
• Compras online seguras
• Segurança Wi-Fi
• Protegendo os dados do cliente

A Agência da União Europeia para a Cibersegurança (ENISA) presta aconselhamento e soluções

para os desafios da cibersegurança dos Estados-Membros da UE. A ENISA desempenha um papel
na Europa semelhante ao papel da CISA nos EUA.

2.2.8 Verifique Sua Compreensão - Que Cor é Meu Chapéu?

Clique na resposta apropriada para cada característica para indicar o tipo de hacker que ela
descreve.

2.3.1 O que aprendi neste módulo?

Lista de seções expansíveis. Selecione cada botão para expandir o conteúdo.
Clique nos títulos para ver um resumo dos tópicos abordados neste módulo.

-A segurança da rede está diretamente relacionada à continuidade dos negócios de uma organização.
As violações de segurança de rede podem interromper o comércio eletrônico, causar a perda de
dados comerciais, ameaçar a privacidade das pessoas e comprometer a integridade das informações.
Essas violações podem resultar em perda de receita para empresas, roubo de propriedade
intelectual, ações judiciais e até ameaçar a segurança pública. Muitas ferramentas estão disponíveis
para ajudar os administradores de rede a adaptar, desenvolver e implementar técnicas de mitigação
de ameaças, incluindo o Cisco Talos Intelligence Group. Um vetor de ataque é um caminho pelo
qual um atacante poder obter acesso a um servidor, equipamento ou rede. Os vetores de ataque são
originários de dentro ou de fora da rede corporativa. É provável que os dados sejam o ativo mais
valioso de uma organização. Vários controles de prevenção contra perda de dados (DLP) devem ser
implementados, combinando medidas estratégicas, operacionais e táticas. Os vetores comuns de
perda de dados incluem e-mail e redes sociais, dispositivos de dados não criptografados,
dispositivos de armazenamento em nuvem, mídia removível, cópia impressa e controle de acesso
inadequado.

-Compreender a segurança da rede requer que você entenda os seguintes termos: ameaça,
vulnerabilidade, superfície de ataque, exploração e risco. A gestão de riscos é o processo que
equilibra os custos operacionais de provisão de medidas de proteção com os ganhos obtidos através
da proteção do ativo. Quatro formas comuns de gerenciar riscos são: a aceitação de riscos, a
prevenção de riscos, a redução de riscos e a transferência de riscos. Hacker é um termo usado para
descrever um ator de ameaça. Os hackers White hat são hackers éticos que usam suas habilidades
para propósitos bons, éticos e legais. Hackers Grey hat são indivíduos que cometem crimes e fazem
coisas antiéticas, mas não para ganho pessoal ou para causar danos. Os hackers Black hat são
criminosos que violam a segurança do computador e da rede para ganho pessoal ou por motivos
maliciosos, como ataques a redes. Os atores de ameaças incluem crianças de script, corretores de
vulnerabilidade, hacktivistas, criminosos cibernéticos e hackers patrocinados pelo Estado. Muitos
ataques de rede podem ser evitados compartilhando informações sobre IOCs. Muitos governos
estão promovendo a segurança cibernética. CISA e NCSA são exemplos de tais organizações.