Curso Cyber Segurança da Internet

Capítulo 1: Introdução aos conceitos de Cyber Segurança da Internet.

Identidade Off-line: é uma identidade real, é a nossa própria conversando com outras
pessoas fisicamente (familiares, amigos, escola, faculdade).

Identidade Online: é a identidade online, que nos apresentamos perante a sociedade na

internet.

Registros médicos

Cada vez que você vai ao médico, mais informações são adicionadas aos seus registros de saúde
eletrônicos (Electronic Health Records - EHRs). A prescrição do seu médico de família torna-se parte do
seu EHR. O EHR inclui sua saúde física, saúde mental e outras informações pessoais que podem não
estar relacionadas aos registros médicos. Por exemplo, se você passou por tratamento psicológico
quando criança, devido a grandes mudanças na família, esse registro estará em algum lugar nas suas
fichas médicas. Além do seu histórico médico e das informações pessoais, o EHR também pode incluir
informações sobre sua família.

Dispositivos médicos, como monitores de sinais vitais, usam a plataforma de nuvem para permitir
transferência, armazenamento e a exibição sem fio de dados clínicos, como batimentos cardíacos,
pressão arterial e taxa de glicose no sangue. Esses dispositivos podem gerar um enorme volume de
dados clínicos que poderiam se tornar parte das suas fichas médicas.

Registros de educação

Ao longo da sua vida escolar e acadêmica, informações sobre notas e resultados de testes, presenças,
cursos concluídos, prêmios e graus concedidos, além de relatórios disciplinares, podem ter sido
adicionadas no seu registro escolar. Esse registro também pode incluir informações de contato, históricos
de saúde e imunização e registros de educação especial, incluindo IEPs (Individualized education
programs, Programas de educação individualizada).

Registros de emprego e financeiros

Seus registros financeiros podem incluir informações sobre receitas e despesas. Os registros fiscais
poderiam incluir canhotos de holerites, faturas de cartão de crédito, sua classificação de crédito e outras
informações bancárias. Suas informações de emprego podem incluir empregos anteriores e desempenho.
Os alvos de criminosos na internet, sempre é o financeiro da pessoa.

Tipos de Dados Corporativos

Dados Tradicionais

Dados corporativos incluem informações de funcionários, propriedades intelectuais e informações

financeiras. As informações de funcionários incluem materiais de aplicação, folha de pagamento, cartas
de oferta, contratos de funcionários e todas as informações usadas na tomada de decisões de emprego.
Propriedade intelectual, como patentes, marcas registradas e planos de novos produtos, permite que uma
empresa obtenha vantagem econômica sobre seus concorrentes. Essa propriedade intelectual pode ser
considerada um segredo comercial. Perder essas informações pode ser desastroso para o futuro da
empresa. As informações financeiras, como declarações de rendimentos, balanços e demonstrações de
fluxo de caixa de uma empresa, proporcionam detalhes sobre a integridade da empresa.
são diretrizes de segurança da informação de uma empresa. A confidencialidade garante a privacidade
dos dados, restringindo o acesso através de autenticação por criptografia. A integridade garante que as
informações sejam precisas e confiáveis. A disponibilidade garante que as informações possam ser
acessadas por pessoas autorizadas.

Confidencialidade

Um outro termo para confidencialidade seria privacidade. As políticas da empresa devem restringir o
acesso às informações ao pessoal autorizado e verificar se apenas os indivíduos autorizados visualizam
esses dados. Os dados podem ser divididos de acordo com a segurança ou o nível de confidencialidade
da informação. Por exemplo, um desenvolvedor de programa Java não deve ter acesso às informações
pessoais de todos os funcionários. Além disso, os funcionários devem receber treinamento para entender
as melhores práticas de proteção de informações confidenciais para sua segurança e da empresa.

Os métodos para garantir a confidencialidade incluem criptografia de dados, ID de usuário e senha,

autenticação de dois fatores e diminuição da exposição de informações confidenciais.

Integridade

A integridade é a precisão, a consistência e a confiabilidade dos dados durante todo o seu ciclo de vida.
Os dados devem permanecer inalterados durante o trânsito e não modificados por entidades não
autorizadas. As permissões e controle de acesso de usuário podem impedir o acesso não autorizado a
arquivos. O controle de versão pode ser usado para evitar alterações acidentais feitas por usuários
autorizados. Os backups devem estar disponíveis para restaurar quaisquer dados danificados, e o hash
da soma de verificação pode ser usado para verificar a integridade dos dados durante a transferência.

Uma soma de verificação é usada para verificar a integridade dos arquivos, ou de strings de caracteres,
depois de terem sido transferidos de um dispositivo para outro pela rede local ou pela Internet. As somas
de verificação são calculadas com funções hash. Algumas das somas de verificação comuns são MD5,
SHA-1, SHA-256 e SHA-512. Uma função hash usa um algoritmo matemático para transformar os dados
no valor de tamanho fixo que os representa, conforme mostrado na Figura 2. O valor de hash está
simplesmente ali para comparação. Com o valor de hash, os dados originais não podem ser recuperados
diretamente. Por exemplo, se você esquecer a senha, ela não poderá ser recuperada com o valor hash. A
senha deve ser redefinida.

Depois de baixar um arquivo, você pode verificar a integridade com os valores de hash da fonte em
relação aos que foram gerados usando qualquer calculadora de hash. Ao comparar os valores de hash,
você pode garantir que o arquivo não tenha sido adulterado ou danificado durante a transferência.

Disponibilidade

Manutenção de equipamentos, reparos de hardware, atualização de software e sistemas operacionais e

criação de backups garantem a disponibilidade da rede e dos dados para usuários autorizados. Os planos
devem estar implantados para recuperação rápida de catástrofes naturais ou provocadas pelo homem.
Equipamentos de segurança ou software, como firewalls, protegem contra o período de inatividade devido
a ataques de negação de serviço (Denial of Service - DoS). A negação de serviço ocorre quando um
invasor tenta sobrecarregar os recursos para que os serviços não estejam disponíveis para os usuários.
 Tipos de Invasores
Amadores – às vezes, essas pessoas são chamadas de hackers inexperientes. São normalmente
invasores com pouca ou nenhuma qualificação profissional, muitas vezes usando ferramentas atuais ou
instruções encontradas na Internet para lançar ataques. Alguns são apenas curiosos, enquanto outros
tentam demonstrar suas qualificações profissionais e causar danos. Eles podem estar usando
ferramentas básicas, mas os resultados ainda podem ser devastadores.

Hackers – este grupo de invasores entra em computadores ou redes para obter acesso. Dependendo da
intenção da invasão, esses invasores são classificados como white, grey ou black hat. Os invasores white
hat entram em redes ou sistemas de computador para descobrir fraquezas, com o objetivo de melhorar a
segurança. Essas invasões são feitas com prévia autorização e todos os resultados são relatados ao
proprietário. Por outro lado, os invasores “do mal” (black hat) aproveitam qualquer vulnerabilidade para
ganho pessoal, financeiro ou ganho político. Os invasores suspeitos (gray hat) situam-se entre os
invasores “do bem” (white hat) e os invasores “do mal” (black hat). Os invasores grey hat podem encontrar
uma vulnerabilidade em um sistema. Os hackers grey hat poderão relatar a vulnerabilidade aos
proprietários do sistema se essa ação coincidir com sua agenda. Alguns hackers gray hat publicam os
fatos sobre a vulnerabilidade na Internet para que outros invasores possam explorá-la.

Hackers organizados – esses hackers incluem empresas de criminosos virtuais, hacktivistas, terroristas
e hackers patrocinados pelo Estado. Os criminosos virtuais geralmente são grupos de criminosos
profissionais, focados em controle, poder e riqueza. Os criminosos são altamente sofisticados e
organizados e ainda podem fornecer o crime digital como um serviço a outros criminosos. Os hacktivistas
fazem declarações políticas para sensibilizar para questões que são importantes para eles. Os invasores
patrocinados pelo estado reúnem informações ou cometem sabotagem em nome de seu governo. Esses
invasores geralmente são altamente treinados e bem remunerados e seus ataques são concentrados em
objetivos específicos e benéficos para o seu governo.

Ameaças à segurança interna

Os ataques podem ser originados de dentro ou de fora da empresa, conforme mostrado na figura. Um
usuário interno, como um funcionário ou parceiro de contrato, pode, de forma acidental ou intencional:
 Tratar erroneamente os dados confidenciais

 Ameaçar as operações de servidores internos ou de dispositivos de infraestrutura de rede

 Facilitar ataques externos conectando mídias USB infectadas no sistema de computador

corporativo

 Convidar acidentalmente malware para a rede por e-mail ou sites mal-intencionados

 Esse capítulo também abordou os dados organizacionais: o que são, onde estão e por que devem
ser protegidos. Explicou quem são os invasores cibernéticos e o que eles querem. Profissionais de
segurança cibernética devem ter as mesmas qualificações profissionais que os invasores
cibernéticos. Os profissionais de segurança cibernética devem trabalhar dentro dos limites da
legislação local, nacional e internacional. Profissionais de segurança cibernética também devem
usar suas qualificações profissionais de maneira ética.

Capítulo 2 – Ataques conceitos e técnicas

Um exploit é o termo usado para descrever um programa escrito para utilizar uma vulnerabilidade
conhecida. O ato de usar um exploit contra uma vulnerabilidade é conhecido como um ataque. O objetivo
do ataque é ter acesso a um sistema, aos dados que ele hospeda ou a um recurso específico.

Vulnerabilidades de software

As vulnerabilidades de software são normalmente introduzidas por erros no código do aplicativo ou

sistema operacional; apesar de todo o esforço das empresas em localizá-las e corrigi-las, é comum que
novas vulnerabilidades surjam. A Microsoft, a Apple e outros fabricantes de sistema operacional lançam
patches e atualizações quase todos os dias. As atualizações do aplicativo também são comuns. Os
aplicativos, tais como navegadores da Web, aplicativos móveis e servidores da Web, são frequentemente
atualizados pelas empresas responsáveis por eles.

O objetivo das atualizações de software é sempre estar atualizado e evitar a exploração de

vulnerabilidades. Enquanto algumas empresas têm equipes de testes de penetração dedicadas para
pesquisar, localizar e corrigir vulnerabilidades de software, antes que elas possam ser exploradas, os
pesquisadores de segurança de terceiros também são especializados em descobrir essas
vulnerabilidades.
Vulnerabilidades de hardware

Vulnerabilidades de hardware são frequentemente introduzidas por falhas de projeto de hardware. A

memória RAM, por exemplo, consiste essencialmente em capacitores instalados muito próximos um do
outro. Descobriu-se que, devido à proximidade, constantes mudanças aplicadas a um desses capacitores
poderiam influenciar o vizinho. Com base nessa falha, foi criado um exploit chamado Rowhammer. Ao
reescrever várias vezes a memória nos mesmos endereços, o exploit Rowhammer permite que os dados
sejam recuperados de células próximas de memória de endereço, mesmo que as células estejam
protegidas.

As vulnerabilidades de hardware são específicas para modelos do dispositivo e geralmente não são
exploradas por tentativas comprometedoras aleatórias. Embora os exploits de hardware sejam mais
comuns em ataques altamente específicos, a proteção contra malware tradicional e uma segurança física
são proteções suficientes para o usuário de todos os dias.

Vulnerabilidade de Segurança de Software:

Saturação do buffer – esta vulnerabilidade ocorre quando os dados são gravados além dos limites de
um buffer. Os buffers são áreas de memórias alocadas a um aplicativo. Ao alterar os dados além dos
limites de um buffer, o aplicativo acessa a memória alocada a outros processos. Isso pode levar à queda
do sistema, comprometimento de dados ou fornecer o escalonamento de privilégios.

Entrada não validada – programas normalmente funcionam com entrada de dados. Esses dados que
entram no programa podem ter conteúdo mal-intencionado, projetado para forçar o programa a se
comportar de forma não desejada. Considere um programa que recebe uma imagem para processar. Um
usuário mal-intencionado pode criar um arquivo de imagem com dimensões de imagem inválidas. As
dimensões criadas de forma mal-intencionada podem forçar o programa a alocar buffers de tamanhos
incorretos e inesperados.

Condição de corrida – esta vulnerabilidade ocorre quando a saída de um evento depende de saídas
ordenadas ou cronometradas. Uma condição de corrida se torna uma fonte de vulnerabilidade quando os
eventos ordenados ou cronometrados necessários não ocorrem na ordem correta ou na sincronização
apropriada.

Deficiências nas práticas de segurança – sistemas e dados confidenciais podem ser protegidos por
meio de técnicas, como autenticação, autorização e criptografia. Os desenvolvedores não devem tentar
criar seus próprios algoritmos de segurança porque provavelmente apresentarão vulnerabilidades. É
altamente recomendável que os desenvolvedores usem as bibliotecas de segurança que já foram criadas,
testadas e verificadas.

Problemas de controle de acesso – controle de acesso é o processo de controlar quem faz o quê,
gerenciar o acesso físico aos equipamentos e determinar quem tem acesso a um recurso, como um
arquivo, e o que pode fazer com ele, tais como ler ou alterar esse arquivo. Muitas vulnerabilidades de
segurança são criadas com o uso indevido de controles de acesso.

Quase todos os controles de acesso e as práticas de segurança poderão ser superados se o invasor tiver
acesso físico ao equipamento de destino. Por exemplo, não importa para quais permissões o arquivo é
definido; o sistema operacional não pode impedir alguém de ignorá-lo e ler os dados diretamente no
disco. Para proteger a máquina e os dados que ela contém, o acesso físico deve ser restrito e as técnicas
de criptografia devem ser usadas para proteger dados contra roubo ou danos.
 Tipos de Malware

Malware: Malicious Software.

Spyware – este malware é projetado para rastrear e espionar o usuário. O spyware frequentemente inclui
rastreadores de atividade, coleta de toque de tela e captura de dados. Para tentar combater as medidas
de segurança, o spyware quase sempre modifica as configurações de segurança. Muitas vezes, o
spyware se junta ao software legítimo ou a cavalos de Troia.

Adware – o software com suporte a anúncio é projetado para fornecer anúncios automaticamente. O
adware é frequentemente instalado com algumas versões do software. Alguns tipos de adware são
projetados para oferecer somente anúncios, mas também é comum que o adware venha com spyware.

Bot- da palavra “robot”, um bot é o malware projetado para executar automaticamente a ação, geralmente
on-line. Enquanto a maioria dos bots é inofensiva, uma utilização progressiva de bots mal-intencionados
são os botnets. Vários computadores estão infectados com bots que são programados para esperar
calmamente os comandos fornecidos pelo invasor.

Ransomware – este malware é projetado para manter preso um sistema de computador, ou os dados
incluídos nele, até que o pagamento seja feito. O ransomware normalmente funciona criptografando os
dados no computador com uma chave desconhecida ao usuário. Outras versões do ransomware podem
lançar mão das vulnerabilidades de sistemas específicos para bloquear o sistema. O ransomware é
espalhado por um arquivo baixado ou alguma vulnerabilidade de software.

Scareware – este é um tipo de malware projetado para persuadir o usuário a executar uma ação
específica com base no medo. O scareware simula janelas pop-up que se assemelham às janelas de
diálogo do sistema operacional. Essas janelas transmitem mensagens falsificadas que afirmam que o
sistema está em risco ou precisa da execução de um programa específico para retornar à operação
normal. Na realidade, nenhum problema foi avaliado ou detectado. Se o usuário concordar e executar o
programa mencionado para a limpeza, seu sistema será infectado com malware.

Rootkit – este malware é projetado para modificar o sistema operacional e criar um backdoor. Os
invasores usam o backdoor para acessar o computador remotamente. A maioria dos rootkits utiliza as
vulnerabilidades do software para escalonar privilégios e modificar arquivos de sistema. Também é
comum os rootkits modificarem a computação forense do sistema e as ferramentas de monitoramento,
o que os torna muito difíceis de ser detectados. Muitas vezes, um computador infectado por um rootkit
deve ser apagado e reinstalado.

Vírus - um vírus é um código executável mal-intencionado que é anexado a outros arquivos executáveis,
muitas vezes programas legítimos. A maioria dos vírus necessita de ativação do usuário final e pode ser
ativada em uma hora ou data específica. Os vírus podem ser inofensivos e apenas exibir uma imagem ou
podem ser destrutivos, como os que modificam ou excluem dados. Os vírus também podem ser
programados para se modificar e evitar a detecção. Agora, a maioria dos vírus é espalhada por unidades
de USB, discos ópticos, compartilhamentos de rede ou e-mail.

Cavalo de Troia - um Cavalo de Troia é um malware que realiza operações mal-intencionadas sob o
pretexto de uma operação desejada. Esse código malicioso explora os privilégios do usuário que o
executa. Muitas vezes, os Cavalos de Troia são encontrados em arquivos de imagem, arquivos de áudio
ou jogos. Um Cavalo de Troia difere de um vírus porque está vinculado aos arquivos não executáveis.

Worms – worms são códigos maliciosos que se replicam ao explorar, de forma independente,
vulnerabilidades em redes. Os worms normalmente deixam a rede mais lenta. Enquanto um vírus requer
um programa host para execução, os worms podem ser executados de modo autônomo. Exceto pela
infecção inicial, eles não necessitam mais da participação do usuário. Após infectar um host, um worm
pode ser transmitido muito rapidamente pela rede. Worms compartilham padrões similares. Todos eles
habilitam uma vulnerabilidade, uma maneira de se propagar, e todos eles contêm uma carga.

Man-In-The-Middle (MitM) – o MitM permite que o invasor tenha o controle sobre um dispositivo sem o
conhecimento do usuário. Com esse nível de acesso, o invasor pode interceptar e capturar informações
do usuário antes de transmiti-las ao seu destino desejado. Os ataques MitM são amplamente utilizados
para roubar informações financeiras. Muitos malwares e técnicas existem para fornecer aos invasores
recursos de MitM.

Man-In-The-Mobile (MitMo) – uma variação do Man-In-Middle, MitMo é um tipo de ataque usado para
assumir o controle de um dispositivo móvel. Quando infectado, o dispositivo móvel pode ser instruído a
extrair as informações confidenciais do usuário e enviá-las para os invasores. ZeuS, um exemplo de
exploit com capacidades de MitMo, permite que os invasores capturem silenciosamente as mensagens de
SMS de verificação de 2 passos enviadas para os usuários.

Sintomas de Malware:

 Há um aumento no uso da CPU.

 Há uma diminuição na velocidade do computador.

 O computador congela ou trava frequentemente.

 Há uma diminuição na velocidade de navegação na Web.

 Existem problemas inexplicáveis com conexões de rede.

 Arquivos são modificados.

 Arquivos são excluídos.

 Há presença de arquivos, programas ou ícones de desktop desconhecidos.

 Há processos desconhecidos em execução.

 Programas estão se desligando ou reconfigurando sozinhos.

 E-mails estão sendo enviados sem o conhecimento ou consentimento do usuário.

 Engenharia Social

Engenharia social é um ataque de acesso que tenta manipular indivíduos para realizar ações ou divulgar
informações confidenciais. Os engenheiros sociais frequentemente dependem da boa vontade das
pessoas para ajuda, mas também miram nos pontos fracos. Por exemplo, um invasor pode chamar um
funcionário autorizado com um problema urgente, que requer acesso imediato à rede. O invasor pode
recorrer à vaidade do funcionário, valer-se de autoridade usando técnicas que citam nomes ou apelar
para a ganância do funcionário.

Tipos de Ataques na Engenharia Social:

 Pretexting - Ocorre quando um invasor chama uma pessoa e mente para ela na tentativa de obter
acesso a dados confidenciais. Um exemplo envolve um invasor que finge precisar de dados
pessoais ou financeiros para confirmar a identidade do destinatário.

 Tailgating - quando um invasor rapidamente segue uma pessoa autorizada em um local seguro.

 Something for Something (Quid pro quo) - ocorre quando um invasor solicita informações
pessoais de uma pessoa em troca de algo, como um presente.

Um Caso Prático: Quebra de Senha para acesso a Rede Wifi 

Engenharia social – o invasor manipula uma pessoa que conhece a senha para fornecê-la.

Ataques de força bruta – o invasor tenta várias senhas possíveis na tentativa de adivinhar a correta. Se
a senha for um número de 4 dígitos, por exemplo, o invasor precisaria tentar cada uma das 10.000
combinações. Ataques de força bruta, normalmente, envolvem um arquivo de lista de palavras. É um
arquivo de texto contendo uma lista de palavras tiradas de um dicionário. Um programa tenta, então, cada
palavra e combinações comuns. Como os ataques de força bruta levam tempo, senhas complexas
demoram mais tempo para serem descobertas. Algumas ferramentas de senha de força bruta incluem
Ophcrack L0phtCrack, THC-Hydra, RainbowCrack e Medusa.
Sniffing de rede – ao ouvir e capturar pacotes enviados na rede, um invasor poderá descobrir a senha,
se ela estiver sendo enviada sem criptografia (em texto sem formatação). Se a senha for criptografada, o
invasor ainda poderá revelá-la usando uma ferramenta de quebra de senha.

Phisping  O phishing ocorre quando uma parte mal-intencionada envia um e-mail fraudulento
disfarçado de uma fonte legítima e confiável. A intenção da mensagem é enganar o destinatário para
instalar o malware no dispositivo dele ou compartilhar informações pessoais ou financeiras. Um exemplo
de phishing é um e-mail falsificado para parecer que foi enviado de uma loja de varejo, solicitando que o
usuário clique em um link para receber um prêmio. O link pode ir para um site falso que pede informações
pessoais ou pode instalar um vírus.

Spear phishing é um ataque de phishing altamente direcionado. Embora o phishing e o spear

phishing usem e-mails para alcançar as vítimas, os e-mails do spear phishing são personalizados para
uma pessoa específica. O invasor pesquisa os interesses da vítima antes de enviar o e-mail. Por
exemplo, um invasor descobre que a vítima está interessada em carros, procurando um modelo
específico de carro para comprar. O invasor entra no mesmo fórum de discussão de carros utilizado pela
vítima, forja uma oferta de venda de carro e envia um e-mail para a vítima. O e-mail contém um link para
as fotos do carro. Quando a vítima clica no link, o malware é instalado no computador de destino.

Exploração de Vulnerabilidade  Explorar vulnerabilidades é outro método comum de

infiltração. Os invasores fazem a varredura de computadores para obter informações sobre eles.

Vejamos os métodos:

Etapa 1. Colete informações sobre o sistema de destino. Isto poderia ser feito de várias maneiras
diferentes como um scanner de porta ou engenharia social. O objetivo é aprender o máximo possível
sobre o computador de destino.

Etapa 2. Uma das informações relevantes que aprendeu na etapa 1 pode ser o sistema operacional, sua
versão e uma lista de serviços que ele executa.

Etapa 3. Quando o sistema operacional e a versão do alvo são conhecidos, o invasor procura quaisquer
vulnerabilidades conhecidas específicas para essa versão do sistema operacional ou outros serviços do
sistema operacional.

Etapa 4. Quando é encontrada uma vulnerabilidade, o invasor procura um exploit anteriormente escrito
para usar. Se nenhum exploit tiver sido escrito, o invasor pode considerar escrever um exploit.

Ameaças persistentes avançadas

Uma maneira de obter a infiltração é por Advanced Persistent Threat (APTs). Elas consistem em uma
operação multifase, de longo prazo, furtiva e avançada contra um alvo específico. Devido à sua
complexidade e ao nível necessário de qualificação profissional, a APT é geralmente bem financiada.
Uma APT aponta para empresas ou nações por motivos comerciais ou políticos.

Geralmente relacionada à espionagem pela rede, a finalidade da APT é implantar malware personalizado
em um ou vários dos sistemas-alvo e ainda continuar despercebida. Com várias fases da operação e
tipos personalizados de malware que afetam diferentes dispositivos e executam funções específicas, um
invasor individual frequentemente não tem o conjunto de qualificações profissionais, recursos ou
persistência para realizar APTs.

DOS

Os ataques de negação de serviço (DoS) são um tipo de ataque à rede. Um ataque de negação de
serviço (DoS) resulta em algum tipo de interrupção de serviço aos usuários, dispositivos ou aplicações.
Existem dois tipos principais de ataque de negação de serviço (DoS):

Grande quantidade de tráfego - quando uma rede, um host ou um aplicativo recebe uma enorme
quantidade de dados a uma taxa que não consegue processar. Isso causa uma desaceleração na
transmissão ou resposta ou uma falha em um dispositivo ou serviço.
Pacotes formatados de forma mal-intencionada - quando um pacote formatado de forma mal-
intencionada é enviado para um host ou aplicativo e o receptor não consegue contê-lo. Por exemplo, um
invasor encaminha pacotes com erros que não podem ser identificados pelo aplicativo ou encaminha
pacotes formatados incorretamente. Isso causa lentidão ou falha na execução do dispositivo receptor.

Os ataques de negação de serviço (DoS) são considerados um grande risco porque podem facilmente
interromper a comunicação e causar perda significativa de tempo e dinheiro. Esses ataques são
relativamente simples de conduzir, mesmo por um invasor não capacitado.

DDOS
Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de negação de serviço
(DoS), mas é proveniente de várias fontes coordenadas. Por exemplo, um ataque de negação de serviço
distribuída (DDoS) pode ocorrer da seguinte maneira:

Um invasor cria uma rede de hosts infectados, denominada botnet. Os hospedeiros infectados são
chamados de zumbis. Os zumbis são controlados por sistemas de controladores.

Os computadores zumbis examinam e infectam constantemente mais hosts, criando mais zumbis.
Quando está pronto, o hacker instrui os sistemas de controladores para fazer com que o botnet de zumbis
execute um ataque de negação de serviço distribuída (DDoS).

Envenenamento de SEO
SEO, abreviação de Search Engine Optimization (Otimização de mecanismos de busca), é um conjunto
de técnicas usadas para melhorar a classificação do site por um mecanismo de pesquisa. Embora muitas
empresas legítimas se especializem na otimização de sites para melhor posicioná-las, um usuário mal-
intencionado pode usar o SEO para que um site mal-intencionado fique mais alto nos resultados da
pesquisa. Esta técnica é chamada de envenenamento de SEO.

O objetivo mais comum do envenenamento de SEO é aumentar o tráfego em sites maliciosos que podem
hospedar malware ou executar engenharia social. Para forçar um site malicioso a obter uma classificação
mais elevada nos resultados de pesquisa, os invasores utilizam termos de busca populares.

Ataque Misto
Ataques mistos são ataques que usam várias técnicas para comprometer um alvo. Usando várias
técnicas de ataque diferentes ao mesmo tempo, os invasores têm um malware híbrido de worms, cavalos
de Troia, spyware, keyloggers, spam e esquemas de phishing. Esta tendência de ataques mistos está
revelando malwares mais complexos e colocando os dados do usuário em grande risco.
O tipo mais comum de ataque misto usa mensagens de e-mail de spam, mensagens instantâneas ou
sites legítimos para distribuir links onde o malware ou o spyware é secretamente baixado para o
computador. Outro ataque misto comum usa DDoS combinado com e-mails de phishing. Primeiro, o
DDoS é usado para derrubar o site de um banco popular e enviar e-mails para os clientes do banco,
pedindo desculpas pelo inconveniente. O e-mail também direciona os usuários para um site de
emergência forjado, onde suas informações reais de login podem ser roubadas.

Muitos dos worms que mais danificam o computador, como Nimbda, CodeRed, BugBear, Klez e Slammer,
são categorizados como ataques mistos, como mostrado abaixo:

 Algumas variantes de Nimbda utilizaram anexos de e-mail, downloads de arquivos de um servidor

da Web comprometido e compartilhamento de arquivos da Microsoft (por exemplo,
compartilhamentos anônimos) como métodos de propagação.

 Outras variantes do Nimbda foram capazes de modificar contas de convidado do sistema para
fornecer privilégios administrativos ao código malicioso ou ao invasor.

Os recentes worms Conficker e ZeuS/LICAT também foram ataques mistos. O Conficker usou todos os
métodos tradicionais de distribuição.

Redução no Impacto de Risco  Abaixo estão algumas medidas importantes que uma
empresa deve tomar quando é identificada uma violação de segurança, de acordo com muitos
especialistas de segurança:

 Comunique o problema. Internamente, os funcionários devem ser informados sobre problema e agir
rapidamente. Externamente, os clientes devem ser informados através de comunicação direta e
anúncios oficiais. A comunicação cria transparência, que é crucial neste tipo de situação.

 Seja sincero e responsável se a falha for da empresa.

 Forneça detalhes. Explique o motivo pelo qual a situação ocorreu e o que foi comprometido.
Também é esperado que a empresa assuma os custos dos serviços de proteção contra roubo de
identidade para os clientes afetados.

 Entenda o que causou e facilitou a violação. Se necessário, contrate especialistas em computação

forense para pesquisar e informar os detalhes.

 Aplique o que foi aprendido com a investigação de computação forense para não ocorrerem
violações semelhantes no futuro.

 Verifique se todos os sistemas estão limpos, nenhum backdoor foi instalado e nada mais foi
comprometido. Os invasores, muitas vezes, tentarão deixar um backdoor para facilitar futuras
violações. Certifique-se de que isso não aconteça.

 Oriente os funcionários, parceiros e clientes sobre como evitar futuras violações.

 Capítulo 3 – Proteção de Dados e Privacidade

 Mantenha o firewall ativado – seja um software de firewall ou um firewall de hardware em um

roteador, ele deve estar ativado e atualizado para impedir que hackers acessem dados pessoais ou
da empresa. Clique Windows 7 e 8,1. ou Windows 10 para ativar o firewall na respectiva versão do
Windows. Clique aqui para ativar o firewall em dispositivos Mac OS X.

 Use o antivírus e antispyware – software mal-intencionado, como vírus, cavalos de Troia, worms,
ransomware e spyware, é instalado nos dispositivos de computação sem a sua permissão, a fim de
obter acesso ao computador e aos dados. Os vírus podem destruir seus dados, deixar o
computador lento ou assumir seu computador. O vírus pode assumir o computador ao permitir que
os spammers enviem e-mails usando sua conta. O spyware pode monitorar suas atividades on-line,
coletar informações pessoais ou produzir anúncios pop-up indesejados no navegador da Web,
enquanto você estiver on-line. Uma regra adequada é baixar o software apenas de sites confiáveis,
principalmente para evitar o spyware. O software antivírus é projetado para verificar o computador e
o e-mail recebido à procura de vírus e excluí-los. Às vezes, o software antivírus também inclui
antispyware. Mantenha seu software atualizado para proteger o computador contra os mais
recentes softwares mal-intencionados.

 Gerencie o sistema operacional e o navegador – os hackers estão sempre tentando utilizar

vulnerabilidades em sistemas operacionais e navegadores da Web. Para proteger o computador e
os dados, defina as configurações de segurança no computador e navegador como intermediárias
ou altas. Atualize o sistema operacional do computador, incluindo navegadores da Web e,
regularmente, baixe e instale os patches de software mais recentes e atualizações de segurança
dos fornecedores.

 Proteja todos os dispositivos – os dispositivos de computação, sejam computadores, notebooks,

tablets ou smartphones, devem ser protegidos por senha para evitar acesso não autorizado. As
informações armazenadas devem ser criptografadas, principalmente para dados confidenciais. Para
dispositivos móveis, só armazene as informações necessárias, caso estes dispositivos sejam
roubados ou extraviados quando você estiver longe de sua casa. Se qualquer um dos dispositivos
estiver comprometido, os criminosos poderão ter acesso a todos os seus dados através do provedor
de serviços de armazenamento em nuvem, como o iCloud ou Google Drive.

Os dispositivos de IoT apresentam um risco ainda maior do que seus outros dispositivos de computação.
Enquanto desktop, notebook e plataformas móveis recebem atualizações de software frequentes, a
maioria dos dispositivos de IoT ainda mantêm o firmware original. Se vulnerabilidades forem encontradas
no firmware, o dispositivo de IoT provavelmente permanecerá vulnerável. Para piorar o problema, os
dispositivos de IoT muitas vezes são projetados para ligar para casa e precisam de acesso à Internet.
Para acessar a Internet, a maioria dos fabricantes de dispositivos de IoT depende da rede local do cliente.
O resultado é que os dispositivos de IoT provavelmente estão incluídos e, quando isso acontece,
permitem acesso à rede local e aos dados do cliente. A melhor maneira de se proteger neste cenário é
fazer com que os dispositivos de IoT usem uma rede isolada, compartilhando-a somente com outros
dispositivos de IoT.

Redes sem fio com segurança  Redes sem fio permitem que dispositivos habilitados com
WiFi, como notebooks e tablets, se conectem à rede através do identificador de rede, conhecido como
Service Set Identifier (SSID). Para impedir que invasores entrem na rede sem fio residencial, deve-se
alterar a senha padrão do SSID para acesso administrativo através do navegador. Os hackers têm
conhecimento a respeito deste tipo de informação de acesso padrão. Opcionalmente, o roteador sem fio
também pode ser configurado para não transmitir o SSID, que adiciona uma barreira adicional à
descoberta de rede. No entanto, isto não deve ser considerado uma segurança adequada para rede sem
fio. Além disso, você deve criptografar a comunicação sem fio ao permitir a segurança sem fio e o atributo
de criptografia WPA2 no roteador sem fio. Mesmo com a criptografia WPA2 habilitada, a rede sem fio
ainda pode estar vulnerável.

Em outubro de 2017, foi descoberta uma falha de segurança no protocolo WPA2. Essa falha permite a um
invasor quebrar a criptografia entre o roteador sem fio e o cliente sem fio, além de acessar e manipular o
tráfego de rede. Esta vulnerabilidade pode ser explorada usando Key Reinstallation Attacks (KRACK). Ela
afeta todas as redes WiFi modernas e protegidas. Para mitigar um invasor, um usuário deve atualizar
todos os produtos afetados: roteadores sem fio e qualquer dispositivo com capacidade para rede sem fio,
como notebooks e dispositivos móveis, assim que as atualizações de segurança forem disponibilizadas.
Em notebooks ou outros dispositivos que têm placa de rede com fio, uma conexão com fio pode mitigar
essa vulnerabilidade. Além disso, você também pode usar um serviço VPN confiável para impedir o
acesso não autorizado aos seus dados enquanto estiver usando a rede sem fio.

Quando você estiver longe de casa, um ponto de acesso de WiFi público permite acessar as informações
on-line e navegar na Internet. No entanto, é melhor não acessar ou enviar informações pessoais e
confidenciais em uma rede sem fio pública. Verifique se o computador está configurado com o
compartilhamento de arquivos e mídia e se ele requer autenticação de usuário com criptografia. Para
impedir que alguém intercepte as informações (conhecidas como "espionagem") enquanto estiver usando
uma rede sem fio pública, utilize serviços e túneis VPN criptografados. O serviço VPN fornece acesso
seguro à Internet, com uma conexão criptografada entre o computador e o servidor VPN do provedor de
serviços VPN. Com um túnel VPN criptografado, mesmo se for interceptada uma transmissão de dados,
ela não será decifrável.

Muitos dispositivos móveis, como smartphones e tablets, vêm com o protocolo sem fio Bluetooth. Esse
recurso permite que dispositivos habilitados para Bluetooth conectem-se entre si e compartilhem
informações. Infelizmente, o Bluetooth pode ser explorado por hackers para bisbilhotar alguns
dispositivos, estabelecer controles de acesso remoto, distribuir malware e drenar as baterias. Para evitar
esses problemas, mantenha o Bluetooth desligado quando você não estiver usando.

Dicas para uma boa senha 

 Não use palavras do dicionário ou nomes em qualquer idioma

 Não use erros ortográficos comuns de palavras do dicionário

 Não use nomes de computador ou de contas

 Se possível use caracteres especiais, como ! @ # $ % ^ & * ( )

 Use uma senha com 10 ou mais caracteres.

Frases Secretas, alternativas para elaborar senhas, veja algumas dicas 

Dicas para escolher uma boa senha:

 Escolha uma frase significativa para você

 Adicione caracteres especiais, como ! @ # $ % ^ & * ( )

 Quanto maior melhor

 Evite frases comuns ou famosas, como a letra de uma música famosa

Resumo das novas orientações:

 No mínimo 8 caracteres e no máximo 64 caracteres

 Não use senhas comuns e fáceis de ser descobertas, como a senha abc123

 Não aplique regras de composição, como ter que incluir números e letras maiúsculas e minúsculas

 Melhore a precisão da digitação, permitindo que o usuário não veja a senha durante a digitação

 Todas as marcas de formatação e espaços são permitidos

  Não use dicas para senhas

 Não aplique expiração de senha periódica ou arbitrária

 Nenhuma autenticação baseada em conhecimento, como informações de perguntas secretas

compartilhadas, dados comerciais e histórico de transações

Criptografia

Criptografia é o processo de converter as informações em um formato que não pode ser lido por uma
pessoa não autorizada. Somente uma pessoa confiável, autorizada com a chave secreta ou uma senha
pode descriptografar os dados e acessá-los em sua forma original. A criptografia em si não impede que
alguém intercepte os dados. A criptografia só pode impedir uma pessoa não autorizada de exibir ou
acessar o conteúdo.

Criptografia no Windows Microsoft:

O EFS (Encrypting File System, Sistema de Criptografia de Arquivos) é uma característica do Windows
que pode criptografar dados. O EFS está vinculado diretamente a uma conta de usuário específica.
Apenas o usuário que criptografou os dados poderá acessá-los depois de eles terem sido criptografados
usando EFS. Para criptografar os dados usando EFS em todas as versões do Windows, siga estes
passos:

Passo 1. Selecione um ou mais arquivos ou pastas.

Passo 2. Clique com o botão direito nos dados selecionados >Propriedades.

Passo 3. Clique em Avançado...

Passo 4. Marque a caixa de seleção Criptografar conteúdo para proteger os dados.

Passo 5. Os arquivos e as pastas que foram criptografados com EFS são exibidos em verde, como
mostrado na figura.
 Auth 2.0

Open Authorization (OAuth) é um protocolo padrão aberto que permite às credenciais de um usuário final
acessar aplicativos de terceiros sem expor a senha do usuário. OAuth funciona como o intermediário para
decidir se deseja permitir aos usuários finais o acesso a aplicativos de terceiros. Por exemplo, digamos
que você deseja acessar o aplicativo da Web XYZ e não tem uma conta de usuário para acessá-lo. No
entanto, o XYZ tem a opção de permitir que você faça logon usando as credenciais de um site de redes
sociais ABC. Então, acesse o site usando o logon de redes sociais.

Para que isso funcione, o aplicativo “XYZ” é registrado com “ABC” e está aprovado. Quando você acessar
XYZ, usará suas credenciais de usuário de ABC. Então, XYZ solicita um token de acesso do ABC em seu
nome. Agora, você tem acesso ao XYZ. XYZ não sabe nada sobre você e suas credenciais de usuário, e
essa interação é totalmente simples para o usuário. Usar tokens secretos impede que um aplicativo mal-
intencionado receba suas informações e seus dados.

Capítulo 4 – Proteção da Empresa

Tipos de Firewall  O firewall é uma parede ou partição projetada para impedir que o fogo se
espalhe de uma parte de um edifício para outra. Em redes de computador, um firewall controla ou filtra
quais comunicações podem entrar ou sair de um dispositivo ou uma rede, como mostrado na figura. Um
firewall pode ser instalado em um único computador com o objetivo de protegê-lo (firewall baseado em
host), ou pode ser um dispositivo de rede autônomo que protege uma rede de computadores e todos os
dispositivos hospedados na rede (firewall pela rede).

 Firewall de camada de rede – filtragem baseada em endereços IP de origem e destino

 Firewall de camada de transporte – filtragem baseada em portas de origem e destino de dados e

em estados de conexão

 Firewall de camada de aplicação – filtragem baseada em aplicativo, programa ou serviço

 Firewall de aplicação com reconhecimento de contexto – filtragem baseada em usuário,

dispositivo, função, tipo de aplicativo e perfil de ameaça

 Servidor proxy – filtragem de solicitações de conteúdo da Web, como URL, domínio, mídia etc.

 Servidor proxy reverso – colocado na frente de servidores da Web, os servidores proxy protegem,
ocultam, fazem o offload e distribuem o acesso a servidores da Web

 Firewall Network Address Translation (NAT) – oculta ou disfarça os endereços privados de hosts
de rede

 Firewall baseado em host – filtragem de portas e chamadas de serviço do sistema em um sistema

operacional de computador único
Varredura de Porta  A varredura de porta é um processo de sondagem de um computador,
servidor ou outro host de rede em busca de portas abertas. Na rede, cada aplicativo em execução em um
dispositivo recebe um identificador ou número de porta. Esse número da porta é usado em ambas as
extremidades da transmissão para que os dados certos sejam passados ao aplicativo correto. A varredura
de porta pode ser usada de forma mal-intencionada como uma ferramenta de reconhecimento para
identificar o sistema operacional e os serviços em execução em um host ou computador, ou pode ser
usada por um administrador de rede, sem causar danos, para verificar as políticas de segurança da rede.

Para avaliar a segurança de porta e o firewall da rede do computador, use uma ferramenta de varredura
de porta, como Nmap, para localizar todas as portas abertas na rede. A varredura de porta pode ser
considerada como um precursor para um ataque à rede e, portanto, não deve ser feita em servidores
públicos na Internet ou em uma rede corporativa sem permissão.

Para executar uma varredura de porta Nmap de um computador na rede domiciliar local, baixe e inicialize
um programa como o Zenmap, forneça o endereço IP de destino do computador que você gostaria de
verificar, escolha um perfil de varredura padrão e inicie a varredura. A varredura Nmap relatará quaisquer
serviços em execução (por exemplo, serviços da Web, serviços de e-mail etc.) e os números de porta. A
varredura de uma porta geralmente resulta em uma destas três respostas:

 Aberta ou aceita – o host respondeu indicando que um serviço está escutando na porta.

 Fechada, negada ou não escutando – o host respondeu indicando que as conexões serão
negadas à porta.

 Filtrada, descartada ou bloqueada – não houve resposta do host.

Para executar uma varredura de porta da rede a partir de fora da rede, inicie a varredura de fora da rede.
Isto implicará na execução de uma varredura de porta Nmap no seu firewall ou endereço IP público do
roteador. Para descobrir seu endereço IP público, use um mecanismo de pesquisa, como o Google, com
a consulta "qual é o meu endereço IP". O mecanismo de pesquisa retornará seu endereço IP público.
Equipamentos de Segurança 

Roteadores - o Cisco Integrated Services Router (ISR), mostrado na Figura 1, tem muitos recursos de
firewall, além de funções apenas de roteamento, incluindo a filtragem de tráfego, a capacidade de
executar um IPS (sistema de prevenção de intrusão), a criptografia e os recursos de VPN para
tunelamento criptografado seguro.

Firewalls - firewalls de última geração da Cisco têm todos os recursos de um roteador ISR, bem como
gerenciamento avançado de redes e análise. O Cisco Adaptive Security Appliance (ASA) com recursos de
firewall é mostrado na Figura 2.

IPS - dispositivos IPS de última geração da Cisco, mostrados na Figura 3, são dedicados à prevenção de
intrusão.

VPN - os equipamentos de segurança da Cisco são equipados com tecnologias de cliente e servidor de
uma rede privada virtual (VPN). Eles são projetados para tunelamento criptografado seguro.

Malware/antivírus - O Cisco Advanced Malware Protection (AMP) vem na próxima geração de

roteadores, firewalls, dispositivos IPS, dispositivos de segurança da Web e e-mail da Cisco e também
pode ser instalado como um software em computadores host.

Outros dispositivos de segurança – esta categoria inclui dispositivos de segurança de e-mail e Web,
dispositivos de decriptografia, servidores de controle de acesso para cliente e sistemas de gerenciamento
de segurança.
Detecção de ataques em tempo real 

 Varredura em tempo real da borda para o endpoint - a detecção de ataques em tempo real
requer a varredura ativa de ataques usando firewall e dispositivos de rede IDS/IPS. A detecção de
malware de cliente/servidor de última geração com conexões a centros de ameaças on-line globais
também deve ser usada. Atualmente, os softwares e dispositivos de varredura ativos devem
detectar anomalias de rede usando a detecção de comportamento e análise baseada em contexto.

 Ataques de DDoS e resposta em tempo real - DDoS é a maior ameaça de ataque, que exige
resposta e detecção em tempo real. É extremamente difícil se defender de ataques de DDoS, pois
eles originam centenas ou milhares de hosts zumbis e aparecem como tráfego legítimo, conforme
mostrado na figura. Para muitas empresas, os ataques de DDoS que ocorrem regularmente
prejudicam os servidores de Internet e a disponibilidade de rede. A capacidade de detectar e
responder a ataques de DDoS em tempo real é crucial.
Proteção contra Malware 

AMP é um software de servidor/cliente, implantado em dispositivos finais (endpoints), como um servidor

autônomo, ou em outros dispositivos de segurança de rede. A figura mostra os benefícios do AMP Threat
Grid.
Práticas Recomendadas de Segurança 

 Realizar a avaliação de risco – Saber o valor do que você está protegendo ajudará a justificar as
despesas de segurança.

 Criar uma política de segurança – Criar uma política que define claramente as regras da empresa,
os deveres e as expectativas do trabalho.

 Medidas de segurança física – Restringir o acesso a racks de rede, locais de servidor, bem como
supressão de fogo.

 Medidas de segurança de recursos humanos – Os antecedentes dos funcionários devem ser

devidamente pesquisados.

 Executar e testar backups – Fazer backups regulares e teste de recuperação de dados de

backups.

 Manter atualizações e patches de segurança – Atualizar regularmente o servidor e os sistemas

operacionais e programas de dispositivos de rede e do cliente.

 Empregar controles de acesso – Configurar funções de usuário e níveis de privilégio, bem como
autenticação forte ao usuário.

 Testar regularmente a resposta a incidentes – Empregar uma equipe de resposta a incidentes e

testar cenários de resposta a emergências.

 Implementar uma rede de monitoramento, análise e ferramenta de gerenciamento - Escolher

uma solução de gerenciamento de segurança que se integra a outras tecnologias.

 Implementar dispositivos de segurança de rede – Use roteadores next generation, firewalls e

outros dispositivos de segurança.

 Implementar uma solução abrangente de segurança de endpoint – Use software antivírus e

antimalware de nível corporativo.

 Treinar os usuários – Treinar os usuários e funcionários nos procedimentos de segurança.

 Criptografar dados – Criptografar todos os dados confidenciais da empresa, incluindo e-mail.

Botnet

Uma botnet é um grupo de robôs (bots), conectados pela Internet, com a capacidade de ser controlado
por um indivíduo ou grupo mal-intencionado. Um computador bot normalmente é infectado por visitar um
site, abrir um anexo de e-mail ou abrir um arquivo de mídia infectado.

Uma botnet pode ter dezenas de milhares, ou até mesmo centenas de milhares, de robôs. Esses robôs
podem ser ativados para distribuir malware, lançar ataques de DDoS, distribuir e-mail de spam ou
executar ataques de senha de força bruta. Botnets são geralmente controlados por um servidor de
comando e controle.

Os criminosos virtuais frequentemente alugam Botnets, por uma taxa, para terceiros com finalidade
inapropriada.
 Cyber Kill Chain

Em segurança cibernética, a Kill Chain consiste nas etapas de um ataque de sistemas de informação.
Desenvolvida pela Lockheed Martin como uma estrutura de segurança para detecção e resposta a
incidente, a Cyber Kill Chain é composta das seguintes etapas:

Etapa 1. Reconhecimento - o invasor reúne informações sobre o alvo.

Etapa 2. Armamento - o invasor cria um exploit e payload mal-intencionado para enviar ao alvo.

Etapa 3. Entrega -o invasor envia o exploit e o payload mal-intencionado para o alvo por e-mail ou outro
método.

Etapa 4. Exploração - o exploit é executado.

Etapa 5 Instalação - malware e backdoors são instalados no alvo.

Etapa 6. Comando e controle - controle remoto do alvo é adquirido por um servidor ou canal de
comando e controle.

Etapa 7. Ação - o invasor executa ações mal-intencionadas, como roubo de informações, ou executa
ataques adicionais em outros dispositivos de dentro da rede, percorrendo novamente as etapas da Kill
Chain.

Para se defender contra a Kill Chain, as defesas de segurança de rede são projetadas contra essas
etapas. Estas são algumas perguntas sobre as defesas de segurança da empresa, com base na Cyber
Kill Chain:
• Quais são os indicadores de ataque em cada etapa da Kill Chain?

• Quais ferramentas de segurança são necessárias para detectar os indicadores de ataque em cada uma
das etapas?

• Existem lacunas na capacidade de a empresa detectar um ataque?

De acordo com a Lockheed Martin, compreender as etapas de Kill Chain permitiu colocar obstáculos
defensivos, retardar o ataque e, finalmente, evitar a perda de dados.
 Segurança baseada em comportamento

Segurança baseada em comportamento é uma forma de detecção de ameaças que não depende de
assinaturas mal-intencionadas conhecidas, mas em vez disso, usa o contexto de informações para
detectar anomalias na rede. A detecção baseada em comportamento envolve capturar e analisar o fluxo
de comunicação entre um usuário na rede local e um destino local ou remoto. Estas comunicações,
quando capturadas e analisadas, revelam o contexto e os padrões de comportamento que podem ser
usados para detectar anomalias. A detecção baseada em comportamento pode descobrir a presença de
um ataque por uma mudança no comportamento normal.

 Honeypots - a Honeypot é uma ferramenta de detecção baseada em comportamento que primeiro

atrai o invasor apelando ao padrão previsto de comportamento malicioso, e então, quando dentro
da honeypot, o administrador de rede pode capturar, registrar e analisar o comportamento do
invasor. Isso permite que um administrador obtenha mais conhecimento e desenvolva uma defesa
melhor.

 Arquitetura de soluções da Threat Defense Cyber da Cisco - esta é uma arquitetura de

segurança que usa detecção baseada em comportamento e indicadores para fornecer maior
visibilidade, contexto e controle. O objetivo é saber quem, o quê, onde, quando e como um ataque
está ocorrendo. Essa arquitetura de segurança usa muitas tecnologias de segurança para atingir
esse objetivo.
 Tecnologia NetFlow

A Tecnologia NetFlow é usada para coletar informações sobre dados fluindo por uma rede. As
informações do NetFlow podem ser comparadas a uma conta de telefone para seu tráfego de rede. Ele
mostra quem e o que são dispositivos na sua rede, quando e como os usuários e dispositivos acessaram
a sua rede. O NetFlow é um componente importante na análise e detecção baseada em comportamento.
Switches, roteadores e firewalls equipados com NetFlow podem relatar informações sobre dados que
entram, saem e se deslocam pela rede. As informações são enviadas para os coletores NetFlow que
coletam, armazenam e analisam registros de NetFlow.

O NetFlow é capaz de coletar informações sobre o uso por muitas características diferentes de como os
dados são movidos através da rede, como mostrado na figura. Ao coletar as informações sobre os fluxos
de dados de rede, o NetFlow é capaz de estabelecer comportamentos de parâmetros em mais de 90
diferentes atributos.

CSIRT

Muitas empresas de grande porte têm uma Equipe de resposta a incidentes de segurança computacional
(CSIRT) para recepção, análise e resposta de incidentes de segurança de computador.

A principal missão da CSIRT é ajudar a garantir a preservação de dados, do sistema e da empresa pela
realização de investigações abrangentes sobre incidentes de segurança computacional. Para evitar
incidentes de segurança, a CSIRT da Cisco fornece avaliação proativa de riscos, planejamento de
mitigação, análise de tendência de incidentes e revisão da arquitetura de segurança.
A CSIRT da Cisco colabora com a Forum of Incident Response and Security Teams (FIRST), National
Safety Information Exchange (NSIE), Defense Security Information Exchange (DSIE) e o DNS Operations
Analysis and Research Center (DNS-OARC).

Existem empresas de CSIRT nacionais e públicas, como a divisão de CERT do Instituto de Engenharia de
Software na Universidade Carnegie Mellon, que estão disponíveis para ajudar empresas e CSIRTs
nacionais a desenvolver, operar e melhorar os recursos de gerenciamento de incidentes.
 Manual de Segurança

Um manual de segurança é uma coleção de consultas repetidas (relatórios) em fontes de dados de

evento de segurança que levam à detecção e resposta a incidente. O manual de segurança deve realizar
as seguintes ações:

 Detectar máquinas infectadas com malware.

 Detectar atividades suspeitas na rede.

 Detectar tentativas de autenticação irregulares.

 Descrever e compreender o tráfego de entrada e de saída.

 Fornecer informações resumidas, incluindo tendências, estatísticas e contagens.

 Dar acesso útil e rápido a estatísticas e métricas.

 Correlacionar eventos em todas as fontes de dados relevantes.

Ferramentas de prevenção e detecção de incidentes

 SIEM – um sistema de informações de segurança e gerenciamento de eventos (SIEM) é um

software que recolhe e analisa os alertas de segurança, registros e outros dados históricos e em
tempo real dos dispositivos de segurança na rede.

 DLP – o software de prevenção de perda de dados (DLP) é um sistema de software ou hardware

projetado para impedir que os dados confidenciais sejam roubados ou vazem de uma rede. Um
sistema DLP pode abordar a autorização de acesso de arquivo, a troca de dados, cópia de dados,
monitoramento das atividades do usuário e muito mais. Os sistemas DLP são projetados para
monitorar e proteger dados em três estados diferentes: dados em uso, dados em movimento e
dados em repouso. Dados em uso são focados no cliente, dados em movimento se referem aos
dados em deslocamento pela rede e dados em repouso se referem ao armazenamento de dados.

 Cisco TrustSec e ISE – Cisco Identity Services Engine (Cisco ISE) e Cisco TrustSec executam o
acesso aos recursos da rede através da criação de políticas de controle de acesso por função, que
segmentam o acesso à rede (convidados, usuários de dispositivos móveis, funcionários) sem mais
complexidade. A classificação de tráfego baseia-se na identidade do usuário ou dispositivo. Clique
em Play (Reproduzir) na figura para obter mais informações sobre ISE.

IDS e IPS
Um sistema de detecção de invasão (IDS), mostrado na figura, é um dispositivo de rede dedicado, ou
uma das várias ferramentas em um servidor ou firewall que varre os dados em um banco de dados de
regras ou de assinaturas de ataques, à procura de tráfego mal-intencionado. Se uma correspondência for
detectada, o IDS registrará a detecção de registro e criará um alerta para um administrador de rede. O
sistema de detecção de invasão não age quando uma correspondência é detectada, então não impede os
ataques. O trabalho do IDS é apenas detectar, registrar e relatar.

A varredura realizada pelo IDS deixa a rede mais lenta (conhecido como latência). Para se prevenir contra
o atraso de rede, um IDS é geralmente colocado off-line, separado do tráfego de rede regular. Dados são
copiados ou espelhados por um switch e então encaminhados para o IDS para a detecção off-line.
Também existem ferramentas de IDS que podem ser instaladas sobre o sistema operacional do
computador, como o Linux ou Windows.

Um IPS (sistema de prevenção de intrusão) tem a capacidade de bloquear ou negar o tráfego com base
em uma correspondência de regra ou assinatura positiva. Um dos sistemas mais conhecidos de IPS/IDS
é o Snort. A versão comercial do Snort é o Sourcefire da Cisco. O Sourcefire tem a capacidade de
executar o tráfego em tempo real e análise de porta, gerar registros, buscar e corresponder conteúdo e
pode detectar probes, ataques e varreduras de portas. Ele também se integra com outras ferramentas de
terceiros para geração de relatórios, análise de desempenho e registro.
Capitulo 5 – Futuro na Segurança Cibernética