Curso - Cisco Netacad

Prévia do material em texto

- Curso - Cisco Netacad -
O que é a segurança cibernética?
A rede conectada de informações eletrônicas tornou-se parte integrante de nossas vidas diárias. Todos os
tipos de empresas, como médicas, �nanceiras e as instituições de ensino, usam essa rede para operarem com
e�ciência. Utilizam a rede ao coletar, processar, armazenar e compartilhar grandes quantidades de
informações digitais. À medida que mais informações digitais são coletadas e compartilhadas, a proteção
dessas informações se torna ainda mais essencial para nossa segurança nacional e estabilidade econômica.
A segurança cibernética é o esforço contínuo para proteger esses sistemas em rede e todos os dados de usos
não autorizados ou prejudiciais. Como indivíduo, você precisa proteger sua identidade, seus dados e seus
dispositivos de computação. No nível corporativo, é responsabilidade de todos proteger a reputação, os
dados e os clientes da empresa. Como Estado, a segurança nacional e o bem-estar dos cidadãos estão em jogo.
Sua identidade on-line e o�-line
Quanto mais tempo passamos on-line, sua identidade, on-line ou o�-line, pode afetar sua vida. Sua
identidade o�-line é a pessoa que interage diariamente com seus amigos e família, em casa, na escola ou no
trabalho. Eles conhecem suas informações pessoais, como nome, idade ou onde você mora. Sua identidade
on-line é você no espaço cibernético. Sua identidade online é como você se apresenta aos outros on-line. A
identidade on-line só deve revelar uma quantidade limitada de informações sobre você.
Você deve ter cuidado ao escolher um nome de usuário ou alias para sua identidade on-line. O nome de
usuário não deve incluir informações pessoais. Deve ser algo apropriado e respeitoso. O nome de usuário não
deve fazer com que estranhos pensem que você é um alvo fácil para crimes cibernéticos ou atenção
indesejada.
Seus dados
Qualquer informação sobre você pode ser considerada seus dados. Essa informação pessoal pode identi�cá-lo
unicamente como um indivíduo. Esses dados incluem as fotos e as mensagens que você troca on-line com
sua família e amigos. Outras informações, como nome, CPF, data e local de nascimento, ou o nome de
solteira da mãe, são conhecidas por você e usadas para identi�cá-lo. Informações médicas, educacionais,
�nanceiras e de emprego também podem ser usadas para identi�cá-lo on-line.
● Registros médicos
Cada vez que você vai ao médico, mais informações são adicionadas aos seus registros de saúde eletrônicos
(Electronic Health Records - EHRs). A prescrição do seu médico de família torna-se parte do seu EHR. O
EHR inclui sua saúde física, saúde mental e outras informações pessoais que podem não estar relacionadas
aos registros médicos. Por exemplo, se você passou por tratamento psicológico quando criança, devido a
grandes mudanças na família, esse registro estará em algum lugar nas suas �chas médicas. Além do seu
histórico médico e das informações pessoais, o EHR também pode incluir informações sobre sua família.
Dispositivos médicos, como monitores de sinais vitais, usam a plataforma de nuvem para permitir
transferência, armazenamento e a exibição sem �o de dados clínicos, como batimentos cardíacos, pressão
arterial e taxa de glicose no sangue. Esses dispositivos podem gerar um enorme volume de dados clínicos que
poderiam se tornar parte das suas �chas médicas.
● Registros de educação
Ao longo da sua vida escolar e acadêmica, informações sobre notas e resultados de testes, presenças, cursos
concluídos, prêmios e graus concedidos, além de relatórios disciplinares, podem ter sido adicionadas no seu
registro escolar. Esse registro também pode incluir informações de contato, históricos de saúde e imunização
e registros de educação especial, incluindo IEPs (Individualized education programs, Programas de educação
individualizada).
● Registros de emprego e �nanceiros
Seus registros �nanceiros podem incluir informações sobre receitas e despesas. Os registros �scais poderiam
incluir canhotos de holerites, faturas de cartão de crédito, sua classi�cação de crédito e outras informações
bancárias. Suas informações de emprego podem incluir empregos anteriores e desempenho.
Onde estão seus dados?
Estas informações são sobre você. Existem diferentes leis que protegem a privacidade e os dados no seu país.
Mas você sabe onde estão seus dados?
Quando você está no consultório, a conversa com o médico é registrada na sua �cha médica. Para efeitos de
cobrança, essas informações podem ser compartilhadas com a empresa de seguros para garantir a qualidade e
a cobrança adequadas. Agora, uma parte do seu registro médico para a visita também está na empresa de
seguros.
Os cartões de �delidade da loja podem ser uma maneira conveniente de guardar dinheiro para suas compras.
No entanto, a loja está compilando um per�l de suas compras e faz uso dessas informações. O per�l mostra
que um comprador adquire uma determinada marca e sabor de pasta de dentes regularmente. A loja usa
essas informações para enviar ao comprador ofertas especiais do parceiro de marketing. Usando o cartão de
�delidade, a loja e o parceiro de marketing têm um per�l para o comportamento de compra do cliente.
Quando você compartilha suas fotos on-line com seus amigos, sabe quem pode ter uma cópia das fotos? As
cópias das fotos estão em seus próprios dispositivos. Seus amigos podem ter cópias dessas fotos baixadas em
seus dispositivos. Se as fotos forem compartilhadas publicamente, estranhos também poderão ter cópias
delas. Eles podem baixar as fotos ou fazer capturas de tela. Como as fotos foram postadas on-line, elas
também estão salvas em servidores localizados em diferentes partes do mundo. Agora as fotos já não são
encontradas apenas em seus dispositivos de computação.
Seus dispositivos de computação
Seus dispositivos de computação não armazenam somente dados. Agora, esses dispositivos tornaram-se o
portal para seus dados e geram informações sobre você.
A menos que tenha escolhido receber o extrato em papel de todas as suas contas, você usa seus dispositivos de
computação para acessar os dados. Se você quiser uma cópia digital da fatura mais recente do cartão de
crédito, use seus dispositivos de computação para acessar o site do emissor do cartão de crédito. Se quiser
pagar a fatura do cartão de crédito on-line, acesse o site do banco para transferir o dinheiro usando seus
dispositivos de computação. Além de permitir acessar suas informações, os dispositivos de computação
também podem gerar informações sobre você.
Com todas essas informações sobre você disponíveis on-line, seus dados pessoais tornaram-se rentáveis para
os hackers.
Eles querem seu dinheiro
Se você tem algo de valor, os criminosos querem.
Suas credenciais on-line são valiosas. Essas credenciais concedem aos ladrões acesso às suas contas. Você pode
pensar que as milhas de �delidade de viagem não são importantes para os criminosos digitais. Reconsidere.
Depois de aproximadamente 10.000 contas da American Airlines e United Airlines terem sido hackeadas, os
criminosos digitais reservaram voos e upgrades gratuitos usando essas credenciais roubadas. Mesmo que as
milhas de �delidade de viagem tenham sido devolvidas aos clientes pelas companhias aéreas, foi comprovado
o valor das credenciais de login. Um criminoso também poderia utilizar seus relacionamentos. Eles podem
acessar suas contas on-line e sua reputação para induzi-lo a transferir dinheiro para amigos ou familiares. O
criminoso pode enviar mensagens informando que você precisa transferir dinheiro para algum familiar ou
amigo que está em outro país e perdeu a carteira para que ele possa voltar para casa.
Os criminosos são muito criativos quando tentam induzir você a gastar dinheiro. Eles não apenas roubam
seu dinheiro, também poderiam roubar sua identidade e arruinar sua vida.
Eles querem sua identidade
Além de roubar seu dinheiro para obter um ganho monetário de curto prazo, ao roubar sua identidade, os
criminososquerem lucros a longo prazo.
À medida que aumentam os custos médicos, cresce também o roubo de identidade médica. Os ladrões de
identidade podem roubar seu seguro médico e usar os benefícios, e esses procedimentos médicos �cam nos
seus registros médicos.
Os procedimentos de preenchimento do imposto de renda anual podem variar de acordo com o país, no
entanto, os criminosos virtuais consideram isso uma oportunidade. Por exemplo, a população dos Estados
Unidos precisa apresentar seus impostos até 15 de abril de cada ano. O Internal Revenue Service (IRS) só
veri�ca em julho as informações do empregador para a devolução de imposto. Um ladrão de identidade pode
apresentar uma declaração �scal falsa e recolher o reembolso. Os servidores de dados legítimos vão notar
quando suas devoluções forem rejeitadas pelo IRS. Com a identidade roubada, também podem abrir contas
de cartão de crédito e acumular dívidas em seu nome, causando danos à sua classi�cação de crédito e
di�cultando a obtenção de empréstimos.
As credenciais pessoais também podem resultar no acesso a dados corporativos e governamentais.
Tipo de dados corporativos
● Dados Tradicionais
Dados corporativos incluem informações de funcionários, propriedades intelectuais e informações
�nanceiras. As informações de funcionários incluem materiais de aplicação, folha de pagamento, cartas de
oferta, contratos de funcionários e todas as informações usadas na tomada de decisões de emprego.
Propriedade intelectual, como patentes, marcas registradas e planos de novos produtos, permite que uma
empresa obtenha vantagem econômica sobre seus concorrentes. Essa propriedade intelectual pode ser
considerada um segredo comercial. Perder essas informações pode ser desastroso para o futuro da empresa.
As informações �nanceiras, como declarações de rendimentos, balanços e demonstrações de �uxo de caixa de
uma empresa, proporcionam detalhes sobre a integridade da empresa.
● A Internet das Coisas e Big Data
Com o surgimento da Internet das Coisas (IoT), há muito mais dados para gerenciar e proteger. A IoT é
uma grande rede de objetos físicos, como sensores e equipamentos, que se estendem além da rede tradicional
de computadores. Todas essas conexões, além de termos maior capacidade de armazenamento e de serviços
de armazenamento na nuvem e na virtualização, geraram o crescimento exponencial dos dados. Esses dados
criaram uma nova área de interesse na tecnologia e nos negócios, chamada "Big Data". Com a velocidade, o
volume e a variedade de dados gerados pela IoT e pelas operações diárias de negócios, a con�dencialidade, a
integridade e a disponibilidade desses dados são essenciais para a sobrevivência da empresa
Con�dencialidade, integridade e disponibilidade
Con�dencialidade, integridade e disponibilidade, conhecida como a Tríade CID (Figura 1), são diretrizes de
segurança da informação de uma empresa. A con�dencialidade garante a privacidade dos dados, restringindo
o acesso através de autenticação por criptogra�a. A integridade garante que as informações sejam precisas e
con�áveis. A disponibilidade garante que as informações possam ser acessadas por pessoas autorizadas.
● Con�dencialidade
Um outro termo para con�dencialidade seria privacidade. As políticas da empresa devem restringir o acesso
às informações ao pessoal autorizado e veri�car se apenas os indivíduos autorizados visualizam esses dados.
Os dados podem ser divididos de acordo com a segurança ou o nível de con�dencialidade da informação. Por
exemplo, um desenvolvedor de programa Java não deve ter acesso às informações pessoais de todos os
funcionários. Além disso, os funcionários devem receber treinamento para entender as melhores práticas de
proteção de informações con�denciais para sua segurança e da empresa. Os métodos para garantir a
con�dencialidade incluem criptogra�a de dados, ID de usuário e senha, autenticação de dois fatores e
diminuição da exposição de informações con�denciais.
● Integridade
A integridade é a precisão, a consistência e a con�abilidade dos dados durante todo o seu ciclo de vida. Os
dados devem permanecer inalterados durante o trânsito e não modi�cados por entidades não autorizadas. As
permissões e controle de acesso de usuário podem impedir o acesso não autorizado a arquivos. O controle de
versão pode ser usado para evitar alterações acidentais feitas por usuários autorizados. Os backups devem
estar disponíveis para restaurar quaisquer dados dani�cados, e o hash da soma de veri�cação pode ser usado
para veri�car a integridade dos dados durante a transferência.
Uma soma de veri�cação é usada para veri�car a integridade dos arquivos, ou de strings de caracteres, depois
de terem sido transferidos de um dispositivo para outro pela rede local ou pela Internet. As somas de
veri�cação são calculadas com funções hash. Algumas das somas de veri�cação comuns são MD5, SHA-1,
SHA-256 e SHA-512. Uma função hash usa um algoritmo matemático para transformar os dados no valor
de tamanho �xo que os representa, conforme mostrado na Figura 2. O valor de hash está simplesmente ali
para comparação. Com o valor de hash, os dados originais não podem ser recuperados diretamente. Por
exemplo, se você esquecer a senha, ela não poderá ser recuperada com o valor hash. A senha deve ser
rede�nida.
Depois de baixar um arquivo, você pode veri�car a integridade com os valores de hash da fonte em relação
aos que foram gerados usando qualquer calculadora de hash. Ao comparar os valores de hash, você pode
garantir que o arquivo não tenha sido adulterado ou dani�cado durante a transferência.
● Disponibilidade
Manutenção de equipamentos, reparos de hardware, atualização de software e sistemas operacionais e
criação de backups garantem a disponibilidade da rede e dos dados para usuários autorizados. Os planos
devem estar implantados para recuperação rápida de catástrofes naturais ou provocadas pelo homem.
Equipamentos de segurança ou software, como �rewalls, protegem contra o período de inatividade devido a
ataques de negação de serviço (Denial of Service - DoS). A negação de serviço ocorre quando um invasor
tenta sobrecarregar os recursos para que os serviços não estejam disponíveis para os usuários.
As consequências de uma violação de segurança
Proteger uma empresa contra cada possível ataque cibernético não é viável, por alguns motivos. Os
conhecimentos necessários para con�gurar e manter a rede segura podem ser caros. Os invasores sempre
encontrarão novas formas de atingir as redes. Um ataque cibernético avançado e com alvo especí�co será
bem-sucedido. A prioridade então será a velocidade com a qual a sua equipe de segurança poderá responder
ao ataque para minimizar a perda de dados, o período de inatividade e a receita.
Até agora, você sabe que tudo o que for publicado on-line pode �car on-line para sempre, mesmo se você
conseguir apagar todas as cópias. Se os servidores forem hackeados, as informações con�denciais de
funcionários poderão se tornar públicas. Um hacker (ou grupo de hackers) pode vandalizar o site da empresa
ao postar informações falsas e arruinar a reputação que ela levou anos para construir. Os hackers também
podem remover o site da empresa, fazendo com que ela perca receita. Se o site �car inativo por períodos mais
longos, a empresa pode não parecer con�ável e talvez perca credibilidade. Se o site da empresa ou a rede for
violada, documentos con�denciais podem vazar, segredos corporativos podem ser revelados e a propriedade
intelectual pode ser roubada. A perda de todas essas informações pode impedir a expansão e o crescimento
da empresa.
O custo monetário de uma violação é muito maior do que somente substituir qualquer dispositivo perdido
ou roubado, investir em segurança atual ou reforçar a segurança física do edifício. A empresa pode ser
responsável por entrar em contato com todos os clientes afetados pela violação e talvez precise estar
preparada para a instauração de processos. Com todo esse tumulto,os funcionários podem optar por deixar
a empresa. A empresa talvez precise se concentrar menos no crescimento e mais na recuperação da sua
reputação.
Exemplo de violação de segurança 1
O gerenciador de senhas on-line, LastPass, detectou uma atividade incomum na rede em julho de 2015.
Hackers roubaram endereços de e-mail do usuário, lembretes de senha e hashes de autenticação. Felizmente
para os usuários, os hackers foram incapazes de obter as senhas criptografadas de qualquer pessoa.
Embora tenha ocorrido uma violação de segurança, o LastPass ainda poderia proteger as informações das
contas dos usuários. O LastPass requer veri�cação de e-mail ou autenticação de multifatores sempre que
houver um novo login em um dispositivo ou endereço IP desconhecido. Os hackers também precisam da
senha mestra para acessar a conta.
Os usuários do LastPass também têm responsabilidade na proteção das próprias contas. Os usuários devem
usar sempre senhas mestras complexas e alterá-las periodicamente. Eles sempre devem estar atentos aos
ataques de phishing. Um exemplo de um ataque de phishing seria um invasor enviando e-mails falsos
dizendo ser do LastPass. Os e-mails pedem aos usuários que cliquem em um link enviado e alterem a senha.
O link no e-mail vai para uma versão fraudulenta do site usada para roubar a senha mestra. Os usuários
nunca devem clicar nos links enviados em um e-mail. Os usuários também devem ser cuidadosos com o
lembrete de senha. O lembrete de senha não deve indicar qual é a sua senha. Mais importante, os usuários
devem ativar a autenticação de multifatores, quando disponível, em qualquer site.
Caso os usuários e os provedores de serviços utilizem ferramentas e procedimentos apropriados para proteger
as informações dos usuários, os dados dos usuários podem ainda ser protegidos, mesmo em caso de violação
de segurança.
Exemplo de violação de segurança 2
O fabricante de brinquedos de alta tecnologia, Vtech, sofreu uma violação de segurança no seu banco de
dados em novembro de 2015. Essa violação poderia afetar milhões de clientes em todo o mundo, inclusive
crianças. A violação de dados expôs informações con�denciais, como nomes de clientes, endereços de e-mail,
senhas, fotos e registros de bate-papo.
Um tablet de brinquedo tornou-se um novo alvo para hackers. Os clientes tinham compartilhado fotos e
usado os recursos de bate-papo nos tablets de brinquedo. A informação não foi protegida corretamente, e o
site da empresa não tinha suporte para comunicação de SSL seguro. Mesmo que a violação não tivesse
exposto qualquer informação de cartão de crédito e dados de identi�cação pessoal, a empresa teve a venda de
ações suspensa, devido à grande preocupação com a invasão.
A Vtech não protegeu as informações dos clientes corretamente e elas foram expostas durante a violação.
Mesmo que a empresa tenha informado a seus clientes que havia hash nas senhas, os hackers conseguiram
decifrá-las. As senhas no banco de dados foram embaralhadas usando a função hash MD5, mas as perguntas
e respostas de segurança foram armazenadas em texto simples. Infelizmente, a função hash MD5 tem
vulnerabilidades conhecidas. Os hackers podem determinar as senhas originais ao comparar milhões de
valores de hash pré-calculados.
Com as informações expostas nesta violação de dados, os criminosos digitais poderiam usá-las para criar
contas de e-mail, conseguir créditos e cometer crimes antes que as crianças tivessem idade su�ciente para ir à
escola. Em relação aos pais dessas crianças, os criminosos digitais poderiam assumir as contas on-line, porque
muitas pessoas reutilizam as senhas em sites e contas diferentes.
A violação de segurança não só afetou a privacidade dos clientes, mas também arruinou a reputação da
empresa quando sua presença na bolsa de valores foi suspensa.
Para os pais, é um alerta para serem mais cuidadosos com a privacidade on-line de seus �lhos e exigirem mais
segurança nos produtos infantis. Os fabricantes de produtos conectados em rede precisam ser mais rigorosos
na proteção da privacidade e dos dados do cliente agora e no futuro, à medida que o cenário do ataque
cibernético evolui.
Exemplo de violação de segurança 3
A Equifax Inc. é uma das agências de relatórios de crédito do consumidor nos Estados Unidos. Essa empresa
coleta informações sobre milhões de clientes e empresas em todo o mundo. Com base nas informações
coletadas, pontuações e relatórios de crédito são criados sobre os clientes. Essas informações podem afetar os
clientes quando eles pedem empréstimos ou estão à procura de emprego.
Em setembro de 2017, a Equifax anunciou publicamente um evento de violação de dados. Os invasores
exploraram uma vulnerabilidade no software de aplicativo da Web Apache Struts. A empresa acredita que
milhões de dados pessoais con�denciais de consumidores nos EUA foram acessados pelos criminosos
virtuais, entre maio e julho de 2017. Os dados pessoais incluem nomes completos dos clientes, números de
CPF, datas de nascimento, endereços e outras informações pessoalmente identi�cáveis. Há evidências de que
a violação possa ter afetado clientes no Reino Unido e Canadá.
A Equifax criou um site exclusivo que permite que os consumidores veri�quem se suas informações foram
comprometidas e se cadastrem para o monitoramento de crédito e a proteção contra roubo de identidade. O
uso de um novo nome de domínio, em vez de usar um subdomínio equifax.com, permitiu que os criminosos
criassem sites não autorizados com nomes semelhantes. Esses sites podem ser usados como parte de um
esquema de phishing para induzir você a fornecer informações pessoais. Além disso, um funcionário da
Equifax disponibilizou um link na Web incorreto em uma rede social para clientes preocupados. Felizmente,
o site foi removido em 24 horas. Ele foi criado por um indivíduo que usa o site como uma oportunidade
educacional para expor as vulnerabilidades na página de resposta da Equifax.
Como um consumidor preocupado, talvez você queira veri�car rapidamente se suas informações foram
comprometidas para minimizar o impacto. Em tempos de crise, você pode ser induzido a usar sites não
autorizados. Seja cauteloso ao fornecer informações pessoais para não se tornar uma vítima novamente. Além
disso, as empresas são responsáveis por proteger nossas informações contra o acesso não autorizado. As
empresas precisam corrigir e atualizar regularmente o software para atenuar a exploração de vulnerabilidades
conhecidas. Seus funcionários devem ser orientados e informados sobre os procedimentos para proteger as
informações e o que devem fazer em caso de violação.
Infelizmente, as vítimas reais dessa violação são os indivíduos cujos dados podem ter sido comprometidos.
Nesse caso, a Equifax tem o ônus de proteger os dados coletados do consumidor durante as veri�cações de
crédito, pois os clientes não escolheram usar os serviços da Equifax. O consumidor deve con�ar na empresa
para proteger as informações coletadas. Além disso, os invasores podem usar esses dados para assumir sua
identidade e é muito difícil provar o contrário porque tanto o invasor quanto a vítima têm as mesmas
informações. Nessas situações, o máximo que você pode fazer é �car atento quando estiver fornecendo
informações pessoalmente identi�cáveis pela Internet. Veri�que seus relatórios de crédito regularmente (uma
vez por mês ou uma vez por trimestre). Comunique imediatamente qualquer informação falsa, como
pedidos de crédito que você não solicitou ou compras em seus cartões de crédito que você não fez.
Tipos de invasores
Os invasores são indivíduos ou grupos que tentam explorar vulnerabilidades para ganho pessoal ou
�nanceiro. Os invasores estão interessados em tudo, de cartões de crédito a projetos de produtos e qualquer
coisa com valor.
Amadores – às vezes, essas pessoas são chamadas de hackers inexperientes. São normalmente invasores com
pouca ou nenhuma quali�cação pro�ssional, muitas vezes usando ferramentas atuais ou instruçõesencontradas na Internet para lançar ataques. Alguns são apenas curiosos, enquanto outros tentam
demonstrar suas quali�cações pro�ssionais e causar danos. Eles podem estar usando ferramentas básicas, mas
os resultados ainda podem ser devastadores.
Hackers – este grupo de invasores entra em computadores ou redes para obter acesso. Dependendo da
intenção da invasão, esses invasores são classi�cados como white, grey ou black hat. Os invasores white hat
entram em redes ou sistemas de computador para descobrir fraquezas, com o objetivo de melhorar a
segurança. Essas invasões são feitas com prévia autorização e todos os resultados são relatados ao
proprietário. Por outro lado, os invasores “do mal” (black hat) aproveitam qualquer vulnerabilidade para
ganho pessoal, �nanceiro ou ganho político. Os invasores suspeitos (gray hat) situam-se entre os invasores
“do bem” (white hat) e os invasores “do mal” (black hat). Os invasores grey hat podem encontrar uma
vulnerabilidade em um sistema. Os hackers grey hat poderão relatar a vulnerabilidade aos proprietários do
sistema se essa ação coincidir com sua agenda. Alguns hackers gray hat publicam os fatos sobre a
vulnerabilidade na Internet para que outros invasores possam explorá-la.
A �gura dá detalhes sobre os termos hacker white hat, hacker “do mal” (black hat) e hacker gray hat.
Hackers organizados – esses hackers incluem empresas de criminosos virtuais, hacktivistas, terroristas e
hackers patrocinados pelo Estado. Os criminosos virtuais geralmente são grupos de criminosos pro�ssionais,
focados em controle, poder e riqueza. Os criminosos são altamente so�sticados e organizados e ainda podem
fornecer o crime digital como um serviço a outros criminosos. Os hacktivistas fazem declarações políticas
para sensibilizar para questões que são importantes para eles. Os invasores patrocinados pelo estado reúnem
informações ou cometem sabotagem em nome de seu governo. Esses invasores geralmente são altamente
treinados e bem remunerados e seus ataques são concentrados em objetivos especí�cos e bené�cos para o seu
governo.
Ameaças internas e externas
Ameaças à segurança interna
Os ataques podem ser originados de dentro ou de fora da empresa, conforme mostrado na �gura. Um
usuário interno, como um funcionário ou parceiro de contrato, pode, de forma acidental ou intencional:
Tratar erroneamente os dados con�denciais
Ameaçar as operações de servidores internos ou de dispositivos de infraestrutura de rede
Facilitar ataques externos conectando mídias USB infectadas no sistema de computador corporativo
Convidar acidentalmente malware para a rede por e-mail ou sites mal-intencionados
Ameaças internas também têm o potencial de causar maior dano que as ameaças externas, pois os usuários
internos têm acesso direto ao edifício e a seus dispositivos de infraestrutura. Os funcionários também têm
conhecimento sobre a rede corporativa, seus recursos e seus dados con�denciais, além de diferentes níveis de
usuário ou privilégios administrativos.
Ameaças à segurança externa
Ameaças externas de amadores ou invasores habilidosos podem explorar vulnerabilidades na rede ou em
dispositivos de computação ou usar a engenharia social para obter acesso.
O que é a guerra cibernética?
O espaço cibernético tornou-se outra dimensão importante da guerra, onde nações podem ter con�itos sem
confrontos com tropas tradicionais e máquinas. Dessa forma, países com presença militar mínima são tão
fortes quanto outras nações no espaço cibernético. Guerra cibernética é um con�ito na Internet que envolve
a invasão de redes e sistemas de computação de outras nações. Estes invasores têm os recursos e
conhecimentos para lançar ataques massivos, na Internet, contra outras nações para causar danos ou
interromper serviços, como desligar uma rede de energia.
Um exemplo de um ataque patrocinado pelo Estado envolveu o malware Stuxnet, que foi concebido para
dani�car a usina de enriquecimento nuclear do Irã. O malware Stuxnet não sequestrou os computadores de
destino para roubar informações. Ele foi projetado para dani�car o equipamento físico controlado por
computadores. Usou a codi�cação modular programada para executar uma tarefa especí�ca dentro do
malware. Usou certi�cados digitais roubados para que o ataque parecesse legítimo para o sistema. Clique em
Play (Reproduzir) para assistir a um vídeo sobre o Stuxnet.
Clique aqui para ler a transcrição do vídeo.
Clique aqui para assistir a outro vídeo e obter mais informações sobre o Stuxnet.
O propósito da guerra cibernética
O principal objetivo da guerra cibernética é obter vantagem sobre os adversários, sejam eles nações ou
concorrentes.
Uma nação pode continuamente invadir a infraestrutura de outro país, roubar segredos de defesa e coletar
informações sobre tecnologia para diminuir as defasagens no seus setores e na área militar. Além de
espionagem industrial e militarista, a guerra cibernética pode sabotar a infraestrutura de outras nações e
acabar com vidas nas nações atacadas. Por exemplo, um ataque pode interromper a rede de energia de uma
grande cidade. O tráfego seria prejudicado. A troca de bens e serviços é interrompida. Os pacientes não
podem ter os cuidados necessários em situações de emergência. O acesso à Internet também pode ser
interrompido. Por afetar a rede elétrica, o ataque pode prejudicar a rotina de cidadãos comuns.
Além disso, dados con�denciais comprometidos podem oferecer aos invasores a capacidade de chantagear
funcionários do governo. As informações podem permitir que um invasor �nja ser um usuário autorizado
para acessar informações con�denciais ou equipamentos.
Caso o governo não possa se defender contra os ataques cibernéticos, os cidadãos perdem a con�ança na
capacidade do governo de protegê-los. A guerra cibernética pode desestabilizar uma nação, afetar o comércio
e abalar a con�ança dos cidadãos no governo sem nunca invadir �sicamente o país alvo.
Capítulo 1: A necessidade da segurança cibernética
Este capítulo explicou as funcionalidades e as características da segurança cibernética. Explicou o motivo
pelo qual a demanda por pro�ssionais de segurança cibernética continua aumentando. O conteúdo explica o
motivo pelo qual a identidade on-line e os dados pessoais são vulneráveis a criminosos virtuais. Ele fornece
algumas dicas sobre como proteger a identidade on-line e os dados pessoais.
Esse capítulo também abordou os dados organizacionais: o que são, onde estão e por que devem ser
protegidos. Explicou quem são os invasores cibernéticos e o que eles querem. Pro�ssionais de segurança
cibernética devem ter as mesmas quali�cações pro�ssionais que os invasores cibernéticos. Os pro�ssionais de
segurança cibernética devem trabalhar dentro dos limites da legislação local, nacional e internacional.
Pro�ssionais de segurança cibernética também devem usar suas quali�cações pro�ssionais de maneira ética.
Por �m, esse capítulo explicou brevemente a guerra cibernética e o motivo pelo qual as nações e os governos
precisam de pro�ssionais de segurança cibernética para ajudá-los a proteger os cidadãos e a infraestrutura.
Se você quiser se aprofundar ainda mais nos conceitos deste capítulo, con�ra a página de Recursos e
atividades adicionais nos Recursos do aluno.
Capítulo 2: Ataques, conceitos e técnicas
Este capítulo abrange maneiras de os pro�ssionais de segurança cibernética analisarem o que aconteceu
depois de um ataque cibernético. Explica as vulnerabilidades de software e hardware de segurança e as
diferentes categorias de vulnerabilidades de segurança.
Os diferentes tipos de software mal-intencionado (conhecido como malware) e os sintomas de malware são
discutidos. As diferentes maneiras de os invasores se in�ltrarem em um sistema são abordadas, bem como
ataques de negação de serviço.
Ataques cibernéticos mais modernos são considerados ataques mistos. Ataques mistos usam várias técnicas
para in�ltrar-se em um sistema e atacá-lo. Quando um ataque não podeser prevenido, cabe a um pro�ssional
de segurança cibernética reduzir o impacto desse ataque.
Encontrar vulnerabilidades de segurança
Vulnerabilidades de segurança são qualquer tipo de defeito de software ou hardware. Após descobrirem uma
vulnerabilidade, os usuários mal-intencionados tentam explorá-lo. Um exploit é o termo usado para
descrever um programa escrito para utilizar uma vulnerabilidade conhecida. O ato de usar um exploit contra
uma vulnerabilidade é conhecido como um ataque. O objetivo do ataque é ter acesso a um sistema, aos
dados que ele hospeda ou a um recurso especí�co.
Vulnerabilidades de software
As vulnerabilidades de software são normalmente introduzidas por erros no código do aplicativo ou sistema
operacional; apesar de todo o esforço das empresas em localizá-las e corrigi-las, é comum que novas
vulnerabilidades surjam. A Microsoft, a Apple e outros fabricantes de sistema operacional lançam patches e
atualizações quase todos os dias. As atualizações do aplicativo também são comuns. Os aplicativos, tais como
navegadores da Web, aplicativos móveis e servidores da Web, são frequentemente atualizados pelas empresas
responsáveis por eles.
Em 2015, uma grande vulnerabilidade, chamada SYNful Knock, foi descoberta no Cisco IOS. Essa
vulnerabilidade permitiu aos invasores obter o controle de roteadores empresariais, como os roteadores
antigos Cisco 1841, 2811 e 3825. Os invasores conseguiram então monitorar toda a comunicação da rede e
infectar outros dispositivos de rede. Tal vulnerabilidade foi introduzida no sistema quando uma versão
alterada do IOS foi instalada nos roteadores. Para evitar isso, sempre veri�que a integridade da imagem do
IOS baixada e limite o acesso físico do equipamento somente ao pessoal autorizado.
O objetivo das atualizações de software é sempre estar atualizado e evitar a exploração de vulnerabilidades.
Enquanto algumas empresas têm equipes de testes de penetração dedicadas para pesquisar, localizar e corrigir
vulnerabilidades de software, antes que elas possam ser exploradas, os pesquisadores de segurança de
terceiros também são especializados em descobrir essas vulnerabilidades.
O Project Zero do Google é um grande exemplo de tal prática. Depois de descobrir várias vulnerabilidades
em diversos softwares de usuários �nais, o Google formou uma equipe permanente dedicada para encontrar
vulnerabilidades de software. A Pesquisa de Segurança do Google pode ser encontrada aqui.
Vulnerabilidades de hardware
Vulnerabilidades de hardware são frequentemente introduzidas por falhas de projeto de hardware. A
memória RAM, por exemplo, consiste essencialmente em capacitores instalados muito próximos um do
outro. Descobriu-se que, devido à proximidade, constantes mudanças aplicadas a um desses capacitores
poderiam in�uenciar o vizinho. Com base nessa falha, foi criado um exploit chamado Rowhammer. Ao
reescrever várias vezes a memória nos mesmos endereços, o exploit Rowhammer permite que os dados sejam
recuperados de células próximas de memória de endereço, mesmo que as células estejam protegidas.
As vulnerabilidades de hardware são especí�cas para modelos do dispositivo e geralmente não são exploradas
por tentativas comprometedoras aleatórias. Embora os exploits de hardware sejam mais comuns em ataques
altamente especí�cos, a proteção contra malware tradicional e uma segurança física são proteções su�cientes
para o usuário de todos os dias.
Categorizar vulnerabilidades de segurança
A maioria das vulnerabilidades de segurança de software se enquadra em uma das seguintes categorias:
Saturação do bu�er – esta vulnerabilidade ocorre quando os dados são gravados além dos limites de um
bu�er. Os bu�ers são áreas de memórias alocadas a um aplicativo. Ao alterar os dados além dos limites de um
bu�er, o aplicativo acessa a memória alocada a outros processos. Isso pode levar à queda do sistema,
comprometimento de dados ou fornecer o escalonamento de privilégios.
Entrada não validada – programas normalmente funcionam com entrada de dados. Esses dados que entram
no programa podem ter conteúdo mal-intencionado, projetado para forçar o programa a se comportar de
forma não desejada. Considere um programa que recebe uma imagem para processar. Um usuário
mal-intencionado pode criar um arquivo de imagem com dimensões de imagem inválidas. As dimensões
criadas de forma mal-intencionada podem forçar o programa a alocar bu�ers de tamanhos incorretos e
inesperados.
Condição de corrida – esta vulnerabilidade ocorre quando a saída de um evento depende de saídas
ordenadas ou cronometradas. Uma condição de corrida se torna uma fonte de vulnerabilidade quando os
eventos ordenados ou cronometrados necessários não ocorrem na ordem correta ou na sincronização
apropriada.
De�ciências nas práticas de segurança – sistemas e dados con�denciais podem ser protegidos por meio de
técnicas, como autenticação, autorização e criptogra�a. Os desenvolvedores não devem tentar criar seus
próprios algoritmos de segurança porque provavelmente apresentarão vulnerabilidades. É altamente
recomendável que os desenvolvedores usem as bibliotecas de segurança que já foram criadas, testadas e
veri�cadas.
Problemas de controle de acesso – controle de acesso é o processo de controlar quem faz o quê, gerenciar o
acesso físico aos equipamentos e determinar quem tem acesso a um recurso, como um arquivo, e o que pode
fazer com ele, tais como ler ou alterar esse arquivo. Muitas vulnerabilidades de segurança são criadas com o
uso indevido de controles de acesso.
Quase todos os controles de acesso e as práticas de segurança poderão ser superados se o invasor tiver acesso
físico ao equipamento de destino. Por exemplo, não importa para quais permissões o arquivo é de�nido; o
sistema operacional não pode impedir alguém de ignorá-lo e ler os dados diretamente no disco. Para proteger
a máquina e os dados que ela contém, o acesso físico deve ser restrito e as técnicas de criptogra�a devem ser
usadas para proteger dados contra roubo ou danos.
Tipos de malware
Abreviação de “Malicious Software” (software mal-intencionado), o malware é qualquer código que pode
ser usado para roubar dados, ignorar controles de acesso, causar danos ou comprometer um sistema. Abaixo
estão alguns tipos comuns de malware:
Spyware – este malware é projetado para rastrear e espionar o usuário. O spyware frequentemente inclui
rastreadores de atividade, coleta de toque de tela e captura de dados. Para tentar combater as medidas de
segurança, o spyware quase sempre modi�ca as con�gurações de segurança. Muitas vezes, o spyware se junta
ao software legítimo ou a cavalos de Troia.
Adware – o software com suporte a anúncio é projetado para fornecer anúncios automaticamente. O adware
é frequentemente instalado com algumas versões do software. Alguns tipos de adware são projetados para
oferecer somente anúncios, mas também é comum que o adware venha com spyware.
Bot- da palavra “robot”, um bot é o malware projetado para executar automaticamente a ação, geralmente
on-line. Enquanto a maioria dos bots é inofensiva, uma utilização progressiva de bots mal-intencionados são
os botnets. Vários computadores estão infectados com bots que são programados para esperar calmamente
os comandos fornecidos pelo invasor.
Ransomware – este malware é projetado para manter preso um sistema de computador, ou os dados
incluídos nele, até que o pagamento seja feito. O ransomware normalmente funciona criptografando os
dados no computador com uma chave desconhecida ao usuário. Outras versões do ransomware podem
lançar mão das vulnerabilidades de sistemas especí�cos para bloquear o sistema. O ransomware é espalhado
por um arquivo baixado ou alguma vulnerabilidade de software.
Scareware – este é um tipo de malware projetado para persuadir o usuário a executar uma ação especí�ca
com base no medo. O scareware simula janelas pop-up que se assemelham às janelas de diálogo do sistema
operacional. Essas janelastransmitem mensagens falsi�cadas que a�rmam que o sistema está em risco ou
precisa da execução de um programa especí�co para retornar à operação normal. Na realidade, nenhum
problema foi avaliado ou detectado. Se o usuário concordar e executar o programa mencionado para a
limpeza, seu sistema será infectado com malware.
Rootkit – este malware é projetado para modi�car o sistema operacional e criar um backdoor. Os invasores
usam o backdoor para acessar o computador remotamente. A maioria dos rootkits utiliza as vulnerabilidades
do software para escalonar privilégios e modi�car arquivos de sistema. Também é comum os rootkits
modi�carem a computação forense do sistema e as ferramentas de monitoramento, o que os torna muito
difíceis de ser detectados. Muitas vezes, um computador infectado por um rootkit deve ser apagado e
reinstalado.
Vírus - um vírus é um código executável mal-intencionado que é anexado a outros arquivos executáveis,
muitas vezes programas legítimos. A maioria dos vírus necessita de ativação do usuário �nal e pode ser
ativada em uma hora ou data especí�ca. Os vírus podem ser inofensivos e apenas exibir uma imagem ou
podem ser destrutivos, como os que modi�cam ou excluem dados. Os vírus também podem ser
programados para se modi�car e evitar a detecção. Agora, a maioria dos vírus é espalhada por unidades de
USB, discos ópticos, compartilhamentos de rede ou e-mail.
Cavalo de Troia - um Cavalo de Troia é um malware que realiza operações mal-intencionadas sob o pretexto
de uma operação desejada. Esse código malicioso explora os privilégios do usuário que o executa. Muitas
vezes, os Cavalos de Troia são encontrados em arquivos de imagem, arquivos de áudio ou jogos. Um Cavalo
de Troia difere de um vírus porque está vinculado aos arquivos não executáveis.
Worms – worms são códigos maliciosos que se replicam ao explorar, de forma independente,
vulnerabilidades em redes. Os worms normalmente deixam a rede mais lenta. Enquanto um vírus requer um
programa host para execução, os worms podem ser executados de modo autônomo. Exceto pela infecção
inicial, eles não necessitam mais da participação do usuário. Após infectar um host, um worm pode ser
transmitido muito rapidamente pela rede. Worms compartilham padrões similares. Todos eles habilitam
uma vulnerabilidade, uma maneira de se propagar, e todos eles contêm uma carga.
Os worms são responsáveis por alguns dos ataques mais devastadores na Internet. Como mostrado na Figura
1, em 2001, o worm Code Red infectou 658 servidores. Em 19 horas, o worm infectou mais de 300.000
servidores, conforme mostrado na Figura 2.
Man-In-The-Middle (MitM) – o MitM permite que o invasor tenha o controle sobre um dispositivo sem o
conhecimento do usuário. Com esse nível de acesso, o invasor pode interceptar e capturar informações do
usuário antes de transmiti-las ao seu destino desejado. Os ataques MitM são amplamente utilizados para
roubar informações �nanceiras. Muitos malwares e técnicas existem para fornecer aos invasores recursos de
MitM.
Man-In-The-Mobile (MitMo) – uma variação do Man-In-Middle, MitMo é um tipo de ataque usado para
assumir o controle de um dispositivo móvel. Quando infectado, o dispositivo móvel pode ser instruído a
extrair as informações con�denciais do usuário e enviá-las para os invasores. ZeuS, um exemplo de exploit
com capacidades de MitMo, permite que os invasores capturem silenciosamente as mensagens de SMS de
veri�cação de 2 passos enviadas para os usuários.
Sintomas do malware
Independentemente do tipo de malware que infectou um sistema, estes são sintomas comuns:
Há um aumento no uso da CPU.
Há uma diminuição na velocidade do computador.
O computador congela ou trava frequentemente.
Há uma diminuição na velocidade de navegação na Web.
Existem problemas inexplicáveis com conexões de rede.
Arquivos são modi�cados.
Arquivos são excluídos.
Há presença de arquivos, programas ou ícones de desktop desconhecidos.
Há processos desconhecidos em execução.
Programas estão se desligando ou recon�gurando sozinhos.
E-mails estão sendo enviados sem o conhecimento ou consentimento do usuário.
Engenharia social
Engenharia social é um ataque de acesso que tenta manipular indivíduos para realizar ações ou divulgar
informações con�denciais. Os engenheiros sociais frequentemente dependem da boa vontade das pessoas
para ajuda, mas também miram nos pontos fracos. Por exemplo, um invasor pode chamar um funcionário
autorizado com um problema urgente, que requer acesso imediato à rede. O invasor pode recorrer à vaidade
do funcionário, valer-se de autoridade usando técnicas que citam nomes ou apelar para a ganância do
funcionário.
Há alguns tipos de ataques de Engenharia social:
Pretexting - Ocorre quando um invasor chama uma pessoa e mente para ela na tentativa de obter acesso a
dados con�denciais. Um exemplo envolve um invasor que �nge precisar de dados pessoais ou �nanceiros
para con�rmar a identidade do destinatário.
Tailgating - quando um invasor rapidamente segue uma pessoa autorizada em um local seguro.
Something for Something (Quid pro quo) - ocorre quando um invasor solicita informações pessoais de uma
pessoa em troca de algo, como um presente.
Quebra de senha de acesso à rede WiFi
A quebra de senha de acesso à rede WiFi é o processo de descobrir a senha usada para proteger uma rede sem
�o. Estas são algumas técnicas usadas na quebra de senha:
Engenharia social – o invasor manipula uma pessoa que conhece a senha para fornecê-la.
Ataques de força bruta – o invasor tenta várias senhas possíveis na tentativa de adivinhar a correta. Se a senha
for um número de 4 dígitos, por exemplo, o invasor precisaria tentar cada uma das 10.000 combinações.
Ataques de força bruta, normalmente, envolvem um arquivo de lista de palavras. É um arquivo de texto
contendo uma lista de palavras tiradas de um dicionário. Um programa tenta, então, cada palavra e
combinações comuns. Como os ataques de força bruta levam tempo, senhas complexas demoram mais
tempo para serem descobertas. Algumas ferramentas de senha de força bruta incluem Ophcrack
L0phtCrack, THC-Hydra, RainbowCrack e Medusa.
Sni�ng de rede – ao ouvir e capturar pacotes enviados na rede, um invasor poderá descobrir a senha, se ela
estiver sendo enviada sem criptogra�a (em texto sem formatação). Se a senha for criptografada, o invasor
ainda poderá revelá-la usando uma ferramenta de quebra de senha.
Phishing
O phishing ocorre quando uma parte mal-intencionada envia um e-mail fraudulento disfarçado de uma
fonte legítima e con�ável. A intenção da mensagem é enganar o destinatário para instalar o malware no
dispositivo dele ou compartilhar informações pessoais ou �nanceiras. Um exemplo de phishing é um e-mail
falsi�cado para parecer que foi enviado de uma loja de varejo, solicitando que o usuário clique em um link
para receber um prêmio. O link pode ir para um site falso que pede informações pessoais ou pode instalar um
vírus.
Spear phishing é um ataque de phishing altamente direcionado. Embora o phishing e o spear phishing usem
e-mails para alcançar as vítimas, os e-mails do spear phishing são personalizados para uma pessoa especí�ca.
O invasor pesquisa os interesses da vítima antes de enviar o e-mail. Por exemplo, um invasor descobre que a
vítima está interessada em carros, procurando um modelo especí�co de carro para comprar. O invasor entra
no mesmo fórum de discussão de carros utilizado pela vítima, forja uma oferta de venda de carro e envia um
e-mail para a vítima. O e-mail contém um link para as fotos do carro. Quando a vítima clica no link, o
malware é instalado no computador de destino.
Exploração de vulnerabilidade
Explorar vulnerabilidades é outro método comum de in�ltração. Os invasores fazem a varredura de
computadores para obter informações sobre eles. Veja abaixo um método comum para explorar
vulnerabilidades:
Etapa 1. Colete informações sobre o sistema de destino. Isto poderia ser feito de várias maneirasdiferentes
como um scanner de porta ou engenharia social. O objetivo é aprender o máximo possível sobre o
computador de destino.
Etapa 2. Uma das informações relevantes que aprendeu na etapa 1 pode ser o sistema operacional, sua versão
e uma lista de serviços que ele executa.
Etapa 3. Quando o sistema operacional e a versão do alvo são conhecidos, o invasor procura quaisquer
vulnerabilidades conhecidas especí�cas para essa versão do sistema operacional ou outros serviços do sistema
operacional.
Etapa 4. Quando é encontrada uma vulnerabilidade, o invasor procura um exploit anteriormente escrito
para usar. Se nenhum exploit tiver sido escrito, o invasor pode considerar escrever um exploit.
A Figura 1 retrata um invasor usando whois, um banco de dados público da Internet, contendo informações
sobre nomes de domínio e seus registrados. A Figura 2 retrata um invasor usando a ferramenta nmap, um
scanner de porta popular. Com um scanner de porta, um invasor pode sondar portas de um
computador-alvo para saber quais serviços estão sendo executados nele.
Ameaças persistentes avançadas
Uma maneira de obter a in�ltração é por Advanced Persistent Threat (APTs). Elas consistem em uma
operação multifase, de longo prazo, furtiva e avançada contra um alvo especí�co. Devido à sua complexidade
e ao nível necessário de quali�cação pro�ssional, a APT é geralmente bem �nanciada. Uma APT aponta para
empresas ou nações por motivos comerciais ou políticos.
Geralmente relacionada à espionagem pela rede, a �nalidade da APT é implantar malware personalizado em
um ou vários dos sistemas-alvo e ainda continuar despercebida. Com várias fases da operação e tipos
personalizados de malware que afetam diferentes dispositivos e executam funções especí�cas, um invasor
individual frequentemente não tem o conjunto de quali�cações pro�ssionais, recursos ou persistência para
realizar APTs.
DoS
Os ataques de negação de serviço (DoS) são um tipo de ataque à rede. Um ataque de negação de serviço
(DoS) resulta em algum tipo de interrupção de serviço aos usuários, dispositivos ou aplicações. Existem dois
tipos principais de ataque de negação de serviço (DoS):
Grande quantidade de tráfego - quando uma rede, um host ou um aplicativo recebe uma enorme quantidade
de dados a uma taxa que não consegue processar. Isso causa uma desaceleração na transmissão ou resposta ou
uma falha em um dispositivo ou serviço.
Pacotes formatados de forma mal-intencionada - quando um pacote formatado de forma mal-intencionada é
enviado para um host ou aplicativo e o receptor não consegue contê-lo. Por exemplo, um invasor encaminha
pacotes com erros que não podem ser identi�cados pelo aplicativo ou encaminha pacotes formatados
incorretamente. Isso causa lentidão ou falha na execução do dispositivo receptor.
Os ataques de negação de serviço (DoS) são considerados um grande risco porque podem facilmente
interromper a comunicação e causar perda signi�cativa de tempo e dinheiro. Esses ataques são relativamente
simples de conduzir, mesmo por um invasor não capacitado.
DDoS
Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de negação de serviço
(DoS), mas é proveniente de várias fontes coordenadas. Por exemplo, um ataque de negação de serviço
distribuída (DDoS) pode ocorrer da seguinte maneira:
Um invasor cria uma rede de hosts infectados, denominada botnet. Os hospedeiros infectados são chamados
de zumbis. Os zumbis são controlados por sistemas de controladores.
Os computadores zumbis examinam e infectam constantemente mais hosts, criando mais zumbis. Quando
está pronto, o hacker instrui os sistemas de controladores para fazer com que o botnet de zumbis execute um
ataque de negação de serviço distribuída (DDoS).
Clique em Play (Reproduzir) na �gura para visualizar as animações de um ataque DDoS.
Envenenamento de SEO
Os mecanismos de busca, como o Google, classi�cam as páginas e apresentam resultados relevantes com base
nas consultas da pesquisa dos usuários. Dependendo da relevância do conteúdo do site, ele pode aparecer
mais alto ou mais baixo na lista de resultado da pesquisa. SEO, abreviação de Search Engine Optimization
(Otimização de mecanismos de busca), é um conjunto de técnicas usadas para melhorar a classi�cação do site
por um mecanismo de pesquisa. Embora muitas empresas legítimas se especializem na otimização de sites
para melhor posicioná-las, um usuário mal-intencionado pode usar o SEO para que um site
mal-intencionado �que mais alto nos resultados da pesquisa. Esta técnica é chamada de envenenamento de
SEO.
O objetivo mais comum do envenenamento de SEO é aumentar o tráfego em sites maliciosos que podem
hospedar malware ou executar engenharia social. Para forçar um site malicioso a obter uma classi�cação mais
elevada nos resultados de pesquisa, os invasores utilizam termos de busca populares.
O que é um ataque misto?
Ataques mistos são ataques que usam várias técnicas para comprometer um alvo. Usando várias técnicas de
ataque diferentes ao mesmo tempo, os invasores têm um malware híbrido de worms, cavalos de Troia,
spyware, keyloggers, spam e esquemas de phishing. Esta tendência de ataques mistos está revelando malwares
mais complexos e colocando os dados do usuário em grande risco.
O tipo mais comum de ataque misto usa mensagens de e-mail de spam, mensagens instantâneas ou sites
legítimos para distribuir links onde o malware ou o spyware é secretamente baixado para o computador.
Outro ataque misto comum usa DDoS combinado com e-mails de phishing. Primeiro, o DDoS é usado para
derrubar o site de um banco popular e enviar e-mails para os clientes do banco, pedindo desculpas pelo
inconveniente. O e-mail também direciona os usuários para um site de emergência forjado, onde suas
informações reais de login podem ser roubadas.
Muitos dos worms que mais dani�cam o computador, como Nimbda, CodeRed, BugBear, Klez e Slammer,
são categorizados como ataques mistos, como mostrado abaixo:
Algumas variantes de Nimbda utilizaram anexos de e-mail, downloads de arquivos de um servidor da Web
comprometido e compartilhamento de arquivos da Microsoft (por exemplo, compartilhamentos anônimos)
como métodos de propagação.
Outras variantes do Nimbda foram capazes de modi�car contas de convidado do sistema para fornecer
privilégios administrativos ao código malicioso ou ao invasor.
Os recentes worms Con�cker e ZeuS/LICAT também foram ataques mistos. O Con�cker usou todos os
métodos tradicionais de distribuição.
O que é redução de impacto?
Embora a maioria das empresas de sucesso atualmente esteja ciente dos problemas de segurança comuns e se
esforçe para preveni-los, nenhum conjunto de práticas de segurança é 100% e�ciente. Já que uma violação
poderá acontecer se o prêmio for grande, as empresas também devem estar preparadas para conter os danos.
É importante entender que o impacto de uma violação não está apenas relacionado ao aspecto técnico, aos
dados roubados, aos bancos de dados dani�cados ou ao dano à propriedade intelectual, pois o dano também
se estende à reputação da empresa. Responder a uma violação de dados é um processo muito dinâmico.
Abaixo estão algumas medidas importantes que uma empresa deve tomar quando é identi�cada uma
violação de segurança, de acordo com muitos especialistas de segurança:
Comunique o problema. Internamente, os funcionários devem ser informados sobre problema e agir
rapidamente. Externamente, os clientes devem ser informados através de comunicação direta e anúncios
o�ciais. A comunicação cria transparência, que é crucial neste tipo de situação.
Seja sincero e responsável se a falha for da empresa.
Forneça detalhes. Explique o motivo pelo qual a situação ocorreu e o que foi comprometido. Também é
esperado que a empresa assuma os custos dos serviços de proteção contra roubo de identidade para os
clientes afetados.
Entenda o que causou e facilitou a violação. Se necessário, contrate especialistas em computação forense parapesquisar e informar os detalhes.
Aplique o que foi aprendido com a investigação de computação forense para não ocorrerem violações
semelhantes no futuro.
Veri�que se todos os sistemas estão limpos, nenhum backdoor foi instalado e nada mais foi comprometido.
Os invasores, muitas vezes, tentarão deixar um backdoor para facilitar futuras violações. Certi�que-se de que
isso não aconteça.
Oriente os funcionários, parceiros e clientes sobre como evitar futuras violações.
Capítulo 2: Ataques, conceitos e técnicas
Este capítulo abordou as maneiras dos pro�ssionais de segurança cibernética analisarem o que aconteceu
depois de um ataque cibernético. Explica as vulnerabilidades de software e hardware de segurança e as
diferentes categorias de vulnerabilidades de segurança.
Os diferentes tipos de software mal-intencionado (conhecido como malware) e os sintomas de malware são
explicados. Alguns malwares que foram discutidos incluíram vírus, worms, cavalos de Troia, spyware,
adware e outros.
Foram abordadas as diferentes maneiras pelas quais os invasores podem se in�ltrar em um sistema, incluindo
engenharia social, quebra de senha de acesso à rede WiFi, phishing e exploração de vulnerabilidade. Os
diferentes tipos de ataques de negação de serviço também foram explicados.
Ataques mistos usam várias técnicas para in�ltrar-se em um sistema e atacá-lo. Muitos dos worms que mais
dani�cam o computador, como Nimbda, CodeRed, BugBear, Klez e Slammer, são categorizados como
ataques mistos. Quando um ataque não pode ser prevenido, cabe a um pro�ssional de segurança cibernética
reduzir o impacto desse ataque.
Se você quiser se aprofundar ainda mais nos conceitos deste capítulo, con�ra a página de Recursos e
atividades adicionais nos Recursos do aluno.
Capítulo 3: Proteção de seus dados e privacidade
Este capítulo é voltado para seus dispositivos e dados pessoais. Ele inclui dicas para proteger dispositivos,
criar senhas fortes e usar redes sem �o com segurança. Também aborda a manutenção segura dos dados.
Seus dados on-line valem algo para criminosos virtuais. Este capítulo aborda brevemente as técnicas de
autenticação que podem ajudá-lo a manter seus dados de forma segura. Abrange também maneiras de
aumentar a segurança dos dados on-line, com dicas sobre o que fazer e o que não fazer on-line.
Proteger os dispositivos de computação
Os dispositivos de computação armazenam seus dados e são o portal para a sua vida on-line. Abaixo está uma
pequena lista de etapas que você pode executar para proteger os dispositivos de computação contra invasão:
Mantenha o �rewall ativado – seja um software de �rewall ou um �rewall de hardware em um roteador, ele
deve estar ativado e atualizado para impedir que hackers acessem dados pessoais ou da empresa. Clique
Windows 7 e 8,1. ou Windows 10 para ativar o �rewall na respectiva versão do Windows. Clique aqui para
ativar o �rewall em dispositivos Mac OS X.
Use o antivírus e antispyware – software mal-intencionado, como vírus, cavalos de Troia, worms,
ransomware e spyware, é instalado nos dispositivos de computação sem a sua permissão, a �m de obter acesso
ao computador e aos dados. Os vírus podem destruir seus dados, deixar o computador lento ou assumir seu
computador. O vírus pode assumir o computador ao permitir que os spammers enviem e-mails usando sua
conta. O spyware pode monitorar suas atividades on-line, coletar informações pessoais ou produzir anúncios
pop-up indesejados no navegador da Web, enquanto você estiver on-line. Uma regra adequada é baixar o
software apenas de sites con�áveis, principalmente para evitar o spyware. O software antivírus é projetado
para veri�car o computador e o e-mail recebido à procura de vírus e excluí-los. Às vezes, o software antivírus
também inclui antispyware. Mantenha seu software atualizado para proteger o computador contra os mais
recentes softwares mal-intencionados.
Gerencie o sistema operacional e o navegador – os hackers estão sempre tentando utilizar vulnerabilidades
em sistemas operacionais e navegadores da Web. Para proteger o computador e os dados, de�na as
con�gurações de segurança no computador e navegador como intermediárias ou altas. Atualize o sistema
operacional do computador, incluindo navegadores da Web e, regularmente, baixe e instale os patches de
software mais recentes e atualizações de segurança dos fornecedores.
Proteja todos os dispositivos – os dispositivos de computação, sejam computadores, notebooks, tablets ou
smartphones, devem ser protegidos por senha para evitar acesso não autorizado. As informações
armazenadas devem ser criptografadas, principalmente para dados con�denciais. Para dispositivos móveis, só
armazene as informações necessárias, caso estes dispositivos sejam roubados ou extraviados quando você
estiver longe de sua casa. Se qualquer um dos dispositivos estiver comprometido, os criminosos poderão ter
acesso a todos os seus dados através do provedor de serviços de armazenamento em nuvem, como o iCloud
ou Google Drive.
Os dispositivos de IoT apresentam um risco ainda maior do que seus outros dispositivos de computação.
Enquanto desktop, notebook e plataformas móveis recebem atualizações de software frequentes, a maioria
dos dispositivos de IoT ainda mantêm o �rmware original. Se vulnerabilidades forem encontradas no
�rmware, o dispositivo de IoT provavelmente permanecerá vulnerável. Para piorar o problema, os
dispositivos de IoT muitas vezes são projetados para ligar para casa e precisam de acesso à Internet. Para
acessar a Internet, a maioria dos fabricantes de dispositivos de IoT depende da rede local do cliente. O
resultado é que os dispositivos de IoT provavelmente estão incluídos e, quando isso acontece, permitem
acesso à rede local e aos dados do cliente. A melhor maneira de se proteger neste cenário é fazer com que os
dispositivos de IoT usem uma rede isolada, compartilhando-a somente com outros dispositivos de IoT.
Clique aqui para acessar Shodan, um scanner de dispositivo de IoT baseado na Web.
Usar redes sem �o com segurança
Redes sem �o permitem que dispositivos habilitados com WiFi, como notebooks e tablets, se conectem à
rede através do identi�cador de rede, conhecido como Service Set Identi�er (SSID). Para impedir que
invasores entrem na rede sem �o residencial, deve-se alterar a senha padrão do SSID para acesso
administrativo através do navegador. Os hackers têm conhecimento a respeito deste tipo de informação de
acesso padrão. Opcionalmente, o roteador sem �o também pode ser con�gurado para não transmitir o SSID,
que adiciona uma barreira adicional à descoberta de rede. No entanto, isto não deve ser considerado uma
segurança adequada para rede sem �o. Além disso, você deve criptografar a comunicação sem �o ao permitir
a segurança sem �o e o atributo de criptogra�a WPA2 no roteador sem �o. Mesmo com a criptogra�a WPA2
habilitada, a rede sem �o ainda pode estar vulnerável.
Em outubro de 2017, foi descoberta uma falha de segurança no protocolo WPA2. Essa falha permite a um
invasor quebrar a criptogra�a entre o roteador sem �o e o cliente sem �o, além de acessar e manipular o
tráfego de rede. Esta vulnerabilidade pode ser explorada usando Key Reinstallation Attacks (KRACK). Ela
afeta todas as redes WiFi modernas e protegidas. Para mitigar um invasor, um usuário deve atualizar todos os
produtos afetados: roteadores sem �o e qualquer dispositivo com capacidade para rede sem �o, como
notebooks e dispositivos móveis, assim que as atualizações de segurança forem disponibilizadas. Em
notebooks ou outros dispositivos que têm placa de rede com �o, uma conexão com �o pode mitigar essa
vulnerabilidade. Além disso, você também pode usar um serviço VPN con�ável para impedir o acesso não
autorizado aos seus dados enquanto estiver usando a rede sem �o.
Clique aqui para saber mais sobre o KRACK.
Quando você estiver longe de casa, um ponto de acesso de WiFi público permite acessar as informações
on-line e navegar na Internet.No entanto, é melhor não acessar ou enviar informações pessoais e
con�denciais em uma rede sem �o pública. Veri�que se o computador está con�gurado com o
compartilhamento de arquivos e mídia e se ele requer autenticação de usuário com criptogra�a. Para impedir
que alguém intercepte as informações (conhecidas como "espionagem") enquanto estiver usando uma rede
sem �o pública, utilize serviços e túneis VPN criptografados. O serviço VPN fornece acesso seguro à
Internet, com uma conexão criptografada entre o computador e o servidor VPN do provedor de serviços
VPN. Com um túnel VPN criptografado, mesmo se for interceptada uma transmissão de dados, ela não será
decifrável.
Clique aqui para saber mais sobre como se proteger ao utilizar redes sem �o.
Muitos dispositivos móveis, como smartphones e tablets, vêm com o protocolo sem �o Bluetooth. Esse
recurso permite que dispositivos habilitados para Bluetooth conectem-se entre si e compartilhem
informações. Infelizmente, o Bluetooth pode ser explorado por hackers para bisbilhotar alguns dispositivos,
estabelecer controles de acesso remoto, distribuir malware e drenar as baterias. Para evitar esses problemas,
mantenha o Bluetooth desligado quando você não estiver usando.
Use senhas exclusivas para cada conta on-line
Você provavelmente tem mais de uma conta on-line, e cada conta deve ter uma única senha. São muitas
senhas para lembrar. No entanto, não usar senhas fortes e exclusivas faz com que você e seus dados �quem
vulneráveis aos criminosos virtuais. Usar a mesma senha para todas as contas on-line é como usar a mesma
chave para todas as portas trancadas; caso um invasor pegue sua chave, ele pode acessar tudo o que você
possui. Se os criminosos pegarem sua senha através de phishing, por exemplo, eles tentarão entrar em suas
outras contas on-line. Se você usar apenas uma senha para todas as contas, eles poderão entrar em todas as
suas contas, roubar ou apagar todos os dados ou se passar por você.
Nós usamos tantas contas on-line que precisam de senhas que torna-se impossível lembrar. Uma solução
para evitar a reutilização de senhas ou usar senhas fracas é um gerenciador de senhas. Um gerenciador de
senhas armazena e criptografa todas as suas senhas diferentes e complexas. O gerenciador então pode ajudá-lo
a entrar em suas contas on-line automaticamente. Você só precisa lembrar de sua senha mestra para acessar o
gerenciador de senhas e gerenciar todas as contas e senhas.
Dicas para escolher uma boa senha:
Não use palavras do dicionário ou nomes em qualquer idioma
Não use erros ortográ�cos comuns de palavras do dicionário
Não use nomes de computador ou de contas
Se possível use caracteres especiais, como ! @ # $ % ^ & * ( )
Use uma senha com 10 ou mais caracteres
Use a frase secreta, em vez de uma senha
Para evitar o acesso físico não autorizado aos seus dispositivos de computação, use frases secretas em vez de
senhas. É mais fácil criar uma frase secreta longa do que uma senha, porque geralmente está na forma de uma
sentença em vez de uma palavra. O comprimento mais longo torna a frase secreta menos vulnerável a ataques
de dicionário ou força bruta. Além disso, uma frase secreta talvez seja mais fácil de lembrar principalmente se
você precisar alterar a senha com frequência. Aqui estão algumas dicas na escolha de boas senhas ou frases
secretas:
Dicas para escolher uma boa senha:
Escolha uma frase signi�cativa para você
Adicione caracteres especiais, como ! @ # $ % ^ & * ( )
Quanto maior melhor
Evite frases comuns ou famosas, como a letra de uma música famosa
Recentemente, o Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos publicou os
requisitos de senha melhorada. Os padrões NIST são destinados à aplicação governamental, mas também
podem servir como um padrão para os outros. As novas orientações visam fornecer uma melhor experiência
de usuário e colocar o ônus da veri�cação do usuário nos fornecedores.
Resumo das novas orientações:
No mínimo 8 caracteres e no máximo 64 caracteres
Não use senhas comuns e fáceis de ser descobertas, como a senha abc123
Não aplique regras de composição, como ter que incluir números e letras maiúsculas e minúsculas
Melhore a precisão da digitação, permitindo que o usuário não veja a senha durante a digitação
Todas as marcas de formatação e espaços são permitidos
Não use dicas para senhas
Não aplique expiração de senha periódica ou arbitrária
Nenhuma autenticação baseada em conhecimento, como informações de perguntas secretas compartilhadas,
dados comerciais e histórico de transações
Clique aqui para saber mais sobre o requisito de senha melhorada do NIST.
Mesmo com o acesso seguro aos computadores e dispositivos de rede, também é importante proteger e
preservar os dados.
Criptografar seus dados
Seus dados sempre devem ser criptografados. Você pode pensar que não tem segredos e nada a esconder,
então, por que usar criptogra�a? Pode achar que ninguém quer seus dados. Provavelmente, isto não é
verdade.
Está pronto para mostrar todas as suas fotos e documentos para estranhos? Está pronto para compartilhar
informações �nanceiras armazenadas em seu computador com os seus amigos? Você quer dar seus e-mails e
senhas de conta para o público em geral?
Isso poderá ser ainda mais problemático se um aplicativo mal-intencionado infectar o computador ou
dispositivo móvel e roubar informações valiosas, como números de conta e senhas e outros documentos
o�ciais. Esse tipo de informação pode levar ao roubo de identidade, fraude ou pedido de resgate. Os
criminosos podem decidir simplesmente criptografar seus dados e torná-los inutilizáveis até que você pague o
resgate.
O que é criptogra�a? Criptogra�a é o processo de converter as informações em um formato que não pode ser
lido por uma pessoa não autorizada. Somente uma pessoa con�ável, autorizada com a chave secreta ou uma
senha pode descriptografar os dados e acessá-los em sua forma original. A criptogra�a em si não impede que
alguém intercepte os dados. A criptogra�a só pode impedir uma pessoa não autorizada de exibir ou acessar o
conteúdo.
Programas de software são usados para criptografar arquivos, pastas e, até mesmo, unidades inteiras.
O EFS (Encrypting File System, Sistema de Criptogra�a de Arquivos) é uma característica do Windows que
pode criptografar dados. O EFS está vinculado diretamente a uma conta de usuário especí�ca. Apenas o
usuário que criptografou os dados poderá acessá-los depois de eles terem sido criptografados usando EFS.
Para criptografar os dados usando EFS em todas as versões do Windows, siga estes passos:
Passo 1. Selecione um ou mais arquivos ou pastas.
Passo 2. Clique com o botão direito nos dados selecionados >Propriedades.
Passo 3. Clique em Avançado...
Passo 4. Marque a caixa de seleção Criptografar conteúdo para proteger os dados.
Passo 5. Os arquivos e as pastas que foram criptografados com EFS são exibidos em verde, como mostrado na
�gura.
Backup dos seus dados
O disco rígido pode falhar. Você pode perder seu notebook. Seu smartphone pode ser roubado. Talvez você
tenha apagado a versão original de um documento importante. O backup pode impedir a perda de dados
insubstituíveis, como fotos de família. Para fazer backup de dados corretamente, você precisará de um local
de armazenamento adicional para onde deverá copiá-los, de forma regular e automática.
A localização adicional dos seus arquivos de backup pode ser na sua rede domiciliar, localização secundária
ou na nuvem. Quando armazena o backup dos dados localmente, você tem controle total dos dados. Você
pode optar por copiar todos os dados para um dispositivo de armazenamento em rede (NAS), um simples
disco rígido externo, ou talvez selecionar somente algumas pastas importantes para backup em pen drives,
CDs e DVDs ou até mesmo �tas. Nesse cenário, você é o proprietário e totalmente responsável pelo custo e
pela manutenção do equipamento de dispositivo de armazenamento. Se você assinarum serviço de
armazenamento em nuvem, o custo dependerá do espaço de armazenamento necessário. Com um serviço de
armazenamento em nuvem como o Amazon Web Services (AWS), você tem acesso aos dados de backup e ao
mesmo tempo à sua conta. Quando você assina serviços de armazenamento on-line, pode precisar ser mais
seletivo sobre os dados para backup, devido ao custo de armazenamento e as transferências de dados on-line
constantes. Uma das vantagens de armazenar um backup em um local alternativo é a segurança em caso de
incêndio, roubo ou outras catástrofes que não sejam a falha do dispositivo de armazenamento.
Excluir os dados permanentemente
Quando você move um arquivo para a lixeira e o exclui permanentemente, o arquivo só está inacessível para
o sistema operacional. Qualquer um com as ferramentas forenses corretas ainda pode recuperar o arquivo
devido ao rastro magnético deixado no disco rígido.
Para apagar dados de modo que eles não sejam recuperáveis, os dados devem ser substituídos por um e zero
várias vezes. Para impedir a recuperação de arquivos excluídos, talvez seja necessário usar ferramentas
especi�camente projetadas para isso. O programa SDelete da Microsoft (para o Vista e versões posteriores)
alega ter a capacidade de remover completamente os arquivos con�denciais. Shred para Linux e Secure
Empty Trash para Mac OSX são algumas ferramentas que alegam proporcionar um serviço semelhante.
A única maneira de ter a certeza de que os dados ou arquivos não são recuperáveis é destruir �sicamente o
disco rígido ou o dispositivo de armazenamento. A insensatez de muitos criminosos é pensar que os arquivos
são impenetráveis ou irrecuperáveis.
Além de armazenar dados nos discos rígidos locais, os dados também podem ser armazenados on-line na
nuvem. As cópias também precisarão ser eliminadas. Reserve um momento para se perguntar: onde salvo
meus dados? Eles estão salvos em outro local? Eles estão criptografados? Quando você precisar excluir os
dados ou se livrar de um disco rígido ou computador, pergunte a si mesmo: os dados estão protegidos para
que não caiam em mãos erradas?
Autenticação de dois fatores
Serviços on-line populares, como Google, Facebook, Twitter, LinkedIn, Apple e Microsoft, usam
autenticação de dois fatores para adicionar uma camada extra de segurança nos logins de conta. Além do
nome de usuário e senha ou número de identi�cação pessoal (PIN) ou padrão, a autenticação de dois fatores
requer um segundo token, como:
Objeto físico - cartão de crédito, cartão de débito, telefone ou fob
Veri�cação biométrica - impressão digital, impressão palmar, facial ou reconhecimento de voz
Mesmo com a autenticação de dois fatores, os hackers ainda conseguem acessar as contas on-line através de
ataques, como phishing, malware e engenharia social.
Clique aqui para descobrir se os sites que você visita usam autenticação de dois fatores.
OAuth 2.0
Open Authorization (OAuth) é um protocolo padrão aberto que permite às credenciais de um usuário �nal
acessar aplicativos de terceiros sem expor a senha do usuário. OAuth funciona como o intermediário para
decidir se deseja permitir aos usuários �nais o acesso a aplicativos de terceiros. Por exemplo, digamos que
você deseja acessar o aplicativo da Web XYZ e não tem uma conta de usuário para acessá-lo. No entanto, o
XYZ tem a opção de permitir que você faça logon usando as credenciais de um site de redes sociais ABC.
Então, acesse o site usando o logon de redes sociais.
Para que isso funcione, o aplicativo “XYZ” é registrado com “ABC” e está aprovado. Quando você acessar
XYZ, usará suas credenciais de usuário de ABC. Então, XYZ solicita um token de acesso do ABC em seu
nome. Agora, você tem acesso ao XYZ. XYZ não sabe nada sobre você e suas credenciais de usuário, e essa
interação é totalmente simples para o usuário. Usar tokens secretos impede que um aplicativo
mal-intencionado receba suas informações e seus dados.
Não compartilhe muitas informações nas redes sociais
Se você quiser manter a privacidade nas redes sociais, compartilhe o mínimo de informação possível. Você
não deve compartilhar informações, como data de nascimento, endereço de e-mail ou número de telefone,
no seu per�l. As pessoas que precisam de suas informações pessoais provavelmente já conhecem tais
informações. Não preencha completamente seu per�l de redes sociais; só forneça as informações necessárias.
Além disso, veri�que as con�gurações de redes sociais para permitir que somente pessoas que você conheça
veja suas atividades ou participe das suas conversas.
Quanto mais informações pessoais você compartilha on-line, mais fácil será para alguém criar um per�l sobre
você e se bene�ciar com isso o�-line.
Você já esqueceu o nome de usuário e a senha de uma conta on-line? Perguntas de segurança como "Qual é o
nome de solteira da sua mãe?" ou "Em qual cidade você nasceu?" são supostamente para ajudar a manter sua
conta segura contra invasores. No entanto, qualquer pessoa que queira acessar suas contas pode procurar as
respostas na Internet. Você pode responder a estas perguntas com informações falsas, desde que consiga
lembrar delas. Se você tiver di�culdade de lembrar, poderá usar o gerenciador de senhas para gerenciá-las.
Privacidade de e-mail e navegador da Web
Todos os dias, milhões de mensagens de e-mail são usadas para comunicação com amigos e negócios. E-mail é
a maneira adequada de se comunicar rapidamente. O envio de um e-mail é semelhante ao envio de uma
mensagem usando um cartão postal. A mensagem de cartão postal pode ser vista por qualquer pessoa; a
mensagem de e-mail é transmitida em texto sem formatação e pode ser lida por qualquer pessoa que tenha
acesso. Estas comunicações também são passadas entre diferentes servidores na rota até o destino. Mesmo
quando você apaga suas mensagens de e-mail, elas podem ser arquivadas nos servidores de e-mail por algum
tempo.
Qualquer pessoa com acesso físico ao computador ou roteador pode visualizar os sites que você visitou
usando o histórico do navegador da Web, cache e possivelmente os arquivos de log. Este problema pode ser
minimizado ao habilitar o modo de navegação em privado no navegador da Web. A maioria dos navegadores
populares da Web tem seu próprio nome para o modo de navegação privada:
Microsoft Internet Explorer: InPrivate
Google Chrome: Incognito
Mozilla Firefox: Aba privada / janela privada
Safari: Privado: Navegação privada
Com o modo privado ativado, os cookies estão desabilitados; os arquivos de Internet temporários e o
histórico de navegação são removidos depois de fechar a janela ou o programa.
Manter privado o histórico de navegação de Internet pode impedir que outros coletem informações sobre
suas atividades on-line e atraiam você para comprar algo com anúncios direcionados. Mesmo com a
navegação privada habilitada e os cookies desabilitados, as empresas estão desenvolvendo maneiras diferentes
de identi�car exclusivamente os usuários para reunir informações e rastrear o comportamento do usuário.
Por exemplo, os dispositivos intermediários, como roteadores, podem ter informações sobre o histórico de
navegação na Web de um usuário.
Em última análise, você é responsável por proteger seus dados, sua identidade e seus dispositivos de
computação. Quando você envia um e-mail, deve incluir seus registros médicos? Na próxima vez que você
navegar na Internet, a transmissão estará segura? Apenas algumas precauções simples podem evitar
problemas mais tarde.
Capítulo 3: Proteção de seus dados e privacidade
Este capítulo abordou seus dispositivos e dados pessoais. Incluiu dicas para proteger os dispositivos, criar
senhas fortes e usar redes sem �o com segurança. Descreveu os backups de dados, o armazenamento de dados
e exclusão permanente dos dados.
As técnicas de autenticação foram discutidas para ajudá-lo a manter seus dados de forma segura. Abordou
brevemente como é fácil compartilhar muitas informações nas redes sociais e como evitaresse risco à
segurança.
Se você quiser se aprofundar ainda mais nos conceitos deste capítulo, con�ra a página de Recursos e
atividades adicionais nos Recursos do aluno.
Capítulo 4: Proteção da empresa
Este capítulo aborda algumas tecnologias e processos utilizados por pro�ssionais de segurança cibernética
para proteger a rede, o equipamento e os dados da empresa. Primeiro, ele abrange brevemente muitos tipos
de �rewalls, equipamentos de segurança e software que são usados no momento, incluindo as melhores
práticas.
Em seguida, explica botnets, Kill Chain, a segurança baseada em comportamento e o uso do NetFlow para
monitorar uma rede.
A terceira seção discute a segurança cibernética da Cisco, incluindo a equipe CSIRT e o manual de
segurança. Resume brevemente as ferramentas que os pro�ssionais de segurança cibernética usam para
detectar e prevenir ataques à rede.
Tipos de �rewall
O �rewall é uma parede ou partição projetada para impedir que o fogo se espalhe de uma parte de um
edifício para outra. Em redes de computador, um �rewall controla ou �ltra quais comunicações podem
entrar ou sair de um dispositivo ou uma rede, como mostrado na �gura. Um �rewall pode ser instalado em
um único computador com o objetivo de protegê-lo (�rewall baseado em host), ou pode ser um dispositivo
de rede autônomo que protege uma rede de computadores e todos os dispositivos hospedados na rede
(�rewall pela rede).
Ao longo dos anos, à medida que os ataques à rede e aos computadores tornaram-se mais so�sticados, novos
tipos de �rewalls foram desenvolvidos para propósitos diferentes na proteção de uma rede. Esta é uma lista
dos tipos comuns de �rewall:
Firewall de camada de rede – �ltragem baseada em endereços IP de origem e destino
Firewall de camada de transporte – �ltragem baseada em portas de origem e destino de dados e em estados de
conexão
Firewall de camada de aplicação – �ltragem baseada em aplicativo, programa ou serviço
Firewall de aplicação com reconhecimento de contexto – �ltragem baseada em usuário, dispositivo, função,
tipo de aplicativo e per�l de ameaça
Servidor proxy – �ltragem de solicitações de conteúdo da Web, como URL, domínio, mídia etc.
Servidor proxy reverso – colocado na frente de servidores da Web, os servidores proxy protegem, ocultam,
fazem o o�oad e distribuem o acesso a servidores da Web
Firewall Network Address Translation (NAT) – oculta ou disfarça os endereços privados de hosts de rede
Firewall baseado em host – �ltragem de portas e chamadas de serviço do sistema em um sistema operacional
de computador único
Varredura de porta
A varredura de porta é um processo de sondagem de um computador, servidor ou outro host de rede em
busca de portas abertas. Na rede, cada aplicativo em execução em um dispositivo recebe um identi�cador ou
número de porta. Esse número da porta é usado em ambas as extremidades da transmissão para que os dados
certos sejam passados ao aplicativo correto. A varredura de porta pode ser usada de forma mal-intencionada
como uma ferramenta de reconhecimento para identi�car o sistema operacional e os serviços em execução
em um host ou computador, ou pode ser usada por um administrador de rede, sem causar danos, para
veri�car as políticas de segurança da rede.
Para avaliar a segurança de porta e o �rewall da rede do computador, use uma ferramenta de varredura de
porta, como Nmap, para localizar todas as portas abertas na rede. A varredura de porta pode ser considerada
como um precursor para um ataque à rede e, portanto, não deve ser feita em servidores públicos na Internet
ou em uma rede corporativa sem permissão.
Para executar uma varredura de porta Nmap de um computador na rede domiciliar local, baixe e inicialize
um programa como o Zenmap, forneça o endereço IP de destino do computador que você gostaria de
veri�car, escolha um per�l de varredura padrão e inicie a varredura. A varredura Nmap relatará quaisquer
serviços em execução (por exemplo, serviços da Web, serviços de e-mail etc.) e os números de porta. A
varredura de uma porta geralmente resulta em uma destas três respostas:
Aberta ou aceita – o host respondeu indicando que um serviço está escutando na porta.
Fechada, negada ou não escutando – o host respondeu indicando que as conexões serão negadas à porta.
Filtrada, descartada ou bloqueada – não houve resposta do host.
Para executar uma varredura de porta da rede a partir de fora da rede, inicie a varredura de fora da rede. Isto
implicará na execução de uma varredura de porta Nmap no seu �rewall ou endereço IP público do roteador.
Para descobrir seu endereço IP público, use um mecanismo de pesquisa, como o Google, com a consulta
"qual é o meu endereço IP". O mecanismo de pesquisa retornará seu endereço IP público.
Para executar uma varredura de seis portas comuns no seu roteador domiciliar ou �rewall, vá para o scanner
de porta Nmap on-line em https://hackertarget.com/nmap-online-port-scanner/ e digite o endereço IP
público na caixa de entrada: endereço IP a ser veri�cado… e pressione Quick Nmap Scan (Varredura Nmap
rápida). Se a resposta for open para qualquer uma das portas: 21, 22, 25, 80, 443 ou 3389, então
provavelmente o encaminhamento de portas foi habilitado em seu roteador ou �rewall, e você está
executando servidores na sua rede privada, como mostrado na �gura.
Equipamentos de segurança
Atualmente, não há equipamentos de segurança ou tecnologia que solucionará todas as necessidades de
segurança da rede. Como há uma variedade de equipamentos de segurança e ferramentas que precisa ser
implementada, é importante que todos eles trabalhem juntos. Equipamentos de segurança são mais e�cazes
quando fazem parte de um sistema.
Equipamentos de segurança podem ser dispositivos autônomos, como um roteador ou �rewall, uma placa
que pode ser instalada em um dispositivo de rede ou um módulo com seu próprio processador e memória
em cache. Equipamentos de segurança também podem ser ferramentas de software executadas em um
dispositivo de rede. Os equipamentos de segurança enquadram-se nestas categorias gerais:
Roteadores - o Cisco Integrated Services Router (ISR), mostrado na Figura 1, tem muitos recursos de
�rewall, além de funções apenas de roteamento, incluindo a �ltragem de tráfego, a capacidade de executar
um IPS (sistema de prevenção de intrusão), a criptogra�a e os recursos de VPN para tunelamento
criptografado seguro.
Firewalls - �rewalls de última geração da Cisco têm todos os recursos de um roteador ISR, bem como
gerenciamento avançado de redes e análise. O Cisco Adaptive Security Appliance (ASA) com recursos de
�rewall é mostrado na Figura 2.
IPS - dispositivos IPS de última geração da Cisco, mostrados na Figura 3, são dedicados à prevenção de
intrusão.
VPN - os equipamentos de segurança da Cisco são equipados com tecnologias de cliente e servidor de uma
rede privada virtual (VPN). Eles são projetados para tunelamento criptografado seguro.
Malware/antivírus - O Cisco Advanced Malware Protection (AMP) vem na próxima geração de roteadores,
�rewalls, dispositivos IPS, dispositivos de segurança da Web e e-mail da Cisco e também pode ser instalado
como um software em computadores host.
Outros dispositivos de segurança – esta categoria inclui dispositivos de segurança de e-mail e Web,
dispositivos de decriptogra�a, servidores de controle de acesso para cliente e sistemas de gerenciamento de
segurança.
Detecção de ataques em tempo real
O software não é perfeito. Quando um hacker explora uma falha em uma parte do software antes do criador
poder corrigi-la, isso é conhecido como um ataque de dia zero. Devido à so�sticação e à grande quantidade
de ataques de dia zero que ocorrem atualmente, os ataques à rede estão se tornando comuns e uma defesa
bem-sucedida é avaliada de acordo com a velocidade em que uma rede pode responder a um ataque. A
capacidade de detectar ataques, como eles acontecem em tempo real, bem como parar os ataques
imediatamente, ou dentro de minutosda ocorrência, é o objetivo ideal. Infelizmente, muitas empresas são
incapazes de detectar ataques, em até dias ou mesmo meses depois que eles ocorreram.
Varredura em tempo real da borda para o endpoint - a detecção de ataques em tempo real requer a varredura
ativa de ataques usando �rewall e dispositivos de rede IDS/IPS. A detecção de malware de cliente/servidor de
última geração com conexões a centros de ameaças on-line globais também deve ser usada. Atualmente, os
softwares e dispositivos de varredura ativos devem detectar anomalias de rede usando a detecção de
comportamento e análise baseada em contexto.
Ataques de DDoS e resposta em tempo real - DDoS é a maior ameaça de ataque, que exige resposta e
detecção em tempo real. É extremamente difícil se defender de ataques de DDoS, pois eles originam centenas
ou milhares de hosts zumbis e aparecem como tráfego legítimo, conforme mostrado na �gura. Para muitas
empresas, os ataques de DDoS que ocorrem regularmente prejudicam os servidores de Internet e a
disponibilidade de rede. A capacidade de detectar e responder a ataques de DDoS em tempo real é crucial.
Proteção contra malware
Como você oferece defesa contra a constante presença de ataques de dia zero, bem como ameaças
persistentes avançadas (APT) que roubam dados por longos períodos? Use uma solução de detecção de
malware de nível empresarial avançada que oferece a detecção de malware em tempo real.
Os administradores da rede devem monitorá-la constantemente para detectar sinais de malware ou
comportamentos que revelam a presença de um APT. A Cisco tem uma Proteção avançada contra malware
(AMP) que analisa milhões de arquivos com segurança e correlaciona-os a centenas de milhões de outros
artefatos de malware analisados. Isso proporciona uma visão geral de ataques, de campanhas e de
distribuição de malware. O AMP é um software de servidor/cliente, implantado em dispositivos �nais
(endpoints), como um servidor autônomo, ou em outros dispositivos de segurança de rede. A �gura mostra
os benefícios do AMP Threat Grid.
Práticas recomendadas de segurança
Muitas empresas e pro�ssionais publicaram listas das melhores práticas de segurança. Esta é uma lista das
melhores práticas de segurança:
Realizar a avaliação de risco – Saber o valor do que você está protegendo ajudará a justi�car as despesas de
segurança.
Criar uma política de segurança – Criar uma política que de�ne claramente as regras da empresa, os deveres e
as expectativas do trabalho.
Medidas de segurança física – Restringir o acesso a racks de rede, locais de servidor, bem como supressão de
fogo.
Medidas de segurança de recursos humanos – Os antecedentes dos funcionários devem ser devidamente
pesquisados.
Executar e testar backups – Fazer backups regulares e teste de recuperação de dados de backups.
Manter atualizações e patches de segurança – Atualizar regularmente o servidor e os sistemas operacionais e
programas de dispositivos de rede e do cliente.
Empregar controles de acesso – Con�gurar funções de usuário e níveis de privilégio, bem como autenticação
forte ao usuário.
Testar regularmente a resposta a incidentes – Empregar uma equipe de resposta a incidentes e testar cenários
de resposta a emergências.
Implementar uma rede de monitoramento, análise e ferramenta de gerenciamento - Escolher uma solução de
gerenciamento de segurança que se integra a outras tecnologias.
Implementar dispositivos de segurança de rede – Use roteadores next generation, �rewalls e outros
dispositivos de segurança.
Implementar uma solução abrangente de segurança de endpoint – Use software antivírus e antimalware de
nível corporativo.
Treinar os usuários – Treinar os usuários e funcionários nos procedimentos de segurança.
Criptografar dados – Criptografar todos os dados con�denciais da empresa, incluindo e-mail.
Algumas das orientações mais úteis são encontradas nos repositórios corporativos, tais como o Centro de
recursos de segurança em computação do Instituto Nacional de Padrões e Tecnologia (NIST), conforme
mostrado na �gura.
Uma das empresas mais conhecidas e respeitadas para o treinamento de segurança cibernética é o Instituto
SANS. Clique aqui para saber mais sobre SANS e os tipos de treinamento e certi�cações disponíveis.
Botnet
Uma botnet é um grupo de robôs (bots), conectados pela Internet, com a capacidade de ser controlado por
um indivíduo ou grupo mal-intencionado. Um computador bot normalmente é infectado por visitar um
site, abrir um anexo de e-mail ou abrir um arquivo de mídia infectado.
Uma botnet pode ter dezenas de milhares, ou até mesmo centenas de milhares, de robôs. Esses robôs podem
ser ativados para distribuir malware, lançar ataques de DDoS, distribuir e-mail de spam ou executar ataques
de senha de força bruta. Botnets são geralmente controlados por um servidor de comando e controle.
Os criminosos virtuais frequentemente alugam Botnets, por uma taxa, para terceiros com �nalidade
inapropriada.
A �gura mostra como um �ltro de tráfego de botnet é usado para informar a comunidade de segurança em
todo o mundo sobre os botnet locais.
Kill Chain na defesa cibernética
Em segurança cibernética, a Kill Chain consiste nas etapas de um ataque de sistemas de informação.
Desenvolvida pela Lockheed Martin como uma estrutura de segurança para detecção e resposta a incidente, a
Cyber Kill Chain é composta das seguintes etapas:
Etapa 1. Reconhecimento - o invasor reúne informações sobre o alvo.
Etapa 2. Armamento - o invasor cria um exploit e payload mal-intencionado para enviar ao alvo.
Etapa 3. Entrega -o invasor envia o exploit e o payload mal-intencionado para o alvo por e-mail ou outro
método.
Etapa 4. Exploração - o exploit é executado.
Etapa 5 Instalação - malware e backdoors são instalados no alvo.
Etapa 6. Comando e controle - controle remoto do alvo é adquirido por um servidor ou canal de comando e
controle.
Etapa 7. Ação - o invasor executa ações mal-intencionadas, como roubo de informações, ou executa ataques
adicionais em outros dispositivos de dentro da rede, percorrendo novamente as etapas da Kill Chain.
Para se defender contra a Kill Chain, as defesas de segurança de rede são projetadas contra essas etapas. Estas
são algumas perguntas sobre as defesas de segurança da empresa, com base na Cyber Kill Chain:
• Quais são os indicadores de ataque em cada etapa da Kill Chain?
• Quais ferramentas de segurança são necessárias para detectar os indicadores de ataque em cada uma das
etapas?
• Existem lacunas na capacidade de a empresa detectar um ataque?
De acordo com a Lockheed Martin, compreender as etapas de Kill Chain permitiu colocar obstáculos
defensivos, retardar o ataque e, �nalmente, evitar a perda de dados. A �gura mostra como cada etapa de Kill
Chain equivale a um aumento na quantidade de esforço e custo para inibir e remediar ataques.
Segurança baseada em comportamento
Segurança baseada em comportamento é uma forma de detecção de ameaças que não depende de assinaturas
mal-intencionadas conhecidas, mas em vez disso, usa o contexto de informações para detectar anomalias na
rede. A detecção baseada em comportamento envolve capturar e analisar o �uxo de comunicação entre um
usuário na rede local e um destino local ou remoto. Estas comunicações, quando capturadas e analisadas,
revelam o contexto e os padrões de comportamento que podem ser usados para detectar anomalias. A
detecção baseada em comportamento pode descobrir a presença de um ataque por uma mudança no
comportamento normal.
Honeypots - a Honeypot é uma ferramenta de detecção baseada em comportamento que primeiro atrai o
invasor apelando ao padrão previsto de comportamento malicioso, e então, quando dentro da honeypot, o
administrador de rede pode capturar, registrar e analisar o comportamento do invasor. Isso permite que um
administrador obtenha mais conhecimento e desenvolva uma defesa melhor.
Arquitetura de soluções da Threat Defense Cyber da Cisco - esta é uma arquitetura desegurança que usa
detecção baseada em comportamento e indicadores para fornecer maior visibilidade, contexto e controle. O
objetivo é saber quem, o quê, onde, quando e como um ataque está ocorrendo. Essa arquitetura de
segurança usa muitas tecnologias de segurança para atingir esse objetivo.
NetFlow
A Tecnologia NetFlow é usada para coletar informações sobre dados �uindo por uma rede. As informações
do NetFlow podem ser comparadas a uma conta de telefone para seu tráfego de rede. Ele mostra quem e o
que são dispositivos na sua rede, quando e como os usuários e dispositivos acessaram a sua rede. O NetFlow é
um componente importante na análise e detecção baseada em comportamento. Switches, roteadores e
�rewalls equipados com NetFlow podem relatar informações sobre dados que entram, saem e se deslocam
pela rede. As informações são enviadas para os coletores NetFlow que coletam, armazenam e analisam
registros de NetFlow.
O NetFlow é capaz de coletar informações sobre o uso por muitas características diferentes de como os dados
são movidos através da rede, como mostrado na �gura. Ao coletar as informações sobre os �uxos de dados de
rede, o NetFlow é capaz de estabelecer comportamentos de parâmetros em mais de 90 diferentes atributos.
CSIRT
Muitas empresas de grande porte têm uma Equipe de resposta a incidentes de segurança computacional
(CSIRT) para recepção, análise e resposta de incidentes de segurança de computador, conforme mostrado na
Figura 1. A principal missão da CSIRT é ajudar a garantir a preservação de dados, do sistema e da empresa
pela realização de investigações abrangentes sobre incidentes de segurança computacional. Para evitar
incidentes de segurança, a CSIRT da Cisco fornece avaliação proativa de riscos, planejamento de mitigação,
análise de tendência de incidentes e revisão da arquitetura de segurança, conforme mostrado na Figura 2.
A CSIRT da Cisco colabora com a Forum of Incident Response and Security Teams (FIRST), National
Safety Information Exchange (NSIE), Defense Security Information Exchange (DSIE) e o DNS Operations
Analysis and Research Center (DNS-OARC).
Existem empresas de CSIRT nacionais e públicas, como a divisão de CERT do Instituto de Engenharia de
Software na Universidade Carnegie Mellon, que estão disponíveis para ajudar empresas e CSIRTs nacionais a
desenvolver, operar e melhorar os recursos de gerenciamento de incidentes.
Manual de segurança
A tecnologia está em constante mudança. Isso signi�ca que os ataques cibernéticos estão evoluindo bastante.
As novas vulnerabilidades e métodos de ataque são descobertos continuamente. A segurança está se
tornando uma preocupação corporativa importante por causa da reputação resultante e o impacto
�nanceiro de violações de segurança. Os ataques estão apontando redes importantes e dados con�denciais.
As empresas devem ter planejamento, preparação, método e recuperação de uma violação.
Uma das melhores maneiras de se preparar para uma violação de segurança é evitá-la. Deve haver orientação
para identi�car o risco de segurança cibernética para sistemas, ativos, dados e recursos; proteger o sistema
com a implementação de proteções e treinamento de pessoal; e detectar eventos de segurança cibernética o
mais rápido possível. Quando é detectada uma violação de segurança, as ações apropriadas devem ser
tomadas para minimizar o impacto e os danos. O plano de resposta deve ser �exível com várias opções de
ação durante a violação. Depois de conter a violação e restaurar os sistemas e serviços comprometidos, as
medidas e os processos de segurança devem ser atualizados para incluir as lições aprendidas durante a
violação.
Todas estas informações devem ser compiladas em um manual de segurança. Um manual de segurança é uma
coleção de consultas repetidas (relatórios) em fontes de dados de evento de segurança que levam à detecção e
resposta a incidente. O manual de segurança deve realizar as seguintes ações:
Detectar máquinas infectadas com malware.
Detectar atividades suspeitas na rede.
Detectar tentativas de autenticação irregulares.
Descrever e compreender o tráfego de entrada e de saída.
Fornecer informações resumidas, incluindo tendências, estatísticas e contagens.
Dar acesso útil e rápido a estatísticas e métricas.
Correlacionar eventos em todas as fontes de dados relevantes.
Ferramentas para prevenção e detecção de incidentes
Estas são algumas das ferramentas usadas para detectar e prevenir incidentes de segurança:
SIEM – um sistema de informações de segurança e gerenciamento de eventos (SIEM) é um software que
recolhe e analisa os alertas de segurança, registros e outros dados históricos e em tempo real dos dispositivos
de segurança na rede.
DLP – o software de prevenção de perda de dados (DLP) é um sistema de software ou hardware projetado
para impedir que os dados con�denciais sejam roubados ou vazem de uma rede. Um sistema DLP pode
abordar a autorização de acesso de arquivo, a troca de dados, cópia de dados, monitoramento das atividades
do usuário e muito mais. Os sistemas DLP são projetados para monitorar e proteger dados em três estados
diferentes: dados em uso, dados em movimento e dados em repouso. Dados em uso são focados no cliente,
dados em movimento se referem aos dados em deslocamento pela rede e dados em repouso se referem ao
armazenamento de dados.
Cisco TrustSec e ISE – Cisco Identity Services Engine (Cisco ISE) e Cisco TrustSec executam o acesso aos
recursos da rede através da criação de políticas de controle de acesso por função, que segmentam o acesso à
rede (convidados, usuários de dispositivos móveis, funcionários) sem mais complexidade. A classi�cação de
tráfego baseia-se na identidade do usuário ou dispositivo. Clique em Play (Reproduzir) na �gura para obter
mais informações sobre ISE.
Clique aqui para ler a transcrição do vídeo.
IDS e IPS
Um sistema de detecção de invasão (IDS), mostrado na �gura, é um dispositivo de rede dedicado, ou uma
das várias ferramentas em um servidor ou �rewall que varre os dados em um banco de dados de regras ou de
assinaturas de ataques, à procura de tráfego mal-intencionado. Se uma correspondência for detectada, o IDS
registrará a detecção de registro e criará um alerta para um administrador de rede. O sistema de detecção de
invasão não age quando uma correspondência é detectada, então não impede os ataques. O trabalho do IDS
é apenas detectar, registrar e relatar.
A varredura realizada pelo IDS deixa a rede mais lenta (conhecido como latência). Para se prevenir contra o
atraso de rede, um IDS é geralmente colocado o�-line, separado do tráfego de rede regular. Dados são
copiados ou espelhados por um switch e então encaminhados para o IDS para a detecção o�-line. Também
existem ferramentas de IDS que podem ser instaladas sobre o sistema operacional do computador, como o
Linux ou Windows.
Um IPS (sistema de prevenção de intrusão) tem a capacidade de bloquear ou negar o tráfego com base em
uma correspondência de regra ou assinatura positiva. Um dos sistemas mais conhecidos de IPS/IDS é o
Snort. A versão comercial do Snort é o Source�re da Cisco. O Source�re tem a capacidade de executar o
tráfego em tempo real e análise de porta, gerar registros, buscar e corresponder conteúdo e pode detectar
probes, ataques e varreduras de portas. Ele também se integra com outras ferramentas de terceiros para
geração de relatórios, análise de desempenho e registro.
Capítulo 4: Proteção da empresa
Este capítulo começou discutindo algumas tecnologias e processos utilizados por pro�ssionais de segurança
cibernética para proteger a rede, o equipamento e os dados da empresa. Isto inclui tipos de �rewalls,
equipamentos de segurança e software.
Botnets, Kill Chain, a segurança baseada em comportamento e o uso do NetFlow para monitorar uma rede
foram abordados.
Por �m, a abordagem da Cisco para segurança cibernética, incluindo a equipe CSIRT, e o manual de
segurança foram explicados. Ele resume brevemente asferramentas que os pro�ssionais de segurança
cibernética usam para detectar e prevenir ataques à rede, incluindo SIEM, DLP, Cisco ISE e TrustSec, além
de sistemas IDS e IPS.
Se você quiser se aprofundar ainda mais nos conceitos deste capítulo, con�ra a página de Recursos e
atividades adicionais nos Recursos do aluno.
Capítulo 5: O seu futuro estará na segurança cibernética
Este capítulo aborda as questões jurídicas e éticas que surgem quando se trabalha com segurança cibernética.
Ele também discute os caminhos educacionais e de carreira para segurança cibernética. Há caminhos
educativos para as certi�cações que você pode querer buscar com o Cisco Networking Academy. Essas
certi�cações são pré-requisitos para os certi�cados de especialista em muitas áreas de rede, incluindo a
segurança cibernética.
A página Talent Bridge da Networking Academy (netacad.com, em Resources) disponibiliza informações
para ajudá-lo a montar um bom currículo e se preparar para uma entrevista de emprego. Ela também contém
listagens de empregos da Cisco e de parceiros da Cisco. São apresentados três mecanismos de busca de
trabalho externos na Internet para você conferir.
Questões jurídicas em segurança cibernética
Os pro�ssionais de segurança cibernética devem ter as mesmas quali�cações pro�ssionais que os hackers,
principalmente os hackers Black Hats, para proteger contra ataques. Uma diferença entre um hacker e um
pro�ssional de segurança cibernética é que o pro�ssional de segurança cibernética deve trabalhar dentro dos
limites da lei.
Questões jurídicas pessoais
Você não precisa ser um funcionário para estar sujeito às leis de segurança cibernética. Na sua vida privada,
você pode ter a oportunidade e as quali�cações pro�ssionais para hackear o computador ou a rede de outra
pessoa. Há um velho ditado, "Só porque você pode não signi�ca que deve". Tenha isso em mente. A maioria
dos hackers deixa rastro, conscientemente ou não, e esses rastros podem ser seguidos para achar o hacker.
Os pro�ssionais de segurança cibernética desenvolvem muitas quali�cações pro�ssionais que podem ser
usadas para o bem ou o mal. Aqueles que usam suas quali�cações pro�ssionais dentro do sistema jurídico,
para proteger a infraestrutura, as redes e a privacidade, estão sempre em alta demanda.
Questões jurídicas corporativas
A maioria dos países tem algumas leis de segurança cibernética implantadas. Elas podem estar relacionadas às
privacidades individual e corporativa, redes e infraestrutura essencial. As empresas são obrigadas a respeitar
essas leis.
Em alguns casos, se você não cumprir as leis de segurança cibernética ao fazer seu trabalho, a empresa será
punida e você poderá perder seu emprego. Em outros casos, você pode ser processado, multado e
possivelmente condenado.
Em geral, caso você tenha dúvidas sobre a legalidade de uma ação ou conduta, considere-a como ilegal e não a
realize. Sua empresa pode ter um departamento jurídico ou alguém no departamento de recursos humanos
que pode tirar suas dúvidas antes de fazer algo ilegal.
Direito internacional e a segurança cibernética
A área da lei da segurança cibernética é muito mais recente do que a segurança cibernética propriamente
dita. Como mencionado anteriormente, a maioria dos países tem algumas leis implantadas, e haverá mais leis
no futuro.
Questões éticas em segurança cibernética
Além de trabalhar dentro dos limites da lei, os pro�ssionais de segurança cibernética devem também
demonstrar comportamento ético.
Questões éticas pessoais
Uma pessoa pode agir de forma antiética e não estar sujeita a ações judiciais, multas ou prisão. Isso ocorre
porque a ação pode não ter sido tecnicamente ilegal. Mas isso não signi�ca que o comportamento é aceitável.
O comportamento ético é bastante fácil de veri�car. É impossível listar todos os comportamentos antiéticos
que podem ser exibidos por alguém com quali�cações pro�ssionais de segurança cibernética. Abaixo estão
apenas dois. Pergunte-se:
Eu gostaria de descobrir que alguém invadiu meu computador e alterou as imagens em meus sites de rede
social?
Eu gostaria de descobrir que um técnico de informática, a quem con�ei o conserto da minha rede, coletou e
espalhou minhas informações pessoais a colegas?
Se sua resposta a qualquer destas perguntas foi “não”, então não faça isso com outras pessoas.
Questões de ética corporativas
A ética consiste em códigos de comportamento que, às vezes, são impostos pelas leis. Há muitas áreas na
segurança cibernética que não estão cobertas pelas leis. Isto signi�ca que fazer algo que é tecnicamente legal
ainda pode não ser a atitude ética a se tomar. Como tantas áreas de segurança cibernética não estão (ainda)
cobertas pelas leis, muitas empresas de pro�ssionais de TI criaram códigos de ética para pessoas no setor.
Abaixo, está uma lista de três empresas com códigos de ética:
A CyberSecurity Institute (CSI) publicou um código de ética que você pode ler aqui.
A Information Systems Security Association (ISSA) tem um código de ética encontrado aqui.
A Association of Information Technology Professionals (AITP) tem um código de ética e um padrão de
conduta encontrado aqui.
A Cisco tem uma equipe dedicada exclusivamente à conduta ética empresarial. Clique aqui para obter mais
informações sobre isso. Este site contém um eBook sobre o código de conduta empresarial da Cisco e um
arquivo pdf. Em ambos os arquivos, há uma “Árvore de decisão ética", como mostrado na �gura. Mesmo
que você não trabalhe para a Cisco, as perguntas e respostas encontradas nessa árvore de decisão podem ser
facilmente aplicadas ao seu local de trabalho. Em relação às questões jurídicas, em geral, se você estiver
confuso em relação a uma ação ou conduta ser antiética, considere-a como antiética e não a realize. Pode
haver alguém no departamento de recursos humanos ou jurídico da sua empresa que pode esclarecer a
situação, antes de você fazer algo que seria considerado antiético.
Pesquise para encontrar outras empresas relacionadas à TI com códigos de ética. Tente encontrar o que
todos têm em comum.
Empregos de segurança cibernética
Muitas outras empresas e indústrias estão contratando pro�ssionais de segurança cibernética. Existem vários
mecanismos de pesquisa on-line para ajudá-lo a encontrar o emprego certo em segurança cibernética:
ITJobMatch – o mecanismo de pesquisa ITJobMatch é especí�co para empregos de TI de qualquer tipo, em
todo o mundo.
Monster - Monster é um mecanismo de pesquisa para todos os tipos de empregos. O link fornecido
direciona para vagas de emprego de segurança cibernética.
CareerBuilder - CareerBuilder também é um mecanismo de pesquisa para todos os tipos de empregos. O
link fornecido direciona para vagas de emprego de segurança cibernética.
Estas são apenas três dos muitos sites diferentes de busca de emprego on-line. Mesmo que você esteja apenas
começando seus estudos em TI e segurança cibernética, procurar emprego em mecanismos de pesquisa é
uma boa maneira de saber quais tipos de emprego estão disponíveis, em todo o mundo.
Dependendo do seu interesse em segurança cibernética, diferentes tipos de empregos podem estar
disponíveis para você, e podem exigir certi�cações de quali�cações pro�ssionais especí�cas. Por exemplo, um
especialista em teste de invasão, também conhecido como um hacker ético, pesquisa e explora as
vulnerabilidades de segurança em aplicativos, redes e sistemas. Para se tornar um especialista em teste de
penetração, você precisará adquirir experiência em outros empregos de TI, como administrador de
segurança, administrador de rede e administrador do sistema. Cada um desses empregos requer seu próprio
conjunto de quali�cações pro�ssionais que irá ajudá-lo a se tornar um bem valioso para uma empresa.
Nossa esperança é que este curso atraia seu interesse em estudar TI e segurança cibernética e prosseguir com
uma carreira emocionante! O Cisco Networking Academy oferece diversos cursos para você continuar seus
estudosem segurança cibernética. Nós encorajamos você a se inscrever no próximo curso, Fundamentos de
segurança cibernética, para continuar a criar um conhecimento básico e sólido em segurança cibernética.
Con�ra o Cisco Networking Academy e veja uma lista de cursos que estão disponíveis. Além disso, você
também pode acessar recursos de carreira disponíveis no Cisco Networking Academy.
Apenas por diversão, clique aqui para ler uma história em quadrinhos sobre um super-herói de segurança
cibernética!
Capítulo 5: O seu futuro estará na segurança cibernética?
Este capítulo começou a discutir as questões jurídicas e éticas enfrentadas normalmente por pro�ssionais de
segurança cibernética. Ele também apresentou caminhos educacionais e de carreira para aqueles que desejam
se tornar pro�ssionais de segurança cibernética. São apresentados três mecanismos de busca de trabalho
externos na Internet para você conferir.
Se você quiser se aprofundar ainda mais nos conceitos deste capítulo, con�ra a página de Recursos e
atividades adicionais nos Recursos do aluno.