GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA

Prévia do material em texto

29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 1/254
Página 1
CÍBER SEGURANÇA
GUIA DE SOBREVIVÊNCIA
Princípios Fundamentais e Melhores Práticas
Quinta Edição | Agosto de 2020
Lawrence C. Miller, CISSP
Página 2Página 3
Índice
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 2/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta ediçãoeu
Módulo 1 - Fundamentos da Cibersegurança ............................................ ............ 1
1.0 Cenário de cibersegurança ................................................ .................................................. 1
1.0.1 Tendências de computação moderna ............................................... ......................................... 2
1.0.2 Novos vetores de ameaças de aplicativos .............................................. ................................ 10
1.0.3 Turbulência na nuvem .............................................. ............................................ 12
1.0.4 Riscos de aplicativos SaaS ............................................... ............................................... 15
1.0.5 Conformidade e segurança não são iguais ........................................... ................. 18
1.0.6 Exemplos recentes de ataques cibernéticos de alto perfil ............................................ ................. 21
1,1 Ameaças cibernéticas ................................................. .................................................. ................ 26
1.1.1 Perfis e motivações do atacante .............................................. ............................ 26
1.1.2 Estratégia de ciberataque moderna ............................................... .................................. 28
1,2 Técnicas e tipos de ataque cibernético .............................................. .................................. 33
1.2.1 Malware ................................................. .................................................. ............... 33
1.2.2 Vulnerabilidades e explorações ............................................... ...................................... 38
1.2.3 Spamming e phishing ............................................... ........................................... 40
1.2.4 Bots e botnets ............................................... .................................................. .... 42
1.2.5 Ameaças persistentes avançadas ............................................... .................................... 46
1.2.6 Ataques Wi-Fi .............................................. .................................................. ............ 48
1,3 Modelos de segurança de rede ............................................... ................................................ 58
1.3.1 Estratégia de segurança de rede baseada em perímetro ............................................ ............... 58
1.3.2 Segurança Zero Trust ............................................... .................................................. 59
1,4 Plataforma operacional de segurança ............................................... ........................................... 66
Módulo 2 - Fundamentos de segurança de rede ........................................... ..... 72
2.0 The Connected Globe ............................................... .................................................. .... 72
2.0.1 A NET: Como as coisas se conectam ............................................ ..................................... 73
2.0.2 Introdução aos dispositivos de rede .............................................. ......................... 73
Página 4
2.0.3 Protocolos roteados e de roteamento .............................................. ................................... 75
2.0.4 Redes de área e topologias .............................................. .................................. 77
2.0.5 Sistema de Nome de Domínio ............................................... .............................................. 83
2.0.6 A internet das coisas .............................................. ............................................... 85
2.0.7 IoT Guardian ................................................ .................................................. .......... 91
2,1 Endereçamento Físico, Lógico e Virtual ........................................... ............................ 91
2.1.1 Noções básicas de endereçamento IP ............................................... ................................................. 96
2.1.2 Introdução à criação de sub-redes ............................................... ...................................... 99
2,2 Encapsulamento e ciclo de vida de pacotes .............................................. ................................ 102
2.2.1 Os modelos OSI e TCP / IP ........................................... ........................................ 103
2.2.2 Encapsulamento de dados ................................................ ............................................... 109
2,3 Tecnologias de segurança de rede ............................................... ..................................... 112
2.3.1 Firewalls ................................................. .................................................. ............. 112
2.3.2 Sistemas de detecção de intrusão e prevenção de intrusão ........................................ 113
2.3.3 Filtros de conteúdo da web ............................................... ................................................ 114
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 3/254
ii PALO ALTO NETWORKS, INC.®
2.3.4 Redes privadas virtuais ............................................... ........................................ 115
2.3.5 Prevenção de perda de dados ............................................... .............................................. 118
2.3.6 Gerenciamento unificado de ameaças ............................................... .................................. 119
2,4 Segurança de endpoint ................................................ .................................................. ....... 122
2.4.1 Noções básicas de segurança de endpoint ............................................... ........................................ 122
2.4.2 Proteção contra malware ................................................ .............................................. 122
2.4.3 Software anti-spyware .............................................. ........................................... 127
2.4.4 Firewalls pessoais ................................................ .................................................. 127
2.4.5 Sistemas de prevenção de intrusão baseados em host ............................................ ................ 127
2.4.6 Gerenciamento de dispositivo móvel ............................................... .................................. 128
2.5 Administração de servidor e sistema ............................................. .................................. 129
2.5.1 Gerenciamento de identidade e acesso .............................................. ........................... 130
2.5.2 Serviços de diretório ................................................ .................................................. 130
2.5.3 Vulnerabilidade e gerenciamento de patches .............................................. .................... 130
2.5.4 Gerenciamento de configurações ................................................ .................................. 131
Página 5
2.5.5 Host estruturado e solução de problemas de rede ............................................. ........ 131
2,6 Proteja a empresa (Strata) ............................................ .......................................... 135
2.6.1 Firewallde última geração .............................................. ......................................... 135
2.6.2 Serviços de assinatura ................................................ ............................................. 175
2.6.3 Gerenciamento de segurança de rede (Panorama) ............................................ ............ 188
Módulo 3 - Fundamentos de segurança em nuvem ........................................... ........ 196
3,0 Computação em nuvem ................................................ .................................................. ........ 196
3,1 Cloud Native Technologies ............................................... ............................................ 205
3.1.1 Virtualização ................................................. .................................................. ...... 206
3.1.2 Recipientes e orquestração ............................................... ................................ 209
3.1.3 Computação sem servidor ................................................ ............................................ 213
3,2 Segurança nativa da nuvem ............................................... .................................................. .. 215
3.2.1 Os 4C's da segurança nativa da nuvem ............................................ .............................. 216
3.2.2 DevOps e DevSecOps ............................................... ......................................... 216
3.2.3 Visibilidade, governança e conformidade ............................................ .................... 218
3,3 Segurança de centro de dados híbrido .............................................. ........................................... 219
3.3.1 Pontos fracos da solução de segurança de dados tradicional ............................................. ........ 221
3.3.2 Proteção de tráfego leste-oeste ............................................. ..................................... 222
3.3.3 Segurança em data centers híbridos ............................................. ................................ 224
227
3,4 Proteja a nuvem (Prisma) ............................................ ................................................ 228
3.4.1 Segurança de aplicativos em nuvem (Prisma Cloud) ........................................... ................. 229
3.4.2 Edge de serviço de acesso seguro (Prisma Access) .......................................... .............. 233
3.4.3 Prisma SaaS ................................................ .................................................. ......... 243
Módulo 4 - Fundamentos das operações de segurança ........................................... 249
4,0 Elementos de operações de segurança .............................................. .................................... 249
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 4/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta ediçãoiii
4,1 Processos de Operações de Segurança ............................................... ...................................... 250
4.1.1 Identificar ................................................. .................................................. ............... 251
4.1.2 Investigar ................................................. .................................................. .......... 253
Página 6
4 PALO ALTO NETWORKS, INC.®
4.1.3 Mitigar ................................................. .................................................. .............. 255
4.1.4 Melhorar ................................................. .................................................. .............. 256
4.2 Infraestrutura de Operações de Segurança .............................................. ..................................... 259
4.2.1 Informações de segurança e gerenciamento de eventos ............................................. ......... 259
4.2.2 Ferramentas de análise ................................................ .................................................. ...... 260
4.2.3 Engenharia SOC ................................................ .................................................. .. 260
4,3 Automação de Operações de Segurança ............................................... .................................. 261
4.3.1 Orquestração de segurança, automação e resposta ........................................... ... 261
4.3.2 Automação de segurança ................................................ ............................................. 262
4,4 Proteja o Futuro (Cortex) ............................................ ............................................... 263
4.4.1 Proteção de endpoint (Cortex XDR) ............................................ ............................ 265
4.4.2 Cortex XSOAR ................................................ .................................................. ...... 280
4.4.3 Cortex Data Lake ............................................... .................................................. .. 281
4.4.4 Inteligência de ameaças (AutoFocus) ............................................. ............................... 281
Apêndice A - Respostas da verificação de conhecimento ............................................ ................ 1
Seção 1.0 Verificação de conhecimento .............................................. .................................................. ..... 1
Seção 1.1 Verificação de Conhecimento .............................................. .................................................. ..... 1
Seção 1.2 Verificação de Conhecimento .............................................. .................................................. ..... 1
Seção 1.3 Verificação de Conhecimento .............................................. .................................................. ..... 1
Seção 1.4 Verificação de Conhecimento .............................................. .................................................. ..... 2
Seção 2.0 Verificação de Conhecimento .............................................. .................................................. ..... 2
Seção 2.1 Verificação de Conhecimento .............................................. .................................................. ..... 2
Seção 2.2 Verificação de conhecimento .............................................. .................................................. ..... 2
Seção 2.3 Verificação de conhecimento .............................................. .................................................. ..... 2
Seção 2.4 Verificação de conhecimento .............................................. .................................................. ..... 3
Seção 2.5 Verificação de Conhecimento .............................................. .................................................. ..... 3
Seção 2.6 Verificação de Conhecimento .............................................. .................................................. ..... 3
Seção 3.0 Verificação de Conhecimento .............................................. .................................................. ..... 4
Seção 3.1 Verificação de Conhecimento .............................................. .................................................. ..... 4
Seção 3.2 Verificação de Conhecimento .............................................. .................................................. ..... 4
Página 7
Seção 3.3 Verificação de Conhecimento .............................................. .................................................. ..... 4
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 5/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta ediçãov
Seção 3.4 Verificação de conhecimento .............................................. .................................................. ..... 5
Seção 4.0Verificação de Conhecimento .............................................. .................................................. ..... 5
Seção 4.1 Verificação de Conhecimento .............................................. .................................................. ..... 5
Seção 4.2 Verificação de Conhecimento .............................................. .................................................. ..... 5
Seção 4.3 Verificação de conhecimento .............................................. .................................................. ..... 5
Seção 4.4 Verificação de conhecimento .............................................. .................................................. ..... 6
Apêndice B - Glossário .............................................. .......................................... 1
Apêndice C - Programas de Certificação e Treinamento Técnico da Palo Alto Networks 1
Programa de treinamento técnico da Palo Alto Networks ............................................ ............................. 1
Programa de certificação da Palo Alto Networks ............................................. ..................................... 1
Técnico de nível básico de segurança cibernética certificado pela Palo Alto Networks (PCCET) ............................. 1
Palo Alto Networks Certified Network Security Associate (PCNSA) ........................................ ... 2
Palo Alto Networks Certified Network Security Engineer (PCNSE) ........................................ ..... 2
Página 8
Tabela de Figuras
Figura 1-1: Ciclo de vida do ataque cibernético ........................................ ................................................. 28
Figura 1-2: Vulnerabilidades podem ser exploradas desde o momento em que o software é implantado até que seja
remendado. .................................................. .................................................. .................................... 39
Figura 1-3: Exploits contam com uma série de técnicas básicas de ataque para ter sucesso. ................................. 40
Figura 1-4: A infraestrutura C2 distribuída de um botnet ...................................... ...................... 43
Figura 1-5: Jasager finge ser qualquer ponto de acesso solicitado pelo beacon do cliente.
.................................................. .................................................. .................................................. 54
Figura 1-6: Man-in-the-middle com SSLstrip .................................... ............................................ 56
Figura 1-7: Arquitetura conceitual Zero Trust ......................................... ................................... 62
Figura 1-8: Plataforma operacional de segurança da Palo Alto Networks ....................................... ................ 67
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 6/254
vi PALO ALTO NETWORKS, INC.®
Figura 2-1: Operação DHCP ........................................... .................................................. ............. 95
Figura 2-2: O modelo OSI e o modelo TCP / IP .................................... .................................. 109
Figura 2-3: Tempo médio para detecção por vetor de aplicação ...................................... ............... 124
Figura 2-4: Os firewalls de próxima geração da Palo Alto Networks usam uma arquitetura de passagem única. ....... 136
Figura 2-5: Locais de firewall de próxima geração na rede corporativa ................................ 137
Figura 2-6: A classificação do tráfego centrado no aplicativo identifica aplicativos específicos no
rede, independentemente da porta e do protocolo em uso. .................................................. ............ 139
Figura 2-7: Como a Palo Alto Networks App-ID classifica os aplicativos .................................... ....... 141
Figura 2-8: O controle de função do aplicativo maximiza a produtividade, permitindo com segurança
próprio aplicativo (Microsoft SharePoint) ou funções individuais. .............................................. 145
Figura 2-9: User-ID integra diretórios corporativos para políticas baseadas no usuário, relatórios e
forense. .................................................. .................................................. ................................. 147
Figura 2-10: Grupos de endereços dinâmicos (DAGs) ....................................... ..................................... 151
Figura 2-11: A varredura baseada em fluxo ajuda a minimizar a latência e maximizar o rendimento
atuação. .................................................. .................................................. .......................... 154
Página 9
Figura 2-12: O ACC fornece uma segurança altamente visual, interativa e personalizável
painel de gerenciamento. .................................................. .................................................. ........ 156
Figura 2-13: O widget ACC Application Usage exibe o tráfego do aplicativo por tipo, quantidade, risco,
e categoria. .................................................. .................................................. .......................... 157
Figura 2-14: Consciência de geolocalização no ACC fornece informações valiosas sobre a fonte e
destino de todo o tráfego do aplicativo. .................................................. ......................................... 157
Figura 2-15: O widget Aplicativos ACC que usam portas não padrão destaca o salto de porta e
mostra a importância do aplicativo versus controle de porta. ................................................. 158
Figura 2-16: Uma ampla variedade de widgets pode ser selecionada para personalizar as guias no ACC. ............. 159
Figura 2-17: Os recursos interativos de um clique fornecem informações adicionais e a capacidade de
aplique qualquer item como um filtro global. .................................................. ............................................... 160
Figura 2-18: O mecanismo de correlação automatizada destaca automaticamente os hosts comprometidos em
o ACC correlacionando indicadores de compromisso (IoCs). .................................................. ......... 161
Figura 2-19: Firewalls Strata Next-Generation ........................................ ................................... 165
Figura 2-20: Protegendo novas redes de rádio (NR) 4G e 5G ................................... ................... 166
Figura 2-21: A metodologia Zero Trust da Palo Alto Networks ...................................... ............ 170
Figura 2-22: Dados Rich DNS capacitam o aprendizado de máquina para proteção. ....................................... 175
Figura 2-23: Serviço de filtragem de URL .......................................... .................................................. ... 178
Figura 2-24: Serviço de prevenção de ameaças .......................................... ............................................ 180
Figura 2-25: WildFire fornece análise de malware baseada em nuvem e prevenção de ameaças. ............ 183
Figura 2-26: Análise WildFire ........................................... .................................................. ........ 186
Figura 2-27: Modos de implantação do panorama .......................................... ..................................... 189
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 7/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta ediçãovii
Figura 2-28: Pilha de modelos de panorama e modelos ........................................ ...................... 190
Figura 2-29: Grupos de dispositivos de panorama e avaliação de política ....................................... ............. 191
Figura 2-30: A integração com o Splunk estende os recursos de visibilidade e prevenção a todo o seu
infraestrutura de rede.................................................................................................. .............. 194
Figura 3-1: O modelo de responsabilidade compartilhada ......................................... ..................................... 199
Página 10
viii PALO ALTO NETWORKS, INC.®
Figura 3-2: O contínuo de tecnologias nativas da nuvem ....................................... .................... 206
Figura 3-3: VMs e VMs finas no continuum de tecnologias nativas de nuvem ........................ 208
Figura 3-4: Contêineres integrados à VM no contínuo de tecnologias nativas de nuvem ........... 210
Figura 3-5: Contêineres no continuum de tecnologias nativas de nuvem .................................... 211
Figura 3-6: Plataforma CaaS no continuum de tecnologias nativas em nuvem .............................. 212
Figura 3-7: Contêineres sob demanda no continuum de tecnologias nativas de nuvem ................ 213
Figura 3-8: Sem servidor no continuum de tecnologias nativas em nuvem ..................................... 215
Figura 3-9: Os data centers estão evoluindo para incluir uma mistura de hardware e computação em nuvem
tecnologias. .................................................. .................................................. ........................... 220
Figura 3-10: Arquitetura típica de design de data center virtual ....................................... ............... 222
Figura 3-11: Aplicativo de três camadas hospedado em um data center virtual ................................... ........ 223
Figura 3-12: O SASE oferece recursos avançados de rede e segurança em uma nuvem convergente
solução entregue. .................................................. .................................................. .................. 235
Figura 3-13: A arquitetura Prisma Access ......................................... .................................... 236
Figura 3-14: Impactos de aplicativos SaaS sancionados e não sancionados ................................. 244
Figura 3-15: Exemplo de controles granulares suportados por App-ID .................................... ........... 246
Figura 4-1: O objetivo das operações de segurança é identificar, investigar e mitigar ameaças.
.................................................. .................................................. ................................................. 251
Figura 4-2: Visão de alto nível de como as ferramentas SOAR se encaixam em um SOC ................................. ...................... 262
Figura 4-3: Dificuldades de um analista de segurança ........................................ .......................................... 264
Figura 4-4: Arquivos maliciosos vs. exploits ........................................ ................................................ 266
Figura 4-5: Cortex XDR alavanca várias tecnologias e técnicas para proteger terminais
de malware conhecido e desconhecido. .................................................. ....................................... 267
Figura 4-6: Proteção contra ameaças comportamentais com Cortex XDR ....................................... ................. 268
Figura 4-7: O Cortex XDR se concentra nas técnicas de exploração, e não nas explorações em si.
.................................................. .................................................. ................................................. 271
Página 11
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 8/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta ediçãoix
Figura 4-8: Investigue e responda aos ataques. .................................................. ....................... 272
Figura 4-9: O painel do Cortex XDR ......................................... .............................................. 275
Figura 4-10: Integração nativa com rede, endpoint e aplicativos em nuvem, bem como WildFire
inteligência de ameaças ................................................ .................................................. ..................... 277
Figura 4-11: O Cortex XDR acelera a triagem de alertas e a resposta a incidentes. ......................................... 278
Figura 4-12: Cortex XSOAR ingere alertas e IoCs de múltiplas fontes de detecção e executa
manuais para enriquecer e responder a incidentes. .................................................. ........................ 280
Figura 4-13: Nuvem de Inteligência de Ameaças AutoFocus da Palo Alto Networks ..................................... 282
Figura 4-14: O MineMeld agrega e correlaciona feeds de inteligência de ameaças. ........................... 286
Página 12Página 13
Módulo 1 - Fundamentos da cibersegurança
Objetivos de Conhecimento
• Discutir tendências de computação moderna, vetores de ameaças de aplicativos, computação em nuvem e
desafios de aplicativos de software como serviço (SaaS), proteção de dados e privacidade
regulamentos e padrões e ataques cibernéticos recentes.
• Explicar as motivações do invasor e o ciclo de vida do ataque cibernético.
• Descrever técnicas e tipos de ataque cibernético, incluindo malware, vulnerabilidades, explorações,
spamming, phishing, bots e botnets, ameaças persistentes avançadas e ataques Wi-Fi.
• Explicar vários modelos, conceitos e princípios de segurança de rede, incluindo perímetro
segurança baseada no modelo Zero Trust.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 9/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição1
• Discutir os principais recursos da Security Operating Platform e seus principais componentes.
1.0 Cenário de segurança cibernética
O cenário moderno de cibersegurança é um ambiente hostil em rápida evolução, repleto de
ameaças avançadas e atores de ameaças cada vez mais sofisticados. Esta seção descreve a computação
tendências que estão moldando o cenário de segurança cibernética, estruturas de aplicativos e ataques (ou
ameaça ) vetores , computação em nuvem e desafios de segurança de aplicativos SaaS, várias informações
regulamentos e padrões de segurança e proteção de dados e alguns exemplos recentes de ataques cibernéticos.
Observação
Os termos "empresa" e "negócios" são usados ao longo deste guia para descrever
organizações, redes e aplicativos em geral. O uso destes termos não se destina
para excluir outros tipos de organizações, redes ou aplicativos, e deve ser compreendido
para incluir não apenas grandes empresas e empresas, mas também pequenas e médias empresas
empresas (SMBs), governo, empresas estatais (SOEs), serviços públicos, militares,
saúde e organizações sem fins lucrativos, entre outros.
Termos chave
Um vetor de ataque (ou ameaça ) é um caminho ou ferramenta que um invasor usa para atingir uma rede.
Página 14
1.0.1 Tendências da computação moderna
A natureza da computação corporativa mudou drasticamente na última década. Testemunho
aplicativos de negócios agora são comumente instalados junto com aplicativos da Web 2.0 em uma variedade de
terminais e redes que foram originalmente projetadas para compartilhar arquivos e impressoras agora são usados
para coletar grandes volumes de dados, trocar informações em tempo real, fazer negócios online,
e permitir a colaboração global.
Muitos aplicativos da Web 2.0 estão disponíveis como software como serviço (SaaS), baseados na web ou aplicativos móveis
que pode ser facilmente instalado por usuários finais ou que pode ser executado sem instalar nenhum programa local
ou serviços no terminal. O uso de aplicativos da Web 2.0 na empresa às vezes é referido
como Enterprise 2.0 , embora nem todos os aplicativos da Web 2.0 sejam considerados Enterprise 2.0
formulários.
Termos chave
Web 2.0 é um termo popularizado por Tim O'Reilly e Dale Dougherty que não oficialmente se refere a um
nova era da World Wide Web, que se caracteriza por ser dinâmica ou gerada pelo usuário
conteúdo, interação e colaboração, bem como o crescimento das mídias sociais.
Um endpoint é um dispositivode computação, como um computador desktop ou laptop, scanner portátil,
dispositivo ou sensor de internet das coisas (IoT) (como um veículo autônomo, aparelho inteligente,
medidor inteligente, TV inteligente ou dispositivo vestível), terminal de ponto de venda (POS), impressora, satélite
rádio, câmera de segurança ou videoconferência, quiosque de autoatendimento, smartphone, tablet ou voz
por telefone de protocolo da Internet (VoIP). Embora os endpoints possam incluir servidores e rede
equipamento, o termo é geralmente usado para descrever dispositivos de usuário final.
A internet das coisas (IoT) é a rede de objetos físicos inteligentes que são incorporados com
eletrônicos, software, sensores e conectividade de rede para coletar e compartilhar dados.
Voz sobre IP (VoIP), ou telefonia IP , é uma tecnologia que fornece comunicação de voz sobre
uma rede baseada em protocolo de Internet (IP).
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 10/254
2 PALO ALTO NETWORKS, INC.®
Software como serviço (SaaS) é uma categoria de serviços de computação em nuvem em que o cliente
recebe acesso a um aplicativo hospedado mantido pelo provedor de serviços.
Empresa 2.0 é um termo introduzido por Andrew McAfee e definido como “o uso de emergentes
plataformas de software social dentro de empresas, ou entre empresas e seus parceiros ou
clientes."
Página 15
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição3
Os principais aplicativos de negócios típicos incluem:
• O software de contabilidade é usado para processar e registrar dados e transações contábeis
como contas a pagar, contas a receber, folha de pagamento, balancetes e razão geral
(GL) entradas. Exemplos de software de contabilidade incluem Intacct, Microsoft Dynamics AX
e GP, NetSuite, QuickBooks e Sage.
• Business intelligence (BI) e software de análise de negócios consiste em ferramentas e
técnicas usadas para revelar grandes quantidades de dados brutos não estruturados de uma variedade de
fontes (como data warehouses e data marts). BI e software de análise de negócios
executa uma variedade de funções, incluindo gestão de desempenho de negócios, dados
mineração, processamento de eventos e análise preditiva. Exemplos de software de BI e analítica
incluem IBM Cognos, MicroStrategy, Oracle Hyperion e SAP.
• Sistemas de gerenciamento de conteúdo (CMS) e gerenciamento de conteúdo empresarial (ECM)
sistemas são usados para armazenar e organizar arquivos a partir de uma interface de gerenciamento central, com
recursos como indexação, publicação, pesquisa, gerenciamento de fluxo de trabalho e controle de versão.
Exemplos de software CMS e ECM incluem EMC Documentum, HP Autonomy,
Microsoft SharePoint e OpenText.
• O software de gerenciamento de relacionamento com o cliente (CRM) é usado para gerenciar um
informações do cliente (ou cliente) da organização, incluindo validação de lead, vendas anteriores,
logs de comunicação e interação e histórico de serviço. Exemplos de suítes de CRM
incluem Microsoft Dynamics CRM, Salesforce.com, SugarCRM e ZOHO.
• Sistemas de gerenciamento de banco de dados (DBMS) são usados para administrar bancos de dados, incluindo
os esquemas, tabelas, consultas, relatórios, visualizações e outros objetos que compõem um
base de dados. Exemplos de software DBMS incluem Microsoft SQL Server, MySQL, NoSQL,
e banco de dados Oracle.
• Os sistemas de planejamento de recursos empresariais (ERP) fornecem uma visão integrada do core business
processos, como produto e planejamento de custos, fabricação ou entrega de serviços,
gestão de inventário, envio e pagamento. Exemplos de software ERP incluem
NetSuite, JD Edwards EnterpriseOne e PeopleSoft da Oracle e SAP.
• O software de gerenciamento de ativos corporativos (EAM) é usado para gerenciar a
ativos físicos em todo o seu ciclo de vida, incluindo aquisição, atualização,
manutenção, reparo, substituição, descomissionamento e descarte. EAM é comumente
implementado como um módulo integrado de sistemas ERP. Exemplos de software EAM
incluem IBM Maximo, Infor EAM e SAP.
Página 16
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 11/254
4 PALO ALTO NETWORKS, INC.®
• O software de gerenciamento da cadeia de suprimentos (SCM) é usado para gerenciar as transações da cadeia de suprimentos,
relacionamento com fornecedores e vários processos de negócios, como pedido de compra
processamento, gestão de inventário e gestão de armazém. Software SCM é
comumente integrado com sistemas ERP. Exemplos de software SCM incluem Fishbowl
Inventário, Freightview, Infor Supply Chain Management e Sage X3.
• O software de gerenciamento de conteúdo da Web (WCM) é usado para gerenciar o conteúdo do site,
incluindo administração, autoria, colaboração e publicação. Exemplos de web
O software de gerenciamento de conteúdo inclui Drupal, IBM FileNet, Joomla e WordPress.
Os aplicativos e serviços comuns da Web 2.0 (muitos dos quais também são aplicativos SaaS) incluem:
• Os serviços de sincronização e compartilhamento de arquivos são usados para gerenciar, distribuir e fornecer acesso a
conteúdo online, como documentos, imagens, música, software e vídeo. Exemplos
incluem Apple iCloud, Box, Dropbox, Google Drive, Microsoft OneDrive, Spotify e
Você tubo.
• As mensagens instantâneas (IM) são usadas para trocar mensagens curtas em tempo real. Exemplos
incluem Facebook Messenger, Skype, Snapchat e WhatsApp.
• Os serviços de microblogging da web permitem que um assinante transmita mensagens curtas para outros
assinantes. Os exemplos incluem Tumblr e Twitter.
• Pacotes de produtividade de escritório consistem em processamento de texto baseado em nuvem, planilha e
software de apresentação. Os exemplos incluem Google Apps e Microsoft Office 365.
• O software de acesso remoto é usado para compartilhamento remoto e controle de um endpoint, normalmente
para colaboração ou solução de problemas. Os exemplos incluem LogMeIn e TeamViewer.
• O software de reunião de equipe remota é usado para audioconferência, videoconferência e
Compartilhamento de tela. Os exemplos incluem Adobe Connect, Microsoft Teams e Zoom.
• A curadoria social compartilha conteúdo colaborativo sobre tópicos específicos. Bookmarking social
é uma espécie de curadoria social. Os exemplos incluem Cogenz, Instagram, Pinterest e Reddit.
• As redes sociais são usadas para compartilhar conteúdo com contatos comerciais ou pessoais. Exemplos
incluem Facebook, Google+ e LinkedIn.
• O e-mail baseado na web é um serviço de e-mail da Internet que normalmente é acessado por meio de um site
navegador. Os exemplos incluem Gmail, Outlook.com e Yahoo! Correspondência.
• Os wikis permitem que os usuários contribuam, colaborem e editem o conteúdo do site. Exemplos incluem
Socialtext e Wikipedia.
Página 17
De acordo com a pesquisa da McKinsey & Company e da Association for Information and
Gerenciamento de imagens (AIIM), muitas organizações estão reconhecendo benefícios significativos do
uso de aplicativos e tecnologias Enterprise 2.0, incluindo melhor colaboração, aumentou
compartilhamento de conhecimento e despesas reduzidas (por exemplo, para viagens, operações e
comunicações). 1 Assim, as infraestruturas corporativas (sistemas, aplicativos e redes) são
convergindo rapidamente com tecnologias e aplicativos pessoais e da Web 2.0, fazendo a definição de
onde a internet começa e a infraestrutura empresarial termina praticamente impossível. Esta
a convergência está sendo impulsionada por várias tendências importantes, incluindo:
• Computação em nuvem. A computação em nuvem está mais onipresente do que nunca. De acordo com
Relatório de estado da nuvem RightScale 2019 da Flexera, nuvem pública e privada
a adoção está agora em 94 por cento para empresas (mais de 1.000 funcionários) e pequenas e médias
empresas (menos de 1.000 funcionários), e essas empresas administram a maioria de seus
29/03/2021 GUIA DE SOBREVIVÊNCIADE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 12/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição5
cargas de trabalho (aproximadamente 79 por cento) na nuvem. Além disso, 84 por cento de
empresas e 61 por cento das pequenas e médias empresas têm uma estratégia multicloud
aproveitando uma média de quase 5 nuvens públicas e / ou privadas. 2 Da mesma forma, a empresa
O Strategy Group descobriu que as cargas de trabalho do servidor de produção rodam cada vez mais em uma mistura de
arquiteturas prontas para nuvem, incluindo máquinas virtuais (34 por cento), contêineres (23
por cento) e sem servidor (15 por cento). 3
• Consumerização. O processo de consumerização ocorre à medida que os usuários finais encontram cada vez mais
tecnologia pessoal e aplicativos que são mais poderosos ou capazes, mais convenientes, menos
caro, mais rápido de instalar e mais fácil de usar do que as soluções de TI corporativas.
• Traga seu próprio dispositivo (BYOD). Intimamente relacionado à consumerização está o BYOD, uma política
tendência em que as organizações permitem que os usuários finais usem seus próprios dispositivos pessoais,
principalmente smartphones e tablets, para fins relacionados ao trabalho. BYOD alivia
organizações desde o custo do fornecimento de equipamentos aos funcionários, mas cria um
desafio de gerenciamento devido ao grande número e tipo de dispositivos que devem ser
suportado.
1 “Relatório de uso e risco do aplicativo: outono de 2009.” Palo Alto Networks. Novembro de 2009.
https://researchcenter.paloaltonetworks.com/2009/11/application-usage-risk-report-fall-2009/.
2 Relatório de estado da nuvem RightScale 2019 da Flexera. ” 27 de fevereiro de 2019. https://www.flexera.com/2019-
relatório de nuvem .
3 Cahill, Doug. “Aproveitando DevSecOps para proteger aplicativos nativos da nuvem.” Grupo de estratégia empresarial. dezembro
9, 2019. https://www.esg-global.com/research/esg-master-survey-results-leveraging-devsecops-to-secure-cloud-
aplicativos nativos .
Página 18
• Traga seus próprios aplicativos (BYOA). Aplicativos da Web 2.0 em dispositivos pessoais estão cada vez mais sendo
usado para fins relacionados ao trabalho. Como a fronteira entre o trabalho e a vida pessoal
torna-se menos distinto, os usuários finais estão praticamente exigindo que esses mesmos aplicativos sejam
disponíveis para eles em seus locais de trabalho.
• Computação móvel. O apetite por acesso rápido e sob demanda a aplicativos e dados de
em qualquer lugar, a qualquer hora, em qualquer dispositivo é insaciável. Existem agora mais de 8 bilhões
assinaturas móveis em todo o mundo e tráfego total de dados móveis mensais (incluindo áudio,
compartilhamento de arquivos, redes sociais, uploads e downloads de software, vídeo, navegação na web,
e outras fontes) tem cerca de 40 exabytes! 4
• 5G celular sem fio. Cada nova geração de conectividade sem fio gerou uma riqueza
de novas inovações, e a mudança para a quinta geração de celulares sem fio (5G) está bem
em andamento, com operadoras de rede móvel anunciando testes-piloto 5G e
planos de comercialização à medida que expandem suas pegadas geográficas. O mais recente 5G
os aplicativos são voltados para o consumidor, ajudam os governos a implementar 5G para cidades inteligentes
lançamentos e trazer a experiência de serviço 5G ao público, cobrindo perfeitamente os principais
eventos esportivos, entre outros. A promessa de conectividade inteligente levará a
adoção da Internet das coisas (IoT) e tem o potencial de transformar indústrias como
Nós vamos. Agora estamos falando sobre a Enterprise of Things - dispositivos industriais em rede,
sensores, redes e aplicativos que conectam empresas. À medida que as empresas de hoje passam
transformação digital, eles buscarão redes 5G para impulsionar a verdadeira Indústria 4.0
transformação, aproveitando a automação, inteligência artificial (IA) e IoT.
• Redes de distribuição de conteúdo (CDN). As empresas estão usando redes de entrega de conteúdo
(CDNs) como redes Akamai, Amazon CloudFront e Limelight para distribuir suas redes
produtos e serviços para clientes em todo o mundo. Os CDNs ficarão ainda mais proeminentes à medida que
A adoção do 5G continua a se expandir.
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://researchcenter.paloaltonetworks.com/2009/11/application-usage-risk-report-fall-2009/
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.esg-global.com/research/esg-master-survey-results-leveraging-devsecops-to-secure-cloud-native-applications
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.esg-global.com/research/esg-master-survey-results-leveraging-devsecops-to-secure-cloud-native-applications
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.esg-global.com/research/esg-master-survey-results-leveraging-devsecops-to-secure-cloud-native-applications
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 13/254
6 PALO ALTO NETWORKS, INC.®
4 “Ericsson Mobility Report, November 2019.” Ericsson. Novembro de 2019.https://www.ericsson.com/en / mobilidade-
relatório / relatórios / novembro-2019.
Termos chave
Nuvem pública é um modelo de implantação de computação em nuvem que consiste em uma infraestrutura em nuvem
que está aberto ao público em geral.
Nuvem privada é um modelo de computação em nuvem que consiste em uma infraestrutura em nuvem que é usada
exclusivamente por uma única organização.
Página 19
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição7
Indo além da Web 2.0, a Web 3.0 transformará o panorama da computação empresarial sobre o
próxima década e além. Web 3.0, conforme definido em ExpertSystem.com, é caracterizado por cinco
principais características:
• Web semântica. “A web semântica melhora as tecnologias da web para gerar,
compartilhar e conectar-se por meio de pesquisa e análise com base na capacidade de entender o
significado das palavras, em vez de palavras-chave e números. ”
• Inteligência artificial. “Os computadores podem entender informações como humanos para
fornecer resultados mais rápidos e relevantes. ”
• Gráficos 3D. O design 3D é “amplamente utilizado em sites e serviços”.
Termos chave
Multicloud é um ambiente de nuvem empresarial (ou estratégia) que consiste em dois ou mais públicos
e / ou nuvens privadas.
Uma máquina virtual (VM) é uma emulação de um sistema de computador físico (hardware), incluindo
CPU, memória, disco, sistema operacional e interfaces de rede.
Um contêiner é um pacote de código de software padronizado, executável e leve que
contém todos os componentes necessários para executar um determinado aplicativo (ou aplicativos) - incluindo
código, tempo de execução, ferramentas e bibliotecas do sistema e definições de configuração - de forma isolada e
ambiente virtualizado para permitir agilidade e portabilidade das cargas de trabalho dos aplicativos.
Sem servidor geralmente se refere a um modelo operacional em computação em nuvem no qual os aplicativos
dependem de serviços gerenciados que abstraem a necessidade de gerenciar, corrigir e proteger
infraestrutura e máquinas virtuais. Os aplicativos sem servidor dependem de uma combinação de
serviços de nuvem gerenciados e ofertas de função como serviço (FaaS).
Inteligência artificial (IA) é a capacidade de um sistema ou aplicativo de interagir e aprender
de seu ambiente e para executar automaticamente as ações em conformidade, sem exigir
programação explícita.
Uma rede de distribuição de conteúdo (CDN) é uma rede de servidores distribuídos que distribuem
páginas da web e outro conteúdo estático para um usuário de uma localização geográfica que está fisicamente
mais próximo do usuário.
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.ericsson.com/en/mobility-report/reports/november-2019
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.ericsson.com/en/mobility-report/reports/november-2019https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.ericsson.com/en/mobility-report/reports/november-2019
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.ericsson.com/en/mobility-report/reports/november-2019
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 14/254
Página 20
8 PALO ALTO NETWORKS, INC.®
• Conectividade. “A informação está mais conectada graças aos metadados semânticos. Como um resultado,
a experiência do usuário evolui para outro nível de conectividade que alavanca todos os
Informação disponível."
• Ubiquidade. “O conteúdo é acessível por vários aplicativos, cada dispositivo está conectado a
a web, [e] os serviços podem ser usados em qualquer lugar. ” 5
Para muitos, a visão da Web 3.0 é devolver o poder da internet aos usuários individuais, em
quase da mesma forma que a Web 1.0 original foi concebida. Até certo ponto, a Web 2.0 tem
sejam moldados e caracterizados, se não controlados, por governos e grandes corporações
ditar o conteúdo disponibilizado aos indivíduos e levantar muitas preocupações sobre
segurança individual, privacidade e liberdade. Tecnologias específicas que estão evoluindo e começando a
formar as bases da Web 3.0 incluem (entre outros):
• IA e aprendizado de máquina são duas tecnologias relacionadas que permitem aos sistemas
entender e agir com base nas informações da mesma maneira que um ser humano pode usar
em formação. AI adquire e aplica conhecimento para encontrar a solução mais ideal,
decisão ou curso de ação. O aprendizado de máquina é um subconjunto da IA que aplica algoritmos
a grandes conjuntos de dados para descobrir padrões comuns nos dados que podem então ser usados para
melhorar o desempenho do sistema.
• Blockchain é essencialmente uma estrutura de dados contendo registros transacionais (armazenados como
blocos) que garantem segurança e transparência por meio de um vasto sistema descentralizado ponto a
rede ponto a ponto sem autoridade de controle única. Criptomoeda , como Bitcoin, é um
exemplo de um aplicativo blockchain.
• A mineração de dados permite que os padrões sejam descobertos em grandes conjuntos de dados usando a máquina
aprendizagem, análise estatística e tecnologias de banco de dados.
5 Sistema especialista. 2017. “5 principais recursos da Web 3.0.” Acessado em 3 de junho de 2018.http://www.expertsystem.com/web-
3-0 /.
Termos chave
Web 3.0 , conforme definido em ExpertSystem.com, é caracterizado pelos cinco seguintes
características: web semântica, inteligência artificial, gráficos 3D, conectividade e ubiqüidade.
Página 21
• A realidade mista inclui tecnologias, como realidade virtual (VR), realidade aumentada (AR),
e realidade estendida (XR), que oferecem um ambiente físico e digital imersivo e interativo
experiência sensorial em tempo real.
• A pesquisa de linguagem natural é a capacidade de compreender a linguagem falada pelo homem e
contexto, em vez de uma pesquisa booleana , por exemplo, para encontrar informações.
Termos chave
O aprendizado de máquina é um subconjunto de IA que aplica algoritmos a grandes conjuntos de dados para descobrir
padrões comuns nos dados que podem ser usados para melhorar o desempenho do
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=http://www.expertsystem.com/web-3-0/
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=http://www.expertsystem.com/web-3-0/
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 15/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição9
As organizações muitas vezes não têm certeza dos benefícios potenciais para os negócios - e os riscos inerentes - de
novas tendências, como Web 2.0 e Web 3.0 e, portanto:
• Permita implicitamente tecnologias e aplicativos pessoais, simplesmente ignorando seu uso no
local de trabalho, ou
• Proíbe explicitamente o seu uso, mas é então incapaz de aplicar efetivamente tais políticas com
firewalls tradicionais e tecnologias de segurança
sistema.
Blockchain é essencialmente uma estrutura de dados contendo registros transacionais (armazenados como blocos)
que garante segurança e transparência por meio de uma vasta rede ponto a ponto descentralizada
sem uma única autoridade de controle. A criptomoeda é um instrumento financeiro baseado na Internet
que usa tecnologia blockchain.
A mineração de dados permite que padrões sejam descobertos em grandes conjuntos de dados usando aprendizado de máquina,
análise estatística e tecnologias de banco de dados.
A realidade mista (MR) inclui tecnologias, como realidade virtual (VR), realidade aumentada (AR),
e realidade estendida (XR), que oferecem um ambiente físico e digital imersivo e interativo
experiência sensorial em tempo real. A realidade virtual é uma experiência simulada. Realidade aumentada
aprimora um ambiente do mundo real com objetos virtuais. A realidade estendida cobre amplamente o
espectro de realidade física para virtual com vários graus de sensorial parcial para totalmente
experiências imersivas.
A pesquisa de linguagem natural é a capacidade de compreender a linguagem humana falada e o contexto,
em vez de uma pesquisa booleana, por exemplo, para encontrar informações. Booleano se refere a um sistema de
notação algébrica usada para representar proposições lógicas.
Página 22
Se as tecnologias e aplicativos pessoais são permitidos implicitamente (e ignorados) ou explicitamente
proibida (mas não aplicada), os resultados adversos de políticas ineficazes incluem:
• Perda de produtividade porque os usuários devem encontrar maneiras de integrá-los sem suporte
tecnologias e aplicativos (quando permitidos) com a infraestrutura empresarial ou uso
aplicativos que não são familiares para eles ou menos eficientes (quando tecnologias pessoais
e aplicativos são proibidos)
• Possível interrupção das operações críticas de negócios por causa de atividades clandestinas ou secundárias
processos de canal que são usados para realizar tarefas de fluxo de trabalho específicas ou para contornar
controles, e são conhecidos apenas por alguns usuários e são totalmente dependentes do uso de
tecnologias e aplicativos pessoais
• Exposição a riscos adicionais para a empresa devido ao desconhecido - e, portanto,
não corrigido - vulnerabilidades em tecnologias e aplicativos pessoais e um perpétuo gato e gato
jogo de mouse entre funcionários que burlam os controles (por exemplo, com controles externos
proxies, túneis criptografados e aplicativos de desktop remoto) e equipes de segurança que
gerenciar esses riscos
• Penalidades por não conformidade regulamentar , por exemplo, Proteção Geral de Dados da UE
Regulamento (GDPR), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde dos EUA (HIPAA),
e o padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS)
Como essas tendências continuam a obscurecer a distinção entre a Internet e a empresa
rede, surgem novos desafios e riscos de segurança, incluindo:
• Novos vetores de ameaças de aplicativos
• Turbulência na nuvem
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 16/254
10 PALO ALTO NETWORKS, INC.®
• Riscos de aplicativos SaaS
1.0.2 Novos vetores de ameaças de aplicativos
Explorar vulnerabilidades em aplicativos de negócios centrais há muito tempo é um ataque predominante
vetor, mas os atores da ameaça estão constantemente desenvolvendo novas táticas, técnicas e procedimentos
(TTPs). Para proteger com eficácia suas redes e ambientes em nuvem, as equipes de segurança corporativa
não deve apenas gerenciar os riscos associados a um conjunto relativamente limitado e conhecido de núcleos
aplicativos, mas também os riscos associados a um número cada vez maior de aplicativos conhecidos e
aplicativos baseados em nuvem desconhecidos. O modelo de consumo de aplicativo baseado em nuvem tem
revolucionou a formacomo as organizações fazem negócios e aplicativos como o Microsoft Office 365
e o Salesforce estão sendo consumidos e atualizados inteiramente na nuvem.
Página 23
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição11
Classificando os aplicativos como "bons" (permitidos) ou "ruins" (bloqueados) de forma clara e consistente
maneira também se tornou cada vez mais difícil. Muitos aplicativos são claramente bons (baixo risco,
alta recompensa) ou claramente ruim (alto risco, baixa recompensa), mas a maioria está em algum lugar entre -
dependendo de como o aplicativo está sendo usado.
Por exemplo, muitas organizações usam aplicativos de rede social como o Facebook para
funções importantes de negócios, como recrutamento, pesquisa e desenvolvimento, marketing e
defesa do consumidor. No entanto, esses mesmos aplicativos podem ser usados para vazamentos sensíveis
informações ou causar danos à imagem pública de uma organização - seja inadvertidamente ou
maliciosamente.
Muitos aplicativos são projetados para contornar os firewalls baseados em portas tradicionais (discutido em
Seção 2.3.1), para que possam ser facilmente instalados e acessados em qualquer dispositivo, em qualquer lugar e
a qualquer hora, usando técnicas como:
• Salto de porta , no qual portas e protocolos são alterados aleatoriamente durante uma sessão.
• Uso de portas não padrão , como a execução do Yahoo! Messenger pela porta TCP 80 (HTTP)
em vez da porta TCP padrão do Yahoo! Messenger (5050).
• Tunelamento em serviços comumente usados , como no compartilhamento de arquivos ponto a ponto (P2P)
ou um cliente de mensagens instantâneas (IM) como o Meebo está sendo executado em HTTP.
• Escondido na criptografia SSL , que mascara o tráfego do aplicativo, por exemplo, sobre TCP
porta 443 (HTTPS). Mais da metade de todo o tráfego da web agora é criptografado.
Muitos aplicativos comerciais cliente-servidor tradicionais também estão sendo reprojetados para uso na web e
empregar essas mesmas técnicas para facilitar a operação, minimizando as interrupções. Por exemplo,
tanto a chamada de procedimento remoto (RPC) quanto o Microsoft SharePoint usam salto de porta porque é
crítica para como o protocolo ou aplicativo (respectivamente) funciona, ao invés de um meio para
evitar a detecção ou melhorar a acessibilidade.
Os aplicativos também podem ser sequestrados e reaproveitados por agentes mal-intencionados, como foi feito no
2014 Ataque Heartbleed. De acordo com um artigo da Palo Alto Networks de abril de 2014:
Termos chave
Chamada de procedimento remoto (RPC) é um protocolo de comunicação entre processos (IPC) que permite
um aplicativo a ser executado em um computador ou rede diferente, em vez do computador local
no qual ele está instalado.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 17/254
Página 24
12 PALO ALTO NETWORKS, INC.®
“[A] história do impacto do Heartbleed tem se concentrado no comprometimento de HTTPS habilitado
sites e aplicativos da web, como Yahoo !, Google, Dropbox, Facebook, banco online,
e os milhares de outros alvos vulneráveis na web. Estes são de grande impacto, mas aqueles
todos os sites serão atualizados rapidamente….
“Para os profissionais de segurança, [o ataque inicial do Heartbleed] é apenas a ponta do iceberg. O
vulnerabilidade coloca as ferramentas antes reservadas para ameaças verdadeiramente avançadas nas mãos do
invasor médio - notavelmente, a capacidade de violar organizações e mover-se lateralmente dentro delas.
A maioria das empresas, mesmo de tamanho moderado, não tem um bom controle de quais serviços são
rodando internamente usando criptografia SSL. Sem esse conhecimento básico, é extremamente
difícil para as equipes de segurança protegerem sua superfície de ataque interna contra a credencial e
ferramentas de roubo de dados que o Heartbleed habilita. Todos os pontos de apoio para o invasor com uma empresa
rede de repente passam a ter o mesmo valor. ” 6
Como novos aplicativos são cada vez mais habilitados para web e baseados em navegador, HTTP e HTTPS agora
representam cerca de dois terços de todo o tráfego de rede corporativa. Firewalls baseados em portas tradicionais
e outra infraestrutura de segurança não consegue distinguir se esses aplicativos, montados em HTTP
e HTTPS, estão sendo usados para fins comerciais legítimos.
Assim, os aplicativos (incluindo malware) se tornaram o vetor de ataque predominante para se infiltrar
redes e sistemas.
1.0.3 Turbulência na nuvem
As tecnologias de computação em nuvem permitem que as organizações desenvolvam seus data centers de um
arquitetura centrada em hardware, onde os aplicativos são executados em servidores dedicados de forma dinâmica e
ambiente automatizado onde pools de recursos de computação estão disponíveis sob demanda, para
suporta cargas de trabalho de aplicativos que podem ser acessadas em qualquer lugar, a qualquer hora e de qualquer dispositivo.
No entanto, muitas organizações foram forçadas a compromissos significativos em relação a seus
ambientes de nuvem pública e privada - função de negociação, visibilidade e segurança para simplicidade,
eficiência e agilidade. Se um aplicativo hospedado na nuvem não estiver disponível ou responsivo, a rede
os controles de segurança, que muitas vezes introduzem atrasos e interrupções, são normalmente "simplificados"
fora do design da nuvem. As compensações de segurança em nuvem geralmente incluem
• Simplicidade ou função
6 Simkin, Scott. “Impacto do Heartbleed no mundo real (CVE-2014-0160): A Web é apenas o começo.” Palo Alto Networks.
Abril de 2014. https://researchcenter.paloaltonetworks.com/2014/04/real-world-impact-heartbleed-cve-2014-0160-
web-just-start .
Página 25
• Eficiência ou visibilidade
• Agilidade ou segurança
Muitos dos recursos que tornam a computação em nuvem atraente para as organizações também funcionam de forma contrária
às melhores práticas de segurança de rede. Por exemplo:
• A computação em nuvem não atenua os riscos de segurança de rede existentes. Os riscos de segurança
que ameaçam sua rede hoje não desaparecem quando você muda para a nuvem. O
modelo de responsabilidade compartilhada define quem (cliente e / ou fornecedor) é responsável por
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://researchcenter.paloaltonetworks.com/2014/04/real-world-impact-heartbleed-cve-2014-0160-web-just-start
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://researchcenter.paloaltonetworks.com/2014/04/real-world-impact-heartbleed-cve-2014-0160-web-just-start
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://researchcenter.paloaltonetworks.com/2014/04/real-world-impact-heartbleed-cve-2014-0160-web-just-start
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 18/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição13
o que (relacionado à segurança) na nuvem pública. Em termos gerais, o provedor de nuvem é
responsável pela segurança da nuvem, incluindo a segurança física dos dados da nuvem
centros e para serviços básicos de rede, armazenamento, computação e virtualização.
O cliente da nuvem é responsável pela segurança na nuvem, que é mais bem delineada
pelo modelo de serviço em nuvem. Por exemplo, em um modelo de infraestrutura como serviço (IaaS),
o cliente da nuvem é responsável pela segurança dos sistemas operacionais, middleware,
tempo de execução, aplicativos e dados. Em um modelo de plataforma como serviço (PaaS), a nuvem
o cliente é responsável pela segurança dos aplicativos e dados - a nuvem
provedor é responsável pela segurança dos sistemas operacionais, middleware e
tempo de execução. Em um modelo SaaS, o cliente da nuvem é responsável apenas pela segurança do
dados, e o provedor de nuvem é responsável por toda a pilha, desde a segurança física
dos data centers em nuvem para o aplicativo.
• Separação e segmentação são fundamentais para a segurança;a nuvem depende de compartilhamento
Recursos. As melhores práticas de segurança ditam que aplicativos e dados de missão crítica sejam
separados em segmentos seguros na rede, com base nos princípios de Zero Trust (discutido
na Seção 1.3.2). Em uma rede física, Zero Trust é relativamente simples, usando
firewalls e políticas baseadas no aplicativo e na identidade do usuário. Em um ambiente de nuvem,
ocorre comunicação direta entre máquinas virtuais (VMs) em um host de servidor
constantemente - em alguns casos, em vários níveis de confiança, tornando a segmentação um
verdadeiro desafio. Níveis mistos de confiança, combinados com a falta de visibilidade do tráfego intra-host
por ofertas de segurança baseada em porta virtualizada, pode enfraquecer sua postura de segurança.
• As implantações de segurança são orientadas para o processo; ambientes de computação em nuvem são
dinâmico. A criação ou modificação de suas cargas de trabalho na nuvem muitas vezes pode ser feita em
minutos, mas a configuração de segurança para esta carga de trabalho pode levar horas, dias ou
semanas. Os atrasos na segurança não foram projetados para serem onerosos; eles são o resultado de um
processo que é projetado para manter uma postura de segurança forte. Mudanças de política precisam ser
aprovados, os firewalls apropriados precisam ser identificados, e a política relevante
atualizações precisam ser determinadas. Em contraste, a nuvem é um ambiente altamente dinâmico,
Página 26
com cargas de trabalho sendo adicionadas, removidas e alteradas rápida e constantemente. O resultado é
uma desconexão entre a política de segurança e as implantações de carga de trabalho em nuvem, o que leva a um
postura de segurança enfraquecida. Assim, as tecnologias e processos de segurança devem ser capazes de
escala automática para aproveitar a elasticidade da nuvem, mantendo uma forte
postura de segurança.
• A infraestrutura como código automatiza a capacidade de dimensionar rapidamente configurações seguras -
e configurações incorretas. As organizações estão adotando rapidamente a infraestrutura como código (IaC)
enquanto tentam automatizar mais seus processos de construção na nuvem. IaC tornou-se
popular porque permite uma infraestrutura imutável. Esta é a capacidade de padronizar e
congela muitas partes da infraestrutura em nuvem, para que os resultados sejam consistentes e previsíveis
ao executar o código todas as vezes. Por exemplo, se você sabe que cada nó em sua nuvem
tem exatamente a mesma configuração de rede virtual, suas chances de ter
problemas de aplicativos relacionados à rede diminuem significativamente. E enquanto IaC oferece segurança
equipes uma maneira previsível de aplicar os padrões de segurança, este poderoso recurso permanece
em grande parte desarmado. O desafio para as organizações é garantir que as configurações IaC
são aplicados de forma consistente em várias contas de nuvem pública, provedores e software
pipelines de desenvolvimento.
• Os dados podem ser consumidos de forma rápida e fácil por aplicativos e usuários na nuvem.
No entanto, ameaças mais sofisticadas e novas regulamentações de privacidade aumentaram as apostas
na segurança de dados em todos os lugares - inclusive na nuvem. Prevenção de perda de dados (DLP)
fornece visibilidade de todas as informações confidenciais, em todos os lugares e em todos os momentos, permitindo
fortes ações de proteção para proteger os dados de ameaças e violações corporativas
políticas. Mas as tecnologias legadas de DLP autônomas não são eficientes para a nuvem de hoje
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 19/254
14 PALO ALTO NETWORKS, INC.®
mundo dirigido. Construído em motores de núcleo antigos especificamente para ambientes locais, o
a tecnologia não mudou significativamente na última década. Para se ajustar à nuvem
iniciativas, os provedores de DLP legados estão simplesmente estendendo suas soluções existentes para a nuvem
ambientes, o que cria uma lacuna na visibilidade e gestão e minimiza a política
ao controle. Organizações que gastaram muito tempo e dinheiro para construir um
arquitetura DLP personalizada para se adequar a seus ambientes de rede agora estão lutando com
complexidade e pouca usabilidade enquanto tentam "adicionar" seus aplicativos de nuvem, dados e públicos
instâncias de nuvem. Além disso, as equipes de segurança enfrentam o desafio de usar
tecnologias DLP complexas enquanto equilibra o trabalho constante que as acompanha -
desde o ajuste contínuo da política até o esgotamento dos ciclos de triagem e resposta a incidentes
Página 27
decisões. Essas equipes estão se afogando em muitos alertas - a maioria dos quais acaba sendo
falsos positivos - e geralmente respondem a um incidente de dados tarde demais.
1.0.4 Riscos de aplicativos SaaS
Os dados estão localizados em todos os lugares nas redes corporativas de hoje, incluindo em muitos locais que são
não está sob o controle da organização. Novos desafios de segurança de dados surgem para as organizações
que permitem o uso de SaaS em suas redes.
Com os aplicativos SaaS, os dados geralmente são armazenados onde o aplicativo reside - na nuvem. Por isso,
os dados não estão mais sob o controle da organização e a visibilidade costuma ser perdida. Fornecedores de SaaS
fazem o possível para proteger os dados em seus aplicativos, mas, em última análise, isso não é responsabilidade deles.
Assim como em qualquer outra parte da rede, a equipe de TI é responsável por proteger e
controlar os dados, independentemente da sua localização.
Devido à natureza dos aplicativos SaaS, seu uso é muito difícil de controlar - ou ter
visibilidade para - depois que os dados deixam o perímetro da rede. Essa falta de controle apresenta um
desafio de segurança significativo: os usuários finais agora estão agindo como seu próprio departamento de TI "sombra",
com controle sobre os aplicativos SaaS que eles usam e como eles usam. Mas eles têm pouco ou
nenhum entendimento da exposição de dados inerente e riscos de inserção de ameaça de SaaS, incluindo:
• Forasteiros maliciosos. A fonte mais comum de violações para redes em geral também é um
preocupação crítica para a segurança SaaS. O aplicativo SaaS se torna um novo vetor de ameaça e
ponto de distribuição de malware usado por adversários externos. Alguns malwares vão até
direcionar os próprios aplicativos SaaS, por exemplo, alterando seus compartilhamentos para
“Público” para que os dados possam ser recuperados por qualquer pessoa.
• Exposição acidental de dados. Usuários finais bem-intencionados muitas vezes não são treinados e não sabem
dos riscos que suas ações representam em ambientes SaaS. Porque os aplicativos SaaS são
projetado para facilitar o compartilhamento fácil, é compreensível que os dados muitas vezes se tornem
Termos chave
Infraestrutura como código (IaC) é um processo DevOps em que desenvolvedores ou equipes de operações de TI
pode provisionar e gerenciar programaticamente a pilha de infraestrutura (como
máquinas, redes e conectividade) para um aplicativo de software.
DevOps é a cultura e a prática de colaboração aprimorada entre aplicativos
equipes de desenvolvimento e operações de TI.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 20/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição15
Página 28
16 PALO ALTO NETWORKS, INC.®
exposta involuntariamente. A exposição acidental de dados por usuários finais é surpreendentemente comum
e inclui:
• Compartilhamento acidental. Um compartilhamento destinado a uma determinada pessoa é acidentalmente enviado para
a pessoa ou grupo errado. Ações acidentais são comuns quando um nome automático
preenche ou é digitado incorretamente, o que pode causar um endereço de e-mail antigo ou nome errado,
grupo, ou mesmo um usuário externo, para ter acesso ao compartilhamento.
• Compartilhamento promíscuo. Um compartilhamento legítimo é criado para um usuário, mas esse usuárioentão
compartilha com outras pessoas que não deveriam ter acesso. Ações promíscuas com frequência
resultam em dados sendo compartilhados publicamente porque podem ir muito além do controle
do proprietário original.
• Compartilhamento fantasma (ou obsoleto). Uma ação permanece ativa para um funcionário ou fornecedor que é
não trabalha mais com a empresa, ou não deveria mais ter acesso. Sem
visibilidade e controle das ações, o rastreamento e fixação de ações para garantir
que eles ainda são válidos é muito difícil.
• Insiders maliciosos. O risco de aplicativo SaaS menos comum, mas real, é o usuário interno
que compartilhe dados maliciosamente para fins de roubo ou vingança. Por exemplo, um funcionário
quem está deixando a empresa pode definir as permissões de compartilhamento de uma pasta como "públicas" ou compartilhá-la
com um endereço de e-mail externo para posteriormente roubar os dados de um local remoto.
O funcionário médio usa pelo menos oito aplicativos, 7 mas à medida que os funcionários adicionam e usam mais
Aplicativos SaaS que se conectam à rede corporativa, o risco de dados confidenciais serem roubados,
aumentos expostos ou comprometidos. É importante considerar a segurança dos aplicativos, o que
dados aos quais eles têm acesso e como os funcionários os estão usando. Aqui estão várias práticas recomendadas
para proteger dados confidenciais em aplicativos SaaS:
• Descubra o uso de aplicativos SaaS não testados pelos funcionários. Adoção de SaaS rapidamente
se expande, a descoberta manual do uso de SaaS na empresa torna-se cada vez mais
insustentável. Em vez disso, para identificar rapidamente o risco - e estender os controles de segurança apropriados -
sua organização precisa de uma maneira automatizada de descobrir continuamente todos os SaaS
aplicativos em uso por funcionários.
• Proteja dados confidenciais em aplicativos SaaS. Implementar recursos avançados de DLP usando
uma abordagem baseada na interface de programação de aplicativos (API) para fazer a varredura de
7 “2019 SaaS Trends.” Felizmente. 2019. https://blissfully.com/saas-trends/2019-annual/ .
Página 29
informações armazenadas em aplicativos SaaS. Comparado ao inline, uma abordagem baseada em API
fornece um contexto mais profundo e permite a correção automática de violações de risco de dados.
• Proteja seu elo mais fraco - usuários de SaaS. Comece com treinamento de usuário e coaching interativo
para identificar e ajudar a mudar comportamentos de risco. Em seguida, dê à sua equipe de segurança ferramentas para ajudar
eles monitoram e controlam as permissões do aplicativo SaaS. Procure uma solução com robustez
controles de acesso, incluindo:
about:blank
about:blank
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 21/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição17
• Autenticação multifator (MFA)
• Controle de acesso baseado em função (RBAC)
• Proteção para contas administrativas
• Monitoramento de acesso do usuário que pode detectar comportamento malicioso ou arriscado
• Aplicar requisitos de conformidade na nuvem. Crie e aplique um sistema consistente,
política de segurança granular para conformidade que cobre todos os aplicativos SaaS usados por seu
organização. Isso inclui a automação de conformidade e relatórios para todos os
requisitos regulamentares em seus aplicativos SaaS.
• Reduza o risco de dispositivos não gerenciados. Implante um produto de segurança que o diferencie
acesso entre dispositivos gerenciados e não gerenciados para proteger contra o aumento
riscos de segurança inerentes aos dispositivos pessoais. Por exemplo, você pode permitir downloads
para dispositivos gerenciados, mas bloqueie-os para aqueles não gerenciados, permitindo o acesso ao núcleo
funcionalidade.
• Controle o compartilhamento de dados de aplicativos SaaS. Use uma abordagem embutida para ganhar visibilidade
em dados confidenciais que fluem para aplicativos de alto risco não sancionados. Crie e aplique
Políticas DLP que controlam as atividades de compartilhamento de dados nos aplicativos SaaS usados pelos funcionários.
• Impedir ameaças de malware originadas de SaaS. Implementar tecnologia de prevenção de ameaças que funcione
com sua segurança SaaS para bloquear malware e impedir que ameaças se espalhem por meio de SaaS
aplicativos, eliminando um novo ponto de inserção para malware.
Página 30
1.0.5 Conformidade e segurança não são iguais
Um número cada vez maior de empresas internacionais, multinacionais, federais, regionais, estaduais,
e as leis e regulamentações locais exigem numerosas segurança cibernética e proteção de dados
requisitos para empresas e organizações em todo o mundo. Várias diretivas da indústria, como
o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), também estabelecem seus próprios
padrões de segurança cibernética e melhores práticas para empresas e organizações que operam sob
sua competência.
Este complexo ambiente regulatório é ainda mais complicado pelo fato de que muitas leis e
Termos chave
Uma interface de programação de aplicativos (API) é um conjunto de rotinas, protocolos e ferramentas para
construção de aplicativos de software e integrações.
A autenticação multifator (MFA) refere-se a qualquer mecanismo de autenticação que requer dois
ou mais dos seguintes fatores: algo que você sabe, algo que você tem, algo que você
estamos.
O controle de acesso baseado em função (RBAC) é um método para implementar controles de acesso discricionário
em que as decisões de acesso são baseadas na associação ao grupo, de acordo com a organização ou
papéis funcionais.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 22/254
18 PALO ALTO NETWORKS, INC.®
os regulamentos são obsoletos, ambíguos, não são uniformemente apoiados pelas comunidades internacionais,
e / ou inconsistentes (com outras leis e regulamentos aplicáveis), exigindo assim
interpretação para determinar a relevância, intenção e / ou precedência. Como resultado, as empresas e
organizações em todos os setores lutam para alcançar e manter a conformidade.
Você deve compreender que conformidade e segurança não são a mesma coisa. Uma organização
pode estar em total conformidade com as várias leis e regulamentos de segurança cibernética aplicáveis
para essa organização, mas ainda não está seguro. Por outro lado, uma organização pode ser segura, mas não
ser totalmente compatível. Como se para enfatizar este ponto, as funções de conformidade e segurança em muitos
as organizações são separadas.
Exemplos pertinentes (nem abrangentes nem exaustivos) das leis atuais de segurança cibernética e
os regulamentos incluem:
• Princípios de privacidade australianos. O Privacy Act 1988 estabelece padrões para a coleta
e manuseio de informações pessoais, conhecido como Australian Privacy Principles (APP).
Página 31
• Lei de Privacidade do Consumidor da Califórnia (CCPA). A direitos de privacidade e proteção do consumidor
estatuto para residentes da Califórnia que foi promulgado em 2018 e entrou em vigor em
1º de janeiro de 2020.
• Lei Canadense de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA).
PIPEDA define direitos individuais no que diz respeito à privacidade de suas informações pessoais
e governa como as organizações do setor privado coletam, usam e divulgam
informações no curso dos negócios.
• Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (UE). O GDPR se aplica a
qualquer organização que faça negócios com residentes da UE. Ele fortalece a proteção de dados para
Residentes na UE e trata da exportação de dados pessoais para fora da UE.
• Diretiva de Rede e Segurança da Informação (NIS) da UE: uma diretiva da UE que impõe
requisitos de segurança de rede e informações para bancos, empresas de energia,
prestadores de cuidados de saúde e prestadores de serviços digitais, entre outros.
• Infraestrutura crítica da North American ElectricReliability Corporation (NERC)
Proteção (CIP). NERC CIP define padrões de segurança cibernética para proteger o físico e
ativos cibernéticos necessários para operar o sistema elétrico em massa (BES) - a rede de energia - em
Estados Unidos e Canadá. Os padrões são obrigatórios para todos os geradores de BES
instalações com critérios diferentes com base em um sistema de classificação em camadas (alto, médio ou
baixo impacto).
• Padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS). PCI DSS se aplica a qualquer
organização que transmite, processa ou armazena cartão de pagamento (como débito e crédito
cartões) informações. PCI DSS é obrigatório e administrado pelos padrões de segurança PCI
Conselho (SSC) composto por Visa, MasterCard, American Express, Discover e JCB.
• Lei de Aprimoramento da Segurança Cibernética dos EUA de 2014. Esta lei fornece um processo voluntário
parceria público-privada para melhorar a segurança cibernética e fortalecer a segurança cibernética
pesquisa e desenvolvimento, desenvolvimento da força de trabalho e educação, e público
consciência e preparação.
• Lei de Compartilhamento de Informações sobre Segurança Cibernética (CISA) dos EUA. Este ato aumenta a informação
compartilhamento sobre ameaças de segurança cibernética, permitindo que as informações de tráfego da Internet sejam compartilhadas
entre o governo dos EUA e empresas de tecnologia e manufatura.
• Lei de Notificação de Violação de Dados de Troca Federal dos EUA de 2015. Esta lei ainda
fortalece a HIPAA ao exigir que as bolsas de seguros de saúde notifiquem os indivíduos cujo
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 23/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição19
Página 32
20 PALO ALTO NETWORKS, INC.®
informações pessoais foram comprometidas como resultado de uma violação de dados assim que
possível, mas no máximo 60 dias após a descoberta da violação.
• Lei Federal de Modernização da Segurança da Informação dos EUA (FISMA). Conhecido como federal
Lei de Gestão de Segurança da Informação antes de 2014, a FISMA implementa um
estrutura abrangente para proteger os sistemas de informação usados no governo federal
agências.
• Lei US Gramm-Leach-Bliley (GLBA). Também conhecido como Serviços Financeiros
Lei de Modernização de 1999, as disposições relevantes do GLBA incluem a Privacidade Financeira
Regra e a Regra de salvaguardas, que exigem que as instituições financeiras implementem a privacidade
e políticas de segurança da informação para proteger as informações pessoais não públicas de
clientes e consumidores.
• Lei de Portabilidade e Responsabilidade de Seguro Saúde dos EUA (HIPAA). Privacidade HIPAA
A regra estabelece padrões nacionais para proteger os registros médicos dos indivíduos e outros
informações pessoais de saúde. Requer salvaguardas adequadas para proteção da saúde
informações (PHI) e se aplica a entidades cobertas e seus associados de negócios.
• Lei do Avanço da Proteção Nacional de Cibersegurança dos EUA de 2015. Esta lei altera a
Homeland Security Act de 2002 para aprimorar o compartilhamento multidirecional de informações
relacionados aos riscos de segurança cibernética e fortalece a privacidade e as proteções das liberdades civis.
• Lei Sarbanes-Oxley (SOX) dos EUA. Este ato foi promulgado para restaurar a confiança pública
após vários escândalos contábeis corporativos de alto nível, mais notavelmente Enron e
Worldcom. SOX aumenta a governança financeira e a responsabilidade em empresas de capital aberto
empresas. A seção 404 da SOX trata especificamente de controles internos, incluindo
requisitos para salvaguardar a confidencialidade, integridade e disponibilidade dos sistemas de TI.
Página 33
Termos chave
As informações protegidas de saúde (PHI) são definidas pela HIPAA como informações sobre a
estado de saúde, prestação de cuidados de saúde ou pagamento de cuidados de saúde que incluem identificadores
como nomes, identificadores geográficos (menores que um estado), datas, números de telefone e fax,
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 24/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição21
1.0.6 Exemplos recentes de ataques cibernéticos de alto perfil
Milhares de ataques cibernéticos são perpetrados contra redes corporativas todos os dias.
Infelizmente, muitos mais desses ataques são bem-sucedidos do que normalmente relatado em massa
meios de comunicação. Para organizações que são vítimas de tais ataques, o setor financeiro e de reputação
os danos podem ser devastadores. Algumas violações anteriores de alto perfil que continuam a servir como
exemplos de advertência muitos anos depois incluem:
• Alvo. No final de 2013, a Target descobriu que dados de cartão de crédito e dados de cartão de débito de 40
milhões de seus clientes e as informações pessoais de mais 70 milhões de seus
clientes, foram roubados ao longo de um período de cerca de 19 dias, de 27 de novembro a
15 de dezembro de 2013. Os invasores conseguiram se infiltrar no ponto de venda (POS) da Target
sistemas instalando malware (que se acredita ser uma variante do botnet financeiro ZeuS) em
sistemas de computador de um contratante de HVAC (aquecimento, ventilação e ar condicionado) para
colete credenciais para um portal online usado pelos fornecedores da Target. 2016 da Target anual
relatório divulgou que o custo total da violação foi de US $ 292 milhões.
• Home Depot. Em setembro de 2014, a Home Depot sofreu uma violação de dados que foi
despercebido por cerca de cinco meses. Tal como acontece com a violação de dados de destino (consulte o anterior
exemplo de ataque), os invasores usaram as credenciais de um fornecedor e exploraram um dia zero
ameaça , com base em uma vulnerabilidade do Windows, para obter acesso à rede da Home Depot.
O malware de remoção de memória foi então instalado em mais de 7.500 pontos de venda de autoatendimento
terminais para coletar 56 milhões de números de cartão de crédito de clientes em todo o país
Estados e Canadá. O relatório anual de 2016 da Home Depot revelou que o custo total do
violação foi de US $ 298 milhões.
endereços de e-mail, números do Seguro Social, números de registros médicos e fotografias.
Uma entidade coberta é definida pela HIPAA como um provedor de saúde que transmite eletronicamente
PHI (como médicos, clínicas, psicólogos, dentistas, quiropráticos, lares de idosos e
farmácias), um plano de saúde (como uma seguradora de saúde, manutenção de saúde
organização, plano de saúde da empresa ou programa governamental, incluindo Medicare, Medicaid,
militares e veteranos de saúde), ou uma câmara de compensação de saúde.
Página 34
• Anthem. Em fevereiro de 2015, a Anthem divulgou que seus servidores foram violados e
informações de identificação pessoal (PII), incluindo nomes, números de previdência social,
datas de nascimento, endereços e informações de renda para cerca de 80 milhões de clientes foram
roubado. A violação ocorreu em 10 de dezembro de 2014, quando os invasores comprometeram um
Banco de dados Anthem usando credenciais de administrador de banco de dados. A violação não foi
encontrado até 27 de janeiro de 2015, quando o administrador do banco de dados descobriu um
consulta questionável sendo executada com suas credenciais. O custo total da violação é
deverá atingir US $ 31 bilhões.
• US Office of Personnel Management (OPM). Duas violações de dados separadas descobertas
em abril de 2015 e junho de 2015 resultou no comprometimento de informações pessoais
incluindo nomes, números de previdência social, datas de nascimento e outras informações confidenciais de
cerca de 24 milhões de funcionários federais atuais e futuros (junto com seus cônjuges
e parceiros). Acredita-se que as violações tenham sido vinculadas aos dados da Anthem
violação (veja o exemplo de ataque anterior) e pode ter se originado na China já
Março de 2014. Segundo algumas estimativas, ocusto total da violação pode ultrapassar US $ 1 bilhão
ao longo da próxima década.
• Yahoo !. Durante as negociações para se vender para a Verizon em setembro de 2016, o Yahoo!
anunciou que foi vítima de uma violação de dados em 2014, provavelmente por um “patrocínio estatal
ator." O ataque comprometeu nomes, endereços de e-mail, datas de nascimento e telefone
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 25/254
22 PALO ALTO NETWORKS, INC.®
números de cerca de 500 milhões de usuários. Yahoo! disse que a grande maioria das senhas
envolvidos foram misturados usando o algoritmo bcrypt robusto. Como resultado direto do
violação, Yahoo! reduziu seu preço de venda para a Verizon em US $ 350 milhões.
• Equifax. Em julho de 2017, a Equifax descobriu uma violação de dados que explorou um
vulnerabilidade de segurança (Apache Struts CVE-2017-5638, publicado em 10 de março de 2017). A partir de
meados de maio a julho de 2017, os cibercriminosos comprometeram várias informações pessoais de
quase 148 milhões de consumidores nos Estados Unidos (em março de 2018), incluindo passaporte e motorista
dados de licença e números de previdência social. O custo total da violação no final de
2017 foi de US $ 439 milhões e pode ultrapassar US $ 600 milhões.
Página 35
Vários exemplos mais recentes de ataques e violações incluem:
• Under Armor. Em março de 2018, Under Armour relatou que as informações pessoais de
cerca de 150 milhões de usuários de seu aplicativo de alimentação e nutrição MyFitnessPal
comprometido. A violação incluiu nomes de usuário, endereços de e-mail e senhas com hash
mas não inclui informações de pagamento, que são coletadas e processadas separadamente.
• Marriott. Em novembro de 2018, a Marriott relatou uma violação de dados envolvendo potencialmente o
Termos chave
Uma ameaça de dia zero é a janela de vulnerabilidade que existe desde o momento em que um novo (desconhecido)
ameaça é lançada até que os fornecedores de segurança liberem um arquivo de assinatura ou patch de segurança para o
ameaça.
As informações de identificação pessoal (PII) são definidas pelo Instituto Nacional de Padrões dos EUA
e Tecnologia (NIST) como "qualquer informação sobre um indivíduo mantida por uma agência,
incluindo (1) qualquer informação que possa ser usada para distinguir ou rastrear a identidade de um indivíduo
... e (2) quaisquer outras informações que estejam vinculadas ou possam ser vinculadas a um indivíduo ... ” Exemplos de PII
incluir:
• Nome (como nome completo, nome de solteira, nome de solteira da mãe ou pseudônimo)
• Número de identificação pessoal (como número do Seguro Social, número do passaporte,
número da carteira de motorista e número da conta financeira ou número do cartão de crédito)
• Informações de endereço (como endereço ou endereço de e-mail)
• Números de telefone (como números de telefone celular, comercial e pessoal)
• Características pessoais (como fotografias, raios-X, impressões digitais e dados biométricos
dados)
• Informações sobre propriedade pessoal (como número de registro do veículo
e informações do título)
• Informações vinculadas ou vinculáveis a qualquer um dos itens acima (como data de nascimento,
local de nascimento, religião e emprego, registros médicos, educacionais e financeiros)
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 26/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição23
informações de cartão de crédito, números de passaporte e outros dados pessoais de até 500 milhões
hóspedes de hotéis de mais de 6.700 propriedades em suas marcas de hotel Starwood (W Hotels, St.
Regis, Sheraton, Westin, Element, Aloft, The Luxury Collection, Le Méridien e Four
Página 36
24 PALO ALTO NETWORKS, INC.®
Pontos) ao longo de um período de quatro anos, de 2014 a 2018. A natureza sensível do pessoal
dados - que incluíam endereços de correspondência, números de telefone, endereços de e-mail, datas de
nascimento, sexo, datas de reserva e datas / horários de chegada e partida - abre a porta
a uma ampla gama de atividades criminosas em potencial, além de fraude e identidade de cartão de crédito
roubo.
• Quest Diagnostics. Em maio de 2019, Quest Diagnostics foi notificado por um de seus
prestadores de serviços de cobrança, American Medical Collection Agency (AMCA), que um
usuário não autorizado potencialmente acessou mais de 12 milhões de registros de pacientes
incluindo registros de pacientes individuais, dados financeiros, números de previdência social e outros
informação médica.
• Cidade de Baltimore. A cidade americana de Baltimore, Maryland, foi atingida por um ataque de ransomware
em maio de 2019, exigindo o pagamento de $ 72.000 em bitcoin. Embora a cidade apropriadamente
recusou-se a pagar o resgate, eles orçaram US $ 18,2 milhões para remediar os danos
associados ao ataque. Baltimore é apenas um exemplo: 82 cidades dos EUA e
municípios foram atingidos por ataques de ransomware em 2019.
• Capital One. Em julho de 2019, a Capital One anunciou uma violação de dados que afetou mais de 100
milhões de clientes individuais nos EUA e Canadá, que resultaram de um indivíduo
explorando uma vulnerabilidade de configuração. Embora a violação não tenha comprometido o crédito
números de cartão ou credenciais de login da conta, expôs PII e outras informações confidenciais
informações, incluindo nomes, endereços, números de telefone, endereços de e-mail, datas de
nascimento, alguns números do seguro social, rendimentos auto-relatados, pontuação de crédito, limites de crédito
e saldos, histórico de pagamentos e dados de transações.
• Grupo Gekko. Em novembro de 2019, o Grupo Gekko, com sede na França, uma subsidiária da Accor
Hotéis, sofreu uma violação de dados em um banco de dados contendo mais de 1 terabyte de dados. O
violação potencialmente expôs as informações dos clientes das marcas do Grupo Gekko (600.000
hotéis em todo o mundo), seus clientes e sites e plataformas externas conectadas (como
Booking.com), incluindo PII, reservas de hotel e transporte e cartão de crédito
em formação.
• Escolas americanas. Ataques de ransomware atingiram 72 distritos escolares dos EUA de 1 ° de janeiro a
1º de dezembro de 2019, impactando 867 escolas e mais de 10.000 alunos. 8
8 Mayes, Michael. “Top 10 Ransomware Stories of 2019.” Revista CPO. 27 de dezembro de 2019.
https://www.cpomagazine.com/cyber-security/top-10-ransomware-stories-of-2019/ .
Página 37
Lições importantes a serem aprendidas com esses ataques incluem:
• Um ataque cibernético “baixo e lento” pode passar despercebido por semanas, meses ou até anos.
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cpomagazine.com/cyber-security/top-10-ransomware-stories-of-2019/
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cpomagazine.com/cyber-security/top-10-ransomware-stories-of-2019/
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 27/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição25
• Um invasor não precisa necessariamente executar uma exploração sofisticada contra um
sistema para se infiltrar em uma organização-alvo. Freqüentemente, um atacante terá como alvo um auxiliar
sistema ou outro ponto de extremidade vulnerável e, em seguida, direcione o ataque para o alvo principal.
• Vulnerabilidades não corrigidas são um vetor de ataque comumente explorado.
• Os custos financeiros diretos e indiretos de uma violação podem ser devastadores para ambos
organização-alvo e indivíduos cujas informações pessoais e financeiras foram roubadas
ou comprometido.
1.0 Verificação de Conhecimento
Teste sua compreensão dos fundamentos da seção anterior. Reveja o correto
respostas no Apêndice A.
1. Verdadeiro ou falso. O software de business intelligence (BI) consiste em ferramentas e técnicas
usado para revelar grandes quantidades de dados nãoestruturados brutos para realizar uma variedade de tarefas,
incluindo mineração de dados, processamento de eventos e análise preditiva.
2. Verdadeiro ou falso. O processo no qual os usuários finais encontram tecnologia pessoal e aplicativos que
são mais poderosos ou capazes, mais convenientes, menos caros, mais rápidos de instalar,
e mais fácil de usar do que as soluções de TI corporativas é conhecido como consumerização .
3. Verdadeiro ou falso. Uma organização pode ser compatível com toda a segurança aplicável e
regulamentos de privacidade para seu setor ainda não são seguros.
4. Preencha o espaço em branco. A lei dos EUA que estabelece padrões nacionais para proteger
registros médicos de indivíduos e outras informações de saúde são conhecidos como o
.
5. Discussão em sala de aula. Quais são as lições ou temas comuns que podem ser derivados
do ataque cibernético Target, Anthem, Equifax, Marriott e Quest Diagnostics
exemplos?
Página 38
1.1 Ciberameaças
Esta seção descreve os adversários da cibersegurança - os vários atores da ameaça, suas motivações,
e a estratégia de ciberataque.
1.1.1 Perfis e motivações do atacante
Em A Arte da Guerra , Sun Tzu ensina “conhece o teu inimigo, conhece a ti mesmo. Mil batalhas, um
mil vitórias ”(traduzidas em várias formas) para incutir a importância de compreender o
pontos fortes, pontos fracos, estratégias e táticas de seu adversário, assim como você conhece os seus.
Claro, na guerra cibernética moderna, mil batalhas podem ocorrer em questão de segundos, e um
uma única vitória de seu inimigo pode colocar toda a sua organização em perigo. Assim, conhecendo seus inimigos
- incluindo seus meios e motivações - é mais importante do que nunca.
Nos "bons e velhos tempos" relativamente inócuos dos hackers e script kiddies , a principal motivação
pois um ataque cibernético era notoriedade, e o objetivo do ataque era normalmente limitado a desfigurar ou
“Possuir” um site para causar transtorno e / ou constrangimento à vítima.
Termos chave
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 28/254
26 PALO ALTO NETWORKS, INC.®
Ataques cibernéticos modernos são perpetrados por adversários muito mais sofisticados e perigosos,
motivado por propósitos muito mais sinistros:
• Cibercriminosos. Agindo de forma independente ou como parte de uma organização criminosa,
os cibercriminosos cometem atos de roubo de dados, apropriação indébita, fraude e / ou extorsão por
ganho financeiro. De acordo com a RAND Corporation, “Em certos aspectos, o mercado negro
O termo hacker foi originalmente usado para se referir a qualquer pessoa com computação altamente especializada
habilidades, sem conotação de bons ou maus propósitos. No entanto, o uso indevido comum do termo tem
redefiniu um hacker como alguém que burla a segurança do computador com más intenções,
como um cibercriminoso, ciberterrorista ou hacktivista, cracker e / ou chapéu preto.
Um script kiddie é alguém com habilidades limitadas de hacking e / ou programação que usa
programas maliciosos (malware) escritos por terceiros para atacar um computador ou rede.
Página 39
[para o cibercrime] pode ser mais lucrativo do que o comércio ilegal de drogas ”, 9 e por muitos
estima, o cibercrime agora é uma indústria de US $ 1 trilhão.
• Grupos afiliados ao estado. Patrocinados ou afiliados a estados-nação, estes
as organizações têm os recursos para lançar ataques muito sofisticados e persistentes,
têm grande profundidade técnica e foco, e são bem financiados. Eles costumam ter militares
e / ou objetivos estratégicos, como a capacidade de desativar ou destruir a infraestrutura crítica,
incluindo redes de energia, abastecimento de água, sistemas de transporte, resposta a emergências e
sistemas médicos e industriais. O Centro de Estudos Estratégicos e Internacionais
relata que “Em nível de estado-nação, a Rússia, o Irã e a Coréia do Norte estão usando métodos coercitivos
ataques cibernéticos para aumentar sua esfera de influência, enquanto China, Rússia e Irã fizeram
realizou reconhecimento de redes críticas para a operação da rede elétrica dos EUA
e outras infraestruturas críticas sem penalidade. ” 10
• Hacktivistas. Motivados por causas políticas ou sociais, grupos hacktivistas (como
Anônimo) normalmente executa ataques de negação de serviço (DoS) contra um alvo
organização desfigurando seus sites ou inundando suas redes com tráfego.
• Ciberterroristas. Organizações terroristas usam a internet para recrutar, treinar, instruir e
comunicar e espalhar medo e pânico para fazer avançar suas ideologias. Ao contrário de outros
atores de ameaças, ciberterroristas são amplamente indiscriminados em seus ataques, e seus
os objetivos incluem dano físico, morte e destruição.
Atores externos de ameaças - incluindo crime organizado, grupos afiliados ao estado, ativistas, ex
funcionários e outros invasores não afiliados ou desconhecidos - representam a maioria
de violações de dados. Atores internos estiveram envolvidos em 34 por cento das violações de dados relatadas. 11
9 Lillian Ablon, Martin Libicki e Andrea Golay. “Markets for Cybercrime Tools and Stolen Data.” RAND
Corporation, National Security Research Division. 2014.
https://www.rand.org/content/dam/rand/pubs/research_reports/RR600/RR610/RAND_RR610.pdf .
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.rand.org/content/dam/rand/pubs/research_reports/RR600/RR610/RAND_RR610.pdf
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.rand.org/content/dam/rand/pubs/research_reports/RR600/RR610/RAND_RR610.pdf
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 29/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição27
10 Zheng, Denise E. “Global Forecast 2016: Disrupting the Cyber Status Quo.” Centro de Estratégico e Internacional
Estudos. 16 de novembro de 2015.https://www.csis.org/analysis/disrupting-cyber-status-quo.
11 “Relatório de investigações de violação de dados de 2019”. Soluções Verizon Enterprise. 2019.
https: // www. enterprise.verizon.com/resources/reports/dbir/ .
Página 40
28 PALO ALTO NETWORKS, INC.®
1.1.2 Estratégia de ataque cibernético moderna
A estratégia de ciberataque moderna evoluiu de um ataque direto contra um servidor de alto valor ou
ativo (“choque e pavor”) para um paciente, processo de várias etapas que combina exploits, malware, furtividade,
e evasão em um ataque de rede coordenado (“baixo e lento”).
O Ciclo de Vida do Ataque Cibernético (veja a Figura 1-1) ilustra a sequência de eventos que um invasor
passa para se infiltrar em uma rede e exfiltrar (ou roubar) dados valiosos. Bloqueio de apenas um
passo quebra a cadeia e pode efetivamente defender a rede e os dados de uma organização contra um
ataque.
Figura 1-1
O Ciclo de Vida do Ataque Cibernético
1. Reconhecimento. Como criminosos comuns, os invasores planejam meticulosamente seus ataques cibernéticos.
Eles pesquisam, identificam e selecionam alvos, muitas vezes extraindo informações públicas de
perfis de mídia social de funcionários direcionados ou de sites corporativos, que podem ser
útil para esquemas de engenharia social e phishing. Os invasores também usarão várias ferramentas
para fazer a varredura de vulnerabilidades de rede, serviços e aplicativos que eles podem explorar, como
como:
• Analisadores de rede (também conhecidos como analisadores de pacotes, analisadores de protocolo ou
farejadores de pacotes) são usados para monitorar e capturar o tráfego de rede bruto (pacotes).
Os exemplos incluem tcpdump e Wireshark (anteriormente Ethereal).
• Scanners de vulnerabilidade de rede normalmente consistem em um conjunto de ferramentas, incluindo
crackers de senha, scanners de porta e scanners de vulnerabilidade e são usados para
sondar uma rede em busca de vulnerabilidades (incluindo erros de configuração) que podem ser
explorado. Os exemplos incluem Nessus e SAINT.
• Os crackersde senha são usados para realizar ataques de dicionário de força bruta contra
hashes de senha. Os exemplos incluem John the Ripper e THC Hydra.
• Scanners de porta são usados para sondar portas abertas TCP ou UDP (incluindo ICMP) em
um ponto final. Os exemplos incluem Nmap (“mapeador de rede”) e Nessus.
Página 41
• Scanners de vulnerabilidade de aplicativos da web são usados para escanear aplicativos da web
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.csis.org/analysis/disrupting-cyber-status-quo
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.enterprise.verizon.com/resources/reports/dbir/
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.enterprise.verizon.com/resources/reports/dbir/
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.enterprise.verizon.com/resources/reports/dbir/
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.enterprise.verizon.com/resources/reports/dbir/
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.enterprise.verizon.com/resources/reports/dbir/
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 30/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição29
vulnerabilidades, como script entre sites, injeção de SQL e passagem de diretório.Os exemplos incluem Burp Suite e OWASP Zed Attack Proxy (ZAP).
• Scanners de vulnerabilidade Wi-Fi são usados para escanear redes sem fio para
vulnerabilidades (incluindo pontos de acesso abertos e mal configurados), para capturar
tráfego de rede sem fio e para quebrar senhas sem fio. Exemplos incluem
Aircrack-ng e Wifite.
Romper o ciclo de vida do ataque cibernético nesta fase de um ataque começa com pró-ativa e
treinamento eficaz de conscientização de segurança do usuário final que se concentra em tópicos como social
técnicas de engenharia (por exemplo, phishing, pegando carona e surfando no ombro),
mídia social (por exemplo, questões de segurança e privacidade) e políticas de segurança organizacional
(por exemplo, requisitos de senha, acesso remoto e segurança física). Outro
contramedida importante é o monitoramento contínuo e a inspeção do tráfego de rede
fluxos para detectar e evitar varreduras não autorizadas de portas e vulnerabilidades, varreduras de host e
outra atividade suspeita. Mudança efetiva e processos de gerenciamento de configuração
ajudam a garantir que os aplicativos e endpoints recém-implantados sejam configurados corretamente
(por exemplo, desativando portas e serviços desnecessários) e mantidos.
2. Armamento. Em seguida, os invasores determinam quais métodos usar para comprometer um
ponto final de destino. Eles podem optar por incorporar o código do intruso em aparentemente inócuo
arquivos como PDF ou documento do Microsoft Word ou mensagem de e-mail. Ou, para altamente
ataques direcionados, os invasores podem personalizar os resultados para atender aos interesses específicos de
um indivíduo dentro da organização-alvo.
Romper o ciclo de vida do ataque cibernético nesta fase de um ataque é um desafio porque
o armamento normalmente ocorre dentro da rede do invasor. No entanto, a análise de
artefatos (malware e armador) podem fornecer informações importantes sobre ameaças para
habilitar proteção efetiva de dia zero quando a entrega (a próxima etapa) for tentada.
3. Entrega. Próxima tentativa dos atacantes de entregar sua carga útil como arma a um alvo
endpoint, por exemplo, via e-mail, mensagem instantânea (IM), download drive-by (um fim
o navegador do usuário é redirecionado para uma página da web que baixa malware automaticamente
para o endpoint em segundo plano) ou compartilhamento de arquivos infectados.
Romper o ciclo de vida do ataque cibernético nesta fase de um ataque requer visibilidade de todos
tráfego de rede (incluindo dispositivos remotos e móveis) para bloquear eficazmente o conteúdo malicioso ou
sites, aplicativos e endereços IP de risco, evitando conhecidos e desconhecidos
malware e exploits.
Página 42
4. Exploração. Depois que uma carga útil armada é entregue a um endpoint alvo, ela deve ser
provocado. Um usuário final pode inadvertidamente acionar uma exploração, por exemplo, clicando em um
link malicioso ou abrir um anexo infectado em um e-mail, ou um invasor pode
acionar remotamente uma exploração contra uma vulnerabilidade de servidor conhecida na rede de destino.
Quebrando o ciclo de vida do ataque cibernético nesta fase de um ataque, como durante o
A fase de reconhecimento começa com a conscientização proativa e eficaz da segurança do usuário final
treinamento que se concentra em tópicos como prevenção de malware e segurança de e-mail. De outros
importantes contra-medidas de segurança incluem vulnerabilidade e gerenciamento de patches;
detecção e prevenção de malware; inteligência de ameaças (incluindo conhecidos e desconhecidos
ameaças); bloquear aplicativos e serviços arriscados, não autorizados ou desnecessários; administrar
permissões de arquivo ou diretório e privilégios de root ou administrador; e registro e
monitorando a atividade da rede.
5. Instalação. Em seguida, um invasor aumentará os privilégios no endpoint comprometido, para
por exemplo, estabelecendo acesso remoto ao shell e instalando rootkits ou outro malware.
Com o acesso shell remoto, o invasor tem controle do endpoint e pode executar
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 31/254
30 PALO ALTO NETWORKS, INC.®
comandos em modo privilegiado a partir de uma interface de linha de comando (CLI) como se estivesse fisicamente sentado
na frente do endpoint. O atacante então se moverá lateralmente através do alvo
rede, execução de código de ataque, identificação de outros alvos de oportunidade e
comprometer endpoints adicionais para estabelecer persistência.
A chave para quebrar o ciclo de vida do ataque cibernético nesta fase de um ataque é limitar ou
restringir o movimento lateral dos invasores dentro da rede. Use segmentação de rede
e um modelo Zero Trust que monitora e inspeciona todo o tráfego entre as zonas ou
segmentos e controle granular de aplicativos permitidos na rede.
6. Comando e controle. Os invasores estabelecem canais de comunicação criptografados de volta para
servidores de comando e controle (C2) em toda a internet para que eles possam modificar seus
objetivos de ataque e métodos como alvos adicionais de oportunidade são identificados dentro
a rede da vítima, ou para evitar quaisquer novas contramedidas de segurança que a organização
pode tentar implantar se artefatos de ataque forem descobertos. A comunicação é essencial para
um ataque porque permite que o invasor direcione remotamente o ataque e execute o
objetivos de ataque. O tráfego C2 deve, portanto, ser resiliente e furtivo para que um ataque
ter sucesso. O tráfego de comunicação de ataque geralmente fica oculto por meio de várias técnicas e
ferramentas incluindo:
• Criptografia com SSL, SSH (Secure Shell) ou algum outro personalizado ou proprietário
criptografia.
Página 43
• Contorno por meio de proxies, ferramentas de acesso remoto ou tunelamento. Em alguns casos,
o uso de redes celulares permite contornar completamente a rede alvo
para tráfego de ataque C2.
• Evasão de porta usando anonimizadores de rede ou salto de porta para atravessar qualquer
portas abertas disponíveis.
• Fast Flux (ou DNS dinâmico) para proxy através de vários endpoints infectados ou
vários servidores C2 em constante mudança para redirecionar o tráfego e determinar
o verdadeiro destino ou origem do ataque é difícil.
• O tunelamento DNS é usado para comunicações C2, bem como infiltração de dados (para
exemplo, o envio de código malicioso, comandos ou arquivos binários para uma vítima) e dados
exfiltração.
Romper o ciclo de vida do ataque cibernético nesta fase de um ataque requer a inspeção de todos
tráfegode rede (incluindo comunicações criptografadas), bloqueio de C2 de saída
comunicações com assinaturas anti-C2 (junto com uploads de arquivo e padrão de dados),
bloqueio de todas as comunicações de saída para URLs e endereços IP maliciosos conhecidos,
bloqueio de novas técnicas de ataque que empregam métodos de evasão de portas, prevenção de
o uso de anonimizadores e proxies na rede, monitoramento de DNS para detecção de
domínios e contra-ataque com afundamento de DNS ou envenenamento de DNS e redirecionamento de
comunicações de saída maliciosas para os honeypots para identificar ou bloquear os comprometidos
endpoints e analisar o tráfego de ataque.
7. Ações sobre o objetivo. Os atacantes costumam ter objetivos de ataque múltiplos e diferentes
incluindo roubo de dados; destruição ou modificação de sistemas, redes e dados críticos;
e negação de serviço (DoS). Este último estágio do Ciclo de Vida do Ataque Cibernético também pode ser usado
por um invasor para avançar os estágios iniciais do ciclo de vida do ataque cibernético contra outro
alvo. O Relatório de investigações de violação de dados da Verizon 2018 (DBIR) descreve isso
estratégia como um motivo secundário em que "[aplicativos da web] são comprometidos para ajudar e
cúmplice no ataque de outra vítima. ” 12 Por exemplo, um invasor pode comprometer um
extranet da empresa para violar um parceiro de negócios que é o alvo principal. De acordo com
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 32/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição31
o DBIR, em 2014 ocorreram 23.244 “incidentes onde aplicações web foramcomprometido com um motivo secundário. ” 13 O atacante articula o ataque contra o
12 “2018 violação de dados Investigations Report, 11 th Edition. Soluções Verizon Enterprise. 2018.
https://enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf.
13 Ibid.
Página 44
32 PALO ALTO NETWORKS, INC.®
rede de vítima inicial para uma rede de vítima diferente, tornando a vítima inicial um
cúmplice involuntário.
1.1 Verificação de Conhecimento
Teste sua compreensão dos fundamentos da seção anterior. Reveja o correto
respostas no Apêndice A.
1. Verdadeiro ou falso. A maioria dos ataques cibernéticos hoje são perpetrados por agentes de ameaças internas, como
como funcionários mal-intencionados envolvidos em espionagem corporativa.
2. Discussão em sala de aula. Descreva as diferentes motivações de vários adversários,
incluindo cibercriminosos, ciberterroristas, organizações patrocinadas pelo estado e
hacktivistas.
3. Verdadeiro ou falso. O Ciclo de Vida do Ataque Cibernético é um processo de cinco etapas que um invasor segue
para atacar uma rede.
4. Resposta múltipla. Liste e descreva as etapas do Ciclo de Vida do Ataque Cibernético.
5. Verdadeiro ou falso. Um invasor precisa ter sucesso na execução de apenas uma etapa do
Ciclo de vida do ataque para se infiltrar em uma rede, enquanto um defensor deve "estar certo a cada
tempo ”e quebrar todas as etapas da corrente para evitar um ataque.
6. Múltipla escolha. Qual técnica não é usada para quebrar o comando e controle
(C2) fase do ciclo de vida do ataque cibernético? (Escolha um.)
a) bloquear o tráfego de saída para sites maliciosos e endereços IP conhecidos
b) afundamento de DNS e envenenamento de DNS
c) vulnerabilidade e gerenciamento de patch
d) todos os anteriores
7. Verdadeiro ou falso. A chave para quebrar o ciclo de vida do ataque cibernético durante a instalação
fase é implementar a segmentação de rede, um modelo Zero Trust e granular
controle de aplicativos para limitar ou restringir o movimento lateral de um invasor dentro do
rede.
Página 45
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 33/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição33
1.2 Técnicas e tipos de ataque cibernético
Os invasores usam uma variedade de técnicas e tipos de ataque para atingir seus objetivos. Malware e
exploits são parte integrante da estratégia de ataque cibernético moderna. Spamming e phishing são comumente
técnicas empregadas para entregar malware e exploits a um endpoint por meio de um executável de e-mail ou
um link da web para um site malicioso. Depois que um endpoint é comprometido, um invasor normalmente
instala backdoors, Trojans de acesso remoto e outros malwares para garantir a persistência.
Endpoints comprometidos (“bots”) sob o controle de um invasor são freqüentemente usados para perpetrar
ataques em escala muito maior contra outras organizações ou redes como parte de um botnet. Esta
seção descreve diferentes tipos de malware, vulnerabilidades e exploits; e-mail spamming e
técnicas de phishing; e como os bots e botnets funcionam, junto com diferentes tipos de botnets.
1.2.1 Malware
Malware é um software ou código malicioso que normalmente assume o controle, coleta informações de,
ou danifica um endpoint infectado. O malware inclui amplamente:
• Vírus. Um vírus é um malware que se auto-replica, mas deve primeiro infectar um programa host
e ser executado por um usuário ou processo.
• Worms. Um worm é um malware que normalmente tem como alvo uma rede de computadores, replicando-se
se espalhar rapidamente. Ao contrário dos vírus, os worms não precisam infectar outros programas e
não precisa ser executado por um usuário ou processo.
• Cavalos de Tróia. Um cavalo de Tróia é um malware disfarçado de programa inofensivo, mas
na verdade, dá a um invasor controle total e privilégios elevados de um endpoint quando
instalado. Ao contrário de outros tipos de malware, os cavalos de Tróia normalmente não se auto-replicam.
Termos chave
Malware é um software ou código malicioso que normalmente assume o controle e coleta informações
de, ou danifica um endpoint infectado. O malware inclui amplamente vírus, worms, cavalos de Tróia
cavalos (incluindo Trojans de acesso remoto ou RATs), ransomware, anti-AV, bombas lógicas,
backdoors, rootkits, bootkits, spyware e (em menor extensão) adware.
Um exploit é um pequeno pedaço de código de software, parte de um arquivo de dados malformado ou uma sequência
(string) de comandos que potencializam uma vulnerabilidade em um sistema ou software, causando
comportamento não intencional ou imprevisto no sistema ou software.
Uma vulnerabilidade é um bug ou falha que existe em um sistema ou software e cria um risco de segurança.
Página 46
• Ransomware. Ransomware é um malware que bloqueia um computador ou dispositivo (Locker
ransomware) ou criptografa dados (Crypto ransomware) em um endpoint infectado com um
chave de criptografia que apenas o invasor conhece, tornando os dados inutilizáveis até que o
a vítima paga um resgate (geralmente criptomoeda, como Bitcoin). Reveton e LockeR são
dois exemplos de ransomware Locker. Locky, TeslaCrypt / EccKrypt, Cryptolocker e
Cryptowall são exemplos de ransomware Crypto.
• Anti-AV. Anti-AV é um malware que desativa o software antivírus instalado legitimamente no
endpoint comprometido, evitando assim a detecção automática e a remoção de outros
malware.
• Bombas lógicas. Uma bomba lógica é um malware que é acionado por uma condição especificada, como
uma determinada data ou uma conta de usuário específica sendo desativada.
• Backdoors. Um backdoor é um malware que permite que um invasor contorne a autenticação para
obter acesso a um sistema comprometido.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 34/254
34 PALO ALTO NETWORKS, INC.®
• Rootkits. Um rootkit é um malware que fornece acesso privilegiado (nível raiz) a um computador.
Os rootkits são instalados no BIOS de uma máquina, o que significa nível de sistema operacional
as ferramentas de segurança não podem detectá-los.
• Bootkits. Um bootkit é um malware que é uma variantedo modo kernel de um rootkit, comumente usado
para atacar computadores protegidos por criptografia de disco completo.
• Spyware e adware. Spyware e adware são tipos de malware que coletam
informações, como comportamento de navegação na Internet, credenciais de login e conta financeira
informações sobre um endpoint infectado. O spyware muitas vezes muda o navegador e outros
configurações de software e diminui a velocidade do computador e da Internet em um endpoint infectado.
Adware é um spyware que exibe anúncios irritantes em um endpoint infectado,
frequentemente como banners pop-up.
O malware inicial normalmente consistia em vírus que eram irritantes - mas relativamente benignos -
erros, mensagens ou gráficos.
O primeiro vírus de computador foi Elk Cloner, escrito em 1982 por um estudante do nono ano do ensino médio
perto de Pittsburgh, Pensilvânia. Elk Cloner era um vírus de setor de inicialização relativamente benigno que
exibiu um poema na qüinquagésima vez que um disquete infectado foi inserido em um Apple II
computador.
O primeiro vírus de PC foi um vírus de setor de boot, escrito em 1986, chamado Brain. O cérebro também era relativamente
benigna e exibiu uma mensagem com as informações de contato reais para os criadores do
Página 47
vírus. Brain foi escrito por dois irmãos paquistaneses que criaram o vírus para que pudessem
rastrear a pirataria de seu software médico.
Um dos primeiros worms de computador a ganhar ampla notoriedade foi o worm Morris, escrito por
um estudante de graduação da Harvard and Cornell University, Robert Tappan Morris, em 1988. O worm
explorou senhas fracas e vulnerabilidades conhecidas em vários programas Unix e se espalhou
rapidamente na Internet (o worm infectou cerca de 10 por cento de todos os Unix
máquinas conectadas à Internet naquele momento - cerca de 6.000 computadores), às vezes
infectar um computador várias vezes a ponto de torná-lo inútil - um exemplo de
um ataque DoS inicial. O US Government Accountability Office (GAO) estimou os danos
causada pelo worm Morris entre US $ 100.000 e US $ 10 milhões.
Infelizmente, mais de 35 anos desde esses primeiros exemplos de malware, malware moderno
evoluiu e é usado para propósitos muito mais sinistros. Exemplos de malware moderno incluem:
Termos chave
Um vírus de setor de inicialização tem como alvo o setor de inicialização ou registro mestre de inicialização (MBR) de um endpoint
unidade de armazenamento ou outra mídia de armazenamento removível.
Um setor de inicialização contém código de máquina que é carregado na memória de um endpoint por firmware
durante o processo de inicialização, antes que o sistema operacional seja carregado.
Um registro mestre de inicialização (MBR) contém informações sobre como as partições lógicas (ou arquivo
sistemas) são organizados na mídia de armazenamento e um carregador de boot executável que inicia
o sistema operacional instalado.
Um disquete é um meio de armazenamento magnético removível comumente usado em meados da década de 1970
até cerca de 2007, quando foi amplamente substituído por discos compactos e armazenamento USB removível
dispositivos. Os disquetes estavam normalmente disponíveis em tamanhos de 8 polegadas, 5¼ polegadas e 3½ polegadas com
capacidades de 90 kilobytes a 200 megabytes.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 35/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição35
• WannaCry. Em um período de apenas 24 horas em maio de 2017, o ataque de ransomware WannaCry
infectou mais de 230.000 computadores Windows vulneráveis em mais de 150 países
no mundo todo. Embora o ataque tenha sido rapidamente interrompido após a descoberta de um "interruptor de eliminação",
o dano econômico total é estimado entre centenas de milhões e tanto quanto
US $ 4 bilhões, apesar de os autores terem arrecadado apenas 327 pagamentos de resgate, totalizando
cerca de US $ 130.000.
Página 48
36 PALO ALTO NETWORKS, INC.®
• HenBox. HenBox normalmente se disfarça como sistema Android legítimo e aplicativos VPN,
e às vezes descarta e instala versões legítimas de outros aplicativos como um chamariz. O
O objetivo principal dos aplicativos HenBox parece ser espionar quem os instala. De
usando características semelhantes a aplicativos legítimos, por exemplo, iconografia e aplicativo imitadores ou
nomes de pacotes, HenBox atrai vítimas para baixar e instalar aplicativos maliciosos
de lojas de aplicativos de terceiros, não pertencentes ao Google Play, que geralmente têm menos segurança e verificação
procedimentos para os aplicativos que hospedam. Tal como acontece com outro malware Android, alguns aplicativos também podem
estar disponível em fóruns ou sites de compartilhamento de arquivos, ou mesmo pode ser enviado às vítimas como e-mail
anexos.
• TeleRAT. Telegram Bots são contas especiais que não requerem um telefone adicional
número para configurar e geralmente são usados para enriquecer os bate-papos do Telegram com conteúdo de
serviços externos ou para obter notificações e notícias personalizadas. Abusos do TeleRAT
Bot API do Telegram para C2 e exfiltração de dados.
• Rarog. Rarog é um Trojan de mineração de criptomoedas que foi vendido em vários
fóruns clandestinos desde junho de 2017 e tem sido usado por incontáveis criminosos desde
então. Rarog foi usado principalmente para extrair a criptomoeda Monero. no entanto
pode minerar outros. Ele vem equipado com vários recursos, incluindo o fornecimento de mineração
estatísticas para os usuários, configurando várias cargas do processador para o minerador em execução, a capacidade
para infectar dispositivos USB e a capacidade de carregar bibliotecas de vínculo dinâmico (DLLs) adicionais em
o dispositivo da vítima. Rarog fornece uma maneira acessível para novos criminosos entrarem
usando esse tipo específico de malware. Outros exemplos de mineradores criptomoeda incluem
Coinhive, JSE-Coin, Crypto-Loot e CoinImp.
O malware moderno é tipicamente furtivo e evasivo, e agora desempenha um papel central em um processo coordenado
ataque contra um alvo (consulte a Seção 1.1.2).
O malware avançado aproveita as redes para ganhar poder e resiliência e pode ser atualizado - apenas
como qualquer outro aplicativo de software - para que um invasor possa mudar de curso e se aprofundar
a rede ou fazer alterações e decretar contramedidas.
Esta é uma mudança fundamental em comparação com os tipos anteriores de malware, que geralmente eram
agentes independentes que simplesmente se infectavam e se reproduziam. Malware avançado
Termos chave
Uma biblioteca de vínculo dinâmico (DLL) é um tipo de arquivo usado nos sistemas operacionais da Microsoft que permite
vários programas para compartilhar simultaneamente as instruções de programação contidas em um único
arquivo para executar funções específicas.
Página 49
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 36/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição37
cada vez mais se tornou um aplicativo em rede coordenado centralmente em um sentido muito real. No
da mesma forma que a internet mudou o que era possível na computação pessoal,
O acesso onipresente à rede está mudando o que é possível no mundo do malware. Agora tudo
malware do mesmo tipo pode trabalhar em conjunto para um objetivo comum, com cada
endpoint expandindo o ponto de apoio de ataque e aumentando o dano potencial ao
organização.
Características e recursos importantes de malware avançado incluem:
• Arquitetura distribuída e tolerante a falhas. O malware avançado aproveita ao máximo o
resiliência embutida na própria Internet. Malware avançado pode ter controle múltiplo
servidores distribuídos em todo o mundo com várias opções de fallback, e também podem
alavancar outros terminais infectados como canais de comunicação, proporcionando assim um próximo
número infinito de caminhos de comunicação para se adaptar às condições de mudança ou atualizar o código
como necessário.• Multifuncionalidade. As atualizações dos servidores C2 também podem mudar completamente o
funcionalidade de malware avançado. Esta capacidade multifuncional permite que um invasor
usar vários endpoints estrategicamente para realizar tarefas específicas desejadas, como
roubar números de cartão de crédito, enviar spam contendo outras cargas de malware (como
spyware) ou instalar ransomware para fins de extorsão.
• Polimorfismo e metamorfismo. Alguns malwares avançados têm seções inteiras de
código que não serve a nenhum propósito além de alterar a assinatura do malware, portanto
produzindo um número infinito de hashes de assinatura exclusivos, mesmo para o menor dos
programas de malware. Técnicas como polimorfismo e metamorfismo são usadas para
evite a detecção por ferramentas e software anti-malware tradicionais baseados em assinatura. Pra
exemplo, uma mudança de apenas um único caractere ou bit do arquivo ou código-fonte completamente
altera a assinatura hash do malware.
• Ofuscação. O malware avançado costuma usar técnicas comuns de ofuscação para ocultar
certas cadeias binárias que são caracteristicamente usadas em malware e, portanto, são facilmente
detectado por assinaturas de anti-malware ou para ocultar um programa de malware inteiro.
Página 50
Termos chave
O polimorfismo altera parte do código do malware a cada iteração, como a criptografia
chave ou rotina de descriptografia, mas a carga útil do malware permanece inalterada.
O metamorfismo usa técnicas mais avançadas do que o polimorfismo para alterar o código do malware
com cada iteração. Embora a carga útil do malware mude a cada iteração - para
exemplo, usando uma estrutura ou sequência de código diferente ou inserindo código de lixo para
alterar o tamanho do arquivo - o comportamento fundamental da carga do malware permanece o mesmo.
Uma assinatura hash é uma representação criptográfica de um arquivo inteiro ou do código-fonte de um programa.
Ofuscação é uma técnica de programação usada para tornar o código ilegível. Pode ser
implementado usando uma cifra de substituição simples, como uma operação exclusiva ou (XOR) -
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 37/254
38 PALO ALTO NETWORKS, INC.®
1.2.2 Vulnerabilidades e explorações
Um exploit é um tipo de malware que tira proveito de uma vulnerabilidade no endpoint instalado ou
software de servidor, como um navegador da web, Adobe Flash, Java ou Microsoft Office. Um atacante
cria uma exploração que visa uma vulnerabilidade de software, fazendo com que o software execute funções
ou execute código em nome do invasor.
Vulnerabilidades são descobertas rotineiramente no software em uma taxa alarmante. Vulnerabilidades podem
existem no software quando o software é inicialmente desenvolvido e lançado, ou vulnerabilidades podem
ser criado inadvertidamente, ou mesmo reintroduzido, quando a versão subsequente for atualizada ou a segurança
patches são instalados. De acordo com uma pesquisa da Palo Alto Networks, 78 por cento das explorações levam
vantagem de vulnerabilidades com menos de dois anos.
Os patches de segurança são desenvolvidos por fornecedores de software o mais rápido possível após uma vulnerabilidade
foi descoberto em seu software. No entanto, um invasor pode descobrir uma vulnerabilidade e
comece a explorá-lo antes que o fornecedor do software esteja ciente da vulnerabilidade ou tenha um
oportunidade de desenvolver um patch. Este atraso entre a descoberta de uma vulnerabilidade e
o desenvolvimento e o lançamento de um patch são conhecidos como ameaças de dia zero (ou exploit). Pode ser
meses ou anos antes de uma vulnerabilidade ser anunciada publicamente. Depois que um patch de segurança se torna
disponível, inevitavelmente é necessário tempo para que as organizações testem e implantem adequadamente o patch no
em que a saída é verdadeira apenas quando as entradas são diferentes (por exemplo, TRUE e TRUE
é igual a FALSE, mas TRUE e FALSE é igual a TRUE) - ou usando criptografia mais sofisticada
algoritmos, como o Advanced Encryption Standard (AES). Alternativamente, um empacotador pode ser
usado para compactar um programa de malware para entrega e, em seguida, descompactá-lo na memória em
tempo de execução.
Página 51
todos os sistemas afetados. Durante esse tempo, um sistema que executa o software vulnerável corre o risco de
sendo explorado por um invasor (consulte a Figura 1-2).
Figura 1-2
Vulnerabilidades podem ser exploradas desde o momento em que o software é implantado até que ele seja corrigido.
As explorações podem ser incorporadas em arquivos de dados aparentemente inócuos (como o Microsoft Word
documentos, arquivos PDF e páginas da Web) ou podem ter como alvo serviços de rede vulneráveis. Exploits
são particularmente perigosos porque muitas vezes são empacotados em arquivos legítimos que não
acionar software anti-malware (ou antivírus) e, portanto, não são facilmente detectados.
A criação de um arquivo de dados de exploração é um processo de duas etapas. A primeira etapa é incorporar um pequeno pedaço de
código malicioso dentro do arquivo de dados. No entanto, o invasor ainda deve enganar o aplicativo para
executando o código malicioso. Assim, a segunda parte da exploração normalmente envolve a memória
técnicas de corrupção que permitem que o código do invasor seja inserido no fluxo de execução de
o software vulnerável. Depois disso, um aplicativo legítimo, como um documento
visualizador ou navegador da web, executará ações em nome do invasor, como estabelecer
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 38/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição39
comunicação e fornecendo a capacidade de carregar malware adicional para o endpoint de destino.
Como o aplicativo que está sendo explorado é legítimo, o tradicional baseado em assinatura
antivírus e software de lista de permissões virtualmente não têm eficácia contra esses ataques.
Embora existam muitos milhares de exploits, todos eles contam com um pequeno conjunto de técnicas básicas
que mudam raramente. Por exemplo, um heap spray é uma tentativa de inserir o código do invasor
em vários locais dentro do heap de memória, esperando que um desses locais seja
chamado pelo processo e executado. Alguns ataques podem envolver mais etapas, alguns podem envolver
menos, mas normalmente três a cinco técnicas principais devem ser usadas para explorar um aplicativo.
Independentemente do ataque ou de sua complexidade, para que o ataque seja bem-sucedido, o atacante deve
Página 52
40 PALO ALTO NETWORKS, INC.®
execute uma série dessas técnicas básicas de exploração em sequência, como navegar em um labirinto para alcançar
seu objetivo (veja a Figura 1-3).
Figura 1-3
As explorações contam com uma série de técnicas básicas de ataque para serem bem-sucedidas.
1.2.3 Spamming e phishing
Spam e e-mails de phishing são os métodos de entrega mais comuns de malware. O volume de
e-mail de spam como uma porcentagem do tráfego total de e-mail global flutua amplamente de mês para mês
- normalmente 45 a 75 por cento. Embora a maioria dos usuários finais hoje seja facilmente capaz de identificar spam
e-mails e são mais experientes em relação a não clicar em links, abrir anexos ou responder a spam
e-mails, o spam continua sendo um vetor de infecção popular e eficaz para a disseminação de malware.
Os ataques de phishing, ao contrário do spam, estão se tornando mais sofisticados e difíceis de identificar.
Termos chave
Heap spray é uma técnica usada para facilitar a execução de código arbitrário, injetando um certo
seqüência de bytes na memória de um processo de destino.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 39/254
Página 53
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição41
Spear phishing é uma campanha de phishing direcionada que parece ter mais credibilidade para suas vítimas por
coletade informações específicas sobre o alvo e, portanto, tem uma maior probabilidade de sucesso. UMA
O e-mail de spear phishing pode falsificar uma organização (como uma instituição financeira) ou um indivíduo
que o destinatário realmente conhece e com quem faz negócios, e pode conter
informações (como o nome do destinatário, em vez de apenas um endereço de e-mail). De acordo com
Relatório de Ameaças à Segurança da Internet de 2018 da Symantec , “Spear-phishing emails emergiram como de longe o
vetor de infecção mais amplamente usado, empregado por 71 por cento dos [140 ataques direcionados conhecidos]
grupos. ” 14
Whaling é um tipo de ataque de spear phishing dirigido especificamente a executivos seniores ou
outros alvos de alto perfil dentro de uma organização. Um e-mail de caça às baleias normalmente pretende ser um
intimação legal, reclamação do cliente ou outro assunto sério.
Spear phishing, e ataques de phishing em geral, nem sempre são conduzidos por e-mail. Um link é tudo
que é necessário, como um link no Facebook ou em um quadro de mensagens, ou uma URL abreviada em
Twitter. Esses métodos são particularmente eficazes em ataques de spear phishing porque permitem
o invasor para coletar uma grande quantidade de informações sobre os alvos e, em seguida, atraí-los através
links perigosos em um lugar onde os usuários se sintam confortáveis.
Ataques watering hole comprometem sites que provavelmente serão visitados por uma vítima específica, por
por exemplo, o site de uma seguradora que pode ser visitado com frequência por profissionais de saúde
provedores. O site comprometido normalmente infecta visitantes desavisados com malware
(conhecido como “download drive-by”). Ataques de bebedouros são a segunda infecção mais popular
vetor para grupos de ataque direcionados (24 por cento), de acordo com a Symantec. 15
Um ataque de pharming redireciona o tráfego de um site legítimo para um site falso, geralmente modificando
arquivo de hosts locais de um endpoint ou comprometendo um servidor DNS (“envenenamento de DNS”).
14 “Relatório de Ameaças à Segurança da Internet, Volume 23.” Symantec. 2018.https://www.symantec.com/security-
centro / relatório de ameaça .
15 Ibid.
Página 54
Termos chave
Spear phishing é um ataque de phishing altamente direcionado que usa informações específicas sobre o
alvo para fazer com que a tentativa de phishing pareça legítima.
Whaling é um tipo de ataque de spear phishing dirigido especificamente a executivos seniores ou
outros alvos de alto perfil dentro de uma organização.
Ataques watering hole comprometem sites que provavelmente serão visitados por uma vítima específica
para entregar malware por meio de um download drive-by. Um download drive-by é um download de software,
normalmente malware, que acontece sem o conhecimento ou permissão do usuário.
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.symantec.com/security-center/threat-report
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.symantec.com/security-center/threat-report
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.symantec.com/security-center/threat-report
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 40/254
42 PALO ALTO NETWORKS, INC.®
1.2.4 Bots e botnets
Bots e botnets são notoriamente difíceis para as organizações detectar e se defender contra o uso
soluções anti-malware tradicionais.
Em um botnet, o malware avançado trabalha junto com um objetivo comum, com cada bot
aumentando o poder e a destrutividade de todo o botnet. O botnet pode evoluir para buscar
novos objetivos ou adaptar-se à medida que diferentes contramedidas de segurança são implantadas. Comunicação
entre os bots individuais e o botnet maior por meio de servidores C2 fornece resiliência no
botnet (consulte a Figura 1-4).
Dada sua flexibilidade e capacidade de escapar das defesas, os botnets representam uma ameaça significativa para
organizações. O impacto final de um botnet é em grande parte deixado para o invasor, desde o envio
spam um dia para roubar dados de cartão de crédito no dia seguinte - e muito mais, porque muitos
ataques cibernéticos não são detectados por meses ou até anos.
Pharming é um tipo de ataque que redireciona o tráfego de um site legítimo para um site falso.
Termos chave
Bots (ou zumbis ) são endpoints individuais infectados com malware avançado que
permite que um invasor assuma o controle do endpoint comprometido.
Um botnet é uma rede de bots (muitas vezes dezenas de milhares ou mais) trabalhando juntos sob o
controle de invasores usando vários servidores.
Página 55
Figura 1-4
A infraestrutura C2 distribuída de um botnet
Os próprios botnets são fontes de receita duvidosas para os cibercriminosos. Botnets são criados por
cibercriminosos para coletar recursos de computação (bots). Controle de botnets (por meio de servidores C2)
pode então ser vendido ou alugado para outros cibercriminosos.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 41/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição43
A chave para “derrubar” ou “decapitar” um botnet é separar os bots (endpoints infectados)de seus cérebros (servidores C2). Se os bots não podem chegar aos seus servidores, eles não podem obter novos
instruções, fazer upload de dados roubados ou fazer qualquer coisa que torne os botnets tão únicos e perigosos.
Embora esta abordagem possa parecer simples, muitos recursos são normalmente necessários para
mapear a infraestrutura C2 distribuída de um botnet, e essa abordagem quase sempre requer um
enorme quantidade de investigação, experiência e coordenação entre várias indústrias,
segurança e organizações de aplicação da lei em todo o mundo.
A desativação dos servidores C2 geralmente requer tanto apreensão física dos servidores quanto apropriação da propriedade
do domínio e / ou intervalo de endereços IP associados aos servidores. Coordenação muito próxima
entre equipes técnicas, equipes jurídicas e policiais é essencial para desabilitar o C2
infraestrutura de um botnet. Muitos botnets têm servidores C2 em todo o mundo e, especificamente,
funcionar em países com pouca ou nenhuma aplicação da lei para crimes na Internet.
Página 56
44 PALO ALTO NETWORKS, INC.®
Para complicar ainda mais os esforços de remoção, está o fato de que um botnet quase nunca depende de um único
Servidor C2, mas em vez disso, usa vários servidores C2 para fins de redundância. Cada servidor também é
normalmente isolado por uma variedade de intermediários para ocultar a verdadeira localização do servidor. Esses
intermediários incluem redes P2P, blogs e sites de redes sociais e até
comunicações que fazem proxy por meio de outros bots infectados. Essas técnicas de evasão tornam simplesmente
encontrar servidores C2 um desafio considerável.
A maioria dos botnets também é projetada para suportar a perda de um servidor C2, o que significa que todo o
A infraestrutura botnet C2 deve ser desabilitada quase simultaneamente. Se algum servidor C2 estiver acessível
ou qualquer uma das opções alternativas sobreviver, os bots serão capazes de obter atualizações e preencher rapidamente
um conjunto completamente novo de servidores C2 e o botnet se recuperará rapidamente. Assim, mesmo um único C2
servidor permanecendo funcional mesmo por um pequeno período de tempo pode dar a um invasor a janela
precisava atualizar os bots e recuperar todo o botnet.
De acordo com um relatório de ameaças de botnet de 2019, o Spamhaus Malware Labs identificou e emitiu
Listagens de Spamhaus Block List (SBL) para 17.602 servidores botnet C2 em 1.210 redes diferentes. 16
Os servidores Botnet C2 são usados para controlar endpoints infectados (bots) e para exfiltrar pessoal
e / ou dados valiosos de bots. Os botnets podem ser facilmente aumentados para enviar grandes volumes de
spam, espalhar ransomware, lançar ataques de negação de serviçodistribuído (DDoS), clicar em
campanhas de fraude e / ou criptomoeda de minas (como Bitcoin).
1.2.4.1 Spamming botnets
Os maiores botnets são frequentemente dedicados ao envio de spam. A premissa é direta: o
o invasor tenta infectar tantos endpoints quanto possível, e os endpoints podem então ser usados
para enviar mensagens de e-mail de spam sem o conhecimento dos usuários finais. O impacto relativo disso
tipo de bot em uma organização pode parecer baixo inicialmente, mas um endpoint infectado enviando spam
poderia consumir largura de banda adicional e, em última análise, reduzir a produtividade dos usuários e
16 “Relatório de Ameaça de Botnet Spamhaus 2019.” Spamhaus Malware Labs. Janeiro de 2020.
https://www.spamhaus.org/news/article/793 / spamhaus-botnet-threat-report-2019 .
Termos chave
Negação de serviço distribuída (DDOS) é um tipo de ataque cibernético em que volumes extremamente altos
de tráfego de rede, como pacotes, dados ou transações, são enviados para a vítima alvo
rede para fazer sua rede e sistemas (como um site de comércio eletrônico ou outro
aplicativo) indisponível ou inutilizável.
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.spamhaus.org/news/article/793/spamhaus-botnet-threat-report-2019
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.spamhaus.org/news/article/793/spamhaus-botnet-threat-report-2019
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.spamhaus.org/news/article/793/spamhaus-botnet-threat-report-2019
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.spamhaus.org/news/article/793/spamhaus-botnet-threat-report-2019
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 42/254
Página 57
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição45
até a própria rede. Talvez mais importante seja o fato de que o e-mail da organização
Domínio e endereços IP também podem ser facilmente listados por várias listas negras em tempo real
(RBLs), fazendo com que e-mails legítimos sejam marcados como spam e bloqueados por outras organizações, e
prejudicando a reputação da organização.
O botnet Rustock é um exemplo de botnet de spam. Pode enviar até 25.000 e-mails de spam
mensagens por hora de um bot individual e, em seu pico, enviou uma média de 192 e-mails de spam
por minuto por bot. Estima-se que Rustock infectou mais de 2,4 milhões de computadores
no mundo todo. Em março de 2011, o Federal Bureau of Investigation (FBI) dos EUA, trabalhando com
A Microsoft e outros conseguiram derrubar o botnet Rustock, que operava para mais
de cinco anos e na época era responsável pelo envio de até 60 por cento dos
Spam.
1.2.4.2 Botnets de negação de serviço distribuídos
Um ataque DDoS é um tipo de ataque cibernético em que volumes extremamente altos de tráfego de rede, como
como pacotes, dados ou transações são enviados para a rede da vítima alvo para fazer sua rede
e sistemas (como um site de comércio eletrônico ou outro aplicativo da web) indisponíveis ou
inutilizável. Um botnet DDoS usa bots como parte de um ataque DDoS, sobrecarregando um servidor de destino ou
rede com tráfego de um grande número de bots. Em tais ataques, os próprios bots não são
o alvo do ataque. Em vez disso, os bots são usados para inundar algum outro alvo remoto com
tráfego. O invasor aproveita a escala maciça do botnet para gerar tráfego que
sobrecarrega os recursos de rede e servidor do destino.
Ao contrário de outros tipos de ataques cibernéticos, um ataque DDoS normalmente não emprega um prolongado,
abordagem furtiva. Em vez disso, um ataque DDoS assume com mais frequência a forma de uma forma bruta altamente visível
ataque de força com o objetivo de causar danos rapidamente à rede e aos sistemas da vítima
infra-estrutura e aos seus negócios e reputação.
Ataques DDoS muitas vezes visam organizações específicas por razões pessoais ou políticas, ou para extorquir um
pagamento de resgate em troca de parar o ataque DDoS. Ataques DDoS são frequentemente usados por
hacktivistas (discutidos na Seção 1.1.1) para promover ou protestar contra uma agenda política específica ou
causa social. Ataques DDoS também podem ser usados para fins de extorsão criminosa para extrair um
pagamento de resgate em troca do fim do ataque.
Os botnets DDoS representam um risco duplo para as organizações: a própria organização pode ser o alvo de
um ataque DDoS. E mesmo que a organização não seja o alvo final, todos os endpoints infectados
participar do ataque consumirá recursos valiosos da rede e facilitará um ato criminoso,
embora involuntariamente.
Página 58
Um ataque DDoS também pode ser usado como parte de uma estratégia direcionada para um ataque posterior. Enquanto a vítima
organização está ocupada defendendo contra o ataque DDoS e restaurando a rede e os sistemas,
o invasor pode entregar uma exploração à rede da vítima (por exemplo, causando um buffer
estouro em um banco de dados SQL) que permitirá uma infecção por malware e estabelecerá uma base no
rede. O atacante pode então retornar mais tarde para expandir o ataque (furtivo) e extrair o roubo
dados.
Exemplos de ataques DDoS recentes incluem ataques contra World of Warcraft Classic e
Wikipedia em setembro de 2019. 17
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 43/254
46 PALO ALTO NETWORKS, INC.®
1.2.4.3 botnets financeiros
Os botnets financeiros, como ZeuS e SpyEye, são responsáveis pelo roubo direto de fundos de todos
tipos de empresas. Esses tipos de botnets normalmente não são tão grandes quanto spam ou DDoS
botnets, que crescem o máximo possível para um único invasor. Em vez disso, botnets financeiros são
frequentemente vendidos como kits que permitem que os invasores licenciem o código e criem seus próprios botnets.
O impacto de uma violação financeira pode ser enorme, incluindo a violação de consumidores sensíveis
e informações financeiras, levando a danos financeiros, jurídicos e de marca significativos. Como reportado
por Tech Republic:
“Uma variante do botnet Mirai foi usada em ataques contra pelo menos uma empresa do setor financeiro em
Janeiro de 2018 - possivelmente a primeira vez que um botnet IoT foi observado em uso em um ataque DDoS
desde que o botnet Mirai derrubou vários sites em 2017, de acordo com um relatório de quinta-feira
do Recorded Future. ” 18
1.2.5 Ameaças persistentes avançadas
Ameaças persistentes avançadas (APTs) são uma classe de ameaças que são muito mais deliberadas e
potencialmente mais devastador do que outros tipos de ataques cibernéticos. Como o próprio nome indica, um APT tem três
características definidoras. Um APT é:
• Avançado. Os invasores usam malware avançado e exploits e normalmente também têm o
habilidades e recursos necessários para desenvolver ferramentas e técnicas adicionais de ataque cibernético,
17 Oleg Kuprev, Ekaterina Badovskaya e Alexander Gutnikov. “Ataques DDoS no terceiro trimestre de 2019.” Kaspersky. novembro
11, 2019. https://securelist.com/ddos-report-q3-2019/94958/.
18 Rayome, Alison DeNisco. “O botnet variante Mirai lança ataques IoT DDoS no setor financeiro.” Tech Republic.
5 de abril de 2018. https://www.techrepublic.com/article/mirai-variant-botnet-launches-iot-ddos-attacks-on-financial-
setor / .
Página 59
e pode ter acesso a sofisticados equipamentos de vigilância eletrônica, satélite
imagens e até recursos de inteligência humana.
• Persistente. Um APT pode ocorrer por um período de vários anos. Os atacantes perseguem
objetivos específicos e use uma abordagem “lenta e lenta” para evitar a detecção. Os atacantes
são bem organizados e normalmente têm acesso a apoio financeiro substancial, como um
Estado-nação ou organização do crime organizado, para financiar suas atividades.
• Ameaça. Um APT é deliberado e focado, ao invés de oportunista. APTs são projetados
para causar danos reais. incluindo perda financeirasignificativa, destruição de sistemas e
infra-estrutura e danos físicos e perda de vidas.
Alguns agentes de ameaça APT recentes incluem:
• Lázaro (também conhecido como APT38, Apóstolos dos Deuses, Discípulos dos Deuses, Guardiões da Paz, ZINC,
Equipe Whois e Hidden Cobra). 19 O grupo Lazarus APT é um ator de ameaças vinculado ao
Coreia do Norte e que se acredita estar por trás de ataques contra mais de 16 organizações em
pelo menos 11 países, incluindo o assalto cibernético de Bangladesh (US $ 81 milhões foram
sub-repticiamente transferido da conta do Banco da Reserva Federal de Nova York de
Bangladesh em fevereiro de 2016), 20 a Operação Troy (ataques contra a Coréia do Sul
infraestrutura em 2013), 21 a Operação DarkSeoul (ataques baseados em malware que eliminaram
dezenas de milhares de discos rígidos pertencentes a redes de televisão sul-coreanas e
bancos em março de 2013), 22 e o hack Sony Picture (e-mails de funcionários e pessoais
informações, incluindo salários, endereços e números de previdência social revelados,
filmes inéditos postados em sites de compartilhamento de arquivos e sistemas internos de computador fechados
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://securelist.com/ddos-report-q3-2019/94958/
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.techrepublic.com/article/mirai-variant-botnet-launches-iot-ddos-attacks-on-financial-sector/
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.techrepublic.com/article/mirai-variant-botnet-launches-iot-ddos-attacks-on-financial-sector/
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.techrepublic.com/article/mirai-variant-botnet-launches-iot-ddos-attacks-on-financial-sector/
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 44/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição47
em 2014). 23
19 “Top 25 Threat Actors - 2019 Edition.” SBS CyberSecurity. 12 de dezembro de 2019.
https://sbscyber.com/resources/top-25-threat-actors-2019-edition.
20 Paganini, Pierluigi. “Os EUA culpam a Coreia do Norte pelo roubo cibernético de $ 81 milhões em Bangladesh.” Assuntos de segurança. Março
24 de 2017. http://securityaffairs.co/wordpress/57396/cyber-crime/bangladesh-cyber-heist.html.
21 Paganini, Pierluigi. “Hackers que atacaram a Coreia do Sul também espalharam spyware para roubar segredos militares.” Assuntos de segurança. julho
9, 2013. http://securityaffairs.co/wordpress/16014/hacking/hackers-hit-south-korea-spyware-steal-military-
secrets.html .
22 Ibid.
23 Weisman, Aly. “A Timeline of the Crazy Events in the Sony Hacking Scandal.” Business Insider. 9 de dezembro de 2014.
http://www.businessinsider.com/sony-cyber-hack-timeline-2014-12 .
Página 60
• Fancy Bear (também conhecido como APT28, Sofacy, Sednit e Tsar Team). 24,25 Fancy Bear é um
Ator de ameaça APT com sede na Rússia que opera desde 2010. Alvos recentes e
ataques incluíram os ataques de Think Tank alemães (2019), eleições alemãs (2017),
Ataque da Agência Mundial Antidopagem (2016), violação do Comitê Nacional Democrata dos EUA
(2016) e Operação “Pawn Storm” (2014). 26
• MONSOON (também conhecido como Patchwork, APT -C-09, Chinastrats, Dropping Elephant e
Tigre acolchoado). 27 MONSOON é um ator de ameaça APT que parece ter começado em 2014.
De acordo com o Forcepoint Security Labs, “A campanha abrangente parece ter como alvo
ambos cidadãos chineses em diferentes setores e agências governamentais no sul
Ásia." 28 Em julho de 2016, mais de 110 países vítimas diferentes e 6.300 vítimas IP
endereços foram identificados. 29 “Os componentes de malware usados no MONSOON são
normalmente distribuído por meio de documentos [armados] enviados por e-mail para
alvos especificamente escolhidos. Os temas desses documentos são geralmente de natureza política
e retirados de publicações recentes sobre assuntos atuais. Vários malware
componentes foram usados nesta operação, incluindo Desconhecido Logger Público,
TINYTYPHON, BADNEWS e uma porta traseira AutoIt [3]. ” 30
1.2.6 Ataques Wi-Fi
Com o crescimento explosivo do número de dispositivos móveis na última década, sem fio (Wi-
Fi) agora estão em todos os lugares. Esteja você em um escritório, hotel, aeroporto, escola ou café
loja, você provavelmente está ao alcance de uma rede Wi-Fi em algum lugar.
24 “Top 25 Threat Actors - 2019 Edition.” SBS CyberSecurity. 12 de dezembro de 2019.
https://sbscyber.com/resources/top-25-threat-actors-2019-edition.
25 “Grupos avançados de ameaças persistentes”. FireEye. 2020.https://www.fireeye.com/current-threats/apt-groups.html .
26 “Top 25 Threat Actors - 2019 Edition.” SBS CyberSecurity. 12 de dezembro de 2019.
https://sbscyber.com/resources/top-25-threat-actors-2019-edition.
27 Ibid.
28 Settle, Andy, Nicholas Griffin e Abel Toro. “Monsoon - Análise de uma campanha APT: Espionagem e perda de dados
Sob a capa de assuntos atuais. Laboratórios de segurança Forcepoint. 2016
https://www.forcepoint.com/sites/default/files/resources/files/forcepoint-security-labs-monsoon-analysis-
report.pdf.
29 Ibid.
30 Ibid.
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://sbscyber.com/resources/top-25-threat-actors-2019-edition
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=http://securityaffairs.co/wordpress/57396/cyber-crime/bangladesh-cyber-heist.html
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=http://securityaffairs.co/wordpress/16014/hacking/hackers-hit-south-korea-spyware-steal-military-secrets.html
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=http://securityaffairs.co/wordpress/16014/hacking/hackers-hit-south-korea-spyware-steal-military-secrets.html
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=http://securityaffairs.co/wordpress/16014/hacking/hackers-hit-south-korea-spyware-steal-military-secrets.html
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=http://www.businessinsider.com/sony-cyber-hack-timeline-2014-12
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=http://www.businessinsider.com/sony-cyber-hack-timeline-2014-12
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://sbscyber.com/resources/top-25-threat-actors-2019-edition
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.fireeye.com/current-threats/apt-groups.html
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.fireeye.com/current-threats/apt-groups.html
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://sbscyber.com/resources/top-25-threat-actors-2019-edition
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.forcepoint.com/sites/default/files/resources/files/forcepoint-security-labs-monsoon-analysis-report.pdf
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.forcepoint.com/sites/default/files/resources/files/forcepoint-security-labs-monsoon-analysis-report.pdf
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 45/254
48 PALO ALTO NETWORKS, INC.®
Página 61
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição49
Claro, como profissional de segurança, sua primeira preocupação ao tentar se conectar é “como
segura é esta rede Wi-Fi? ” Mas para o usuário médio, a triste realidade é que o Wi-Fi
a conectividade é mais uma questão de conveniência do que de segurança.
Assim, o desafio não é apenas proteger suas redes Wi-Fi, mas também proteger o celular
dispositivos que os funcionários da sua organização usam para realizar trabalhos e acessar potencialmente
dados confidenciais - não importa onde estejam ou de qual rede estejam.
A segurança Wi-Fi começa - e termina - com a autenticação. Se você nãopode controlar quem tem acesso a
sua rede sem fio, você não poderá protegê-la.
1.2.6.1 Privacidade equivalente com fio
O protocolo Wired Equivalent Privacy (WEP) foi a primeira tentativa da indústria sem fio de
segurança. Como o nome indica falsamente, o WEP foi criado para fornecer confidencialidade de dados
equivalente à segurança de uma rede com fio. No entanto, o WEP tinha muitos
pontos fracos divulgados - como seu valor aleatório fraco, ou vetor de inicialização (IV) e chave
algoritmo de geração - e não foi eficaz para estabelecer uma rede sem fio segura.
1.2.6.2 Acesso protegido por Wi-Fi (WPA / WPA2 / WPA3)
O WPA foi publicado como um padrão provisório em 2003, seguido rapidamente pelo WPA2 em 2004.
WPA / WPA2 contém melhorias para proteger contra as falhas inerentes ao WEP. Esses
melhorias incluem mudanças na criptografia para evitar muitos dos problemas que atormentavam
WEP.
O WPA2 pode ser implementado de diferentes maneiras. WPA2-Enterprise, também conhecido como WPA2-802.1x
modo, usa o Extensible Authentication Protocol (EAP) e Remote Authentication Dial-In
Serviço de usuário (RADIUS) para autenticação. Vários tipos de EAP também estão disponíveis para uso em
WPA2-Enterprise.
No entanto, o uso de uma chave pré-compartilhada (PSK) é de longe o mais comum, especialmente em residências,
pequenas empresas e redes Wi-Fi para convidados. WPA2-PSK pode ser implementado apenas com o AP
Página 62
e o cliente, não exigindo um servidor de autenticação 802.1 x de terceiros nem um usuário individual
contas.
Termos chave
O Extensible Authentication Protocol (EAP) é uma estrutura de autenticação amplamente usada que
inclui cerca de 40 métodos de autenticação diferentes.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 46/254
50 PALO ALTO NETWORKS, INC.®
O WPA2-PSK oferece suporte a chaves de 256 bits, que requerem 64 caracteres hexadecimais. Porque exigindo
usuários insiram uma chave de 64 caracteres hexadecimais é impraticável, o WPA2 inclui uma função que
gera uma chave de 256 bits com base em uma senha muito mais curta criada pelo administrador do
a rede Wi-Fi e o identificador de conjunto de serviço (SSID) do AP usado como um sal para o unidirecional
função hash .
No WPA2, o nome do SSID é usado para o sal. Uma maneira fácil de tornar sua segurança Wi-Fi
mais forte (e torna os ataques de tabela de arco - íris impraticáveis) é alterar seu SSID para algo que
não é comum ou fácil de adivinhar.
Para executar um ataque a uma frase secreta WPA2, um invasor precisa ser capaz de testar uma grande
número de candidatos a senha longa. Portanto, embora o WPA2 permaneça criptograficamente seguro (o
chave não é recuperável pela simples observação do tráfego, como acontece com WEP), existem métodos para
teste as frases de acesso offline reunindo os pacotes de handshake entre o AP e um legítimo
do utilizador.
Para coletar os pacotes necessários para quebrar uma senha WPA2, um invasor pode coletar passivamente
tráfego quando um usuário legítimo se conecta à rede. Este método requer tempo, no entanto, porque
o invasor não sabe quando alguém se conectará à rede.
Para um atacante impaciente, a solução é empregar um ataque ativo. Contanto que um legítimo
usuário já está online, o invasor pode forçar o dispositivo cliente do usuário a se desconectar do AP
com pacotes de desautenticação forjados. Depois de ser desconectado, o dispositivo cliente irá
tenta se reconectar automaticamente, fornecendo ao invasor os pacotes de handshake
necessário para a análise de frase secreta offline. Assim, ao contrário do WEP, os ataques ao WPA2 podem ser feitos
O RADIUS ( Remote Authentication Dial-In User Service ) é um protocolo e software cliente-servidor
que permite que os servidores de acesso remoto se comuniquem com um servidor central para autenticar
usuários e autorizar o acesso a um sistema ou serviço.
Uma chave pré-compartilhada (PSK) é um segredo compartilhado, usado na criptografia de chave simétrica, que foi
trocados entre duas partes que se comunicam por meio de um canal criptografado.
Página 63
sem gastar uma quantidade significativa de tempo nas proximidades da rede de destino, após o
pacotes de handshake foram capturados.
Em seguida, o invasor deve recuperar (ou encontrar) a própria senha longa, que requer o seguinte:
• Um teste para verificar milhões de frases-senha potenciais até encontrar a frase-senha correta.
Termos chave
Um identificador de conjunto de serviço (SSID) é um identificador alfanumérico de 32 caracteres que diferencia maiúsculas de minúsculas e que
identifica exclusivamente uma rede Wi-Fi.
Na criptografia, um sal são dados gerados aleatoriamente que são usados como uma entrada adicional para um
função hash unilateral que faz o “hash” de uma senha ou frase secreta. O mesmo texto original
hash com diferentes sais resulta em diferentes valores de hash.
Uma função hash unilateral é uma função matemática que cria uma representação única (um
valor hash) de um conjunto maior de dados de uma maneira que seja fácil de calcular em uma direção (entrada
para saída), mas não na direção reversa (saída para entrada). A função hash não pode ser recuperada
o texto original do valor hash. No entanto, um invasor pode tentar adivinhar o que
o texto original era e veja se ele produz um valor hash correspondente.
Uma tabela de arco-íris é uma tabela pré-calculada usada para encontrar o valor original de um código criptográfico
função hash.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 47/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição51
Para evitar a detecção, um invasor não pode usar o alvo real, porque a vítima seria
capaz de ver esta atividade de ataque. A alternativa é usar um método offline de teste que
usa os pacotes de handshake.
• Uma metodologia para adivinhar senhas. O pior cenário é a "força bruta" do
frase-senha, tentando todas as combinações possíveis de números e caracteres até um correto
valor é encontrado. Este esforço pode produzir um resultado correto com tempo suficiente e
poder de computação. No entanto, é muito mais rápido dar palpites fundamentados sem ter
para recorrer à força bruta. Usando palpites informados sobre possíveis candidatos a senha longa,
o invasor pode tentar uma lista muito menor.
Este processo básico de recuperação de senhas de Wi-Fi é semelhante à quebra de senhas de usuários. No
primeiros dias de cracking de senha, um invasor pode ter conhecimento de um sistema-alvo
função de hash de forma e uma lista de valores de hash de senha de usuário do sistema. No entanto, o atacante
não teve como descriptografar a senha, porque o texto original não pode ser recuperado de um hash.
Mas, ao criptografar uma lista de palavras com a mesma função hash unilateral (um ataque de dicionário), um
Página 64
o invasor pode então comparar os valores de hash resultantes com os valores de hash armazenados para os vários
contas de usuário no sistema. Portanto, embora a senha em si não seja descriptografada, uma determinada entrada que
produz um determinado resultado - uma correspondência de senha - pode ser encontrado. Com a adição de mais
poder de computação, um invasor pode tentar listas de palavras mais longas e um maior número de variações de
cada palavra. O processo de ataque às senhas WPA2 é semelhante.
WPA3 foi publicado em 2018 e apresenta melhorias de segurança, como
proteção contra ataques de força, ponto de acesso aprimorado e segurança de acesso de convidado, integração mais simples com
dispositivos que têm interface de usuário limitada ou nenhuma interface (como dispositivos IoT) e um pacote de segurança de 192 bits.
Roteadores Wi-Fi e dispositivos clientes mais novos provavelmente suportarão WPA2 e WPA3 para garantir
compatibilidade com versões anteriores em ambientes mistos.
De acordo com a Wi-Fi Alliance, os recursos WPA3 incluem segurança aprimorada para dispositivos IoT, como
como lâmpadas inteligentes, aparelhossem fio, alto-falantes inteligentes e outros dispositivos sem tela que tornam
tarefas diárias mais fáceis. A Wi-Fi Alliance não descreveu os detalhes específicos ainda, mas WPA3 é
espera-se que suporte um sistema de configuração de um toque que fará dispositivos sem telas (como
Dispositivos IoT e alto-falantes inteligentes como Google Home e Amazon Echo) mais fáceis de conectar. Será
ser semelhante ao protocolo Wi-Fi Protected Setup existente, que envolve apertar um botão
o roteador para conectar um dispositivo.
De acordo com um artigo recente da VentureBeat , WPA3 também “suporta uma criptografia muito mais forte
algoritmo do que WPA2 ... destinado a aplicações industriais, de defesa e governamentais, em vez de
do que casas e escritórios. Especificamente, ele inclui um pacote de segurança de 192 bits que está alinhado com o
Conjunto de Algoritmo de Segurança Nacional Comercial (CNSA), um recurso solicitado pelo Comitê
on National Security Systems (CNSS), uma parte da US National Security Agency [NSA]. ” 31
WPA3 fornece proteção contra ataques de dicionário de força bruta, implementando “um robusto
handshake [chamado de protocolo Dragonfly, também conhecido como Autenticação Simultânea de
Equals] que não é vulnerável a exploits wireless como KRACK e fortalece a segurança no momento
quando a chave de rede é trocada entre um dispositivo e o ponto de acesso. ” 32 Limitando o
número de tentativas de senha de rede por usuário, o WPA3 também reduz a eficácia de
ataques de dicionário comuns.
“WPA3 apresenta Opportunistic Wireless Encryption (OWE), ou criptografia de dados individualizada,
que criptografa todas as conexões entre um dispositivo e o roteador com uma chave exclusiva. Mesmo se
31 Wiggers, Kyle. “O que é WPA3, por que isso importa e quando você pode esperar isso?” VentureBeat. 19 de maio de 2018.
https://venturebeat.com/2018/05/19/what-is-wpa3-why-does-it-matter-and-when-can-you-expect-it/.
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://venturebeat.com/2018/05/19/what-is-wpa3-why-does-it-matter-and-when-can-you-expect-it/
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 48/254
52 PALO ALTO NETWORKS, INC.®
32 Ibid.
Página 65
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição53
o ponto de acesso não requer uma senha, os dados do seu dispositivo não serão expostos ao mais amplo
rede." 33
Em vez de invadir uma rede sem fio, um invasor pode induzir as vítimas a se conectar a um
rede sem fio que o invasor controla. Essas técnicas fazem parte de um conjunto maior de ataques
conhecidos como ataques man-in-the-middle. Com um exploit man-in-the-middle implementado em um Wi-Fi
rede, um invasor pode fornecer praticamente qualquer conteúdo, por exemplo:
• Se um usuário tentar baixar um arquivo legítimo, o invasor pode enviar malware móvel
em vez de.
• Quando um usuário tenta visitar uma página da web legítima, o invasor pode alterar o conteúdo
para explorar uma vulnerabilidade que existe no navegador do dispositivo, permitindo que o invasor
escalar ainda mais um ataque.
• Endereços de e-mail e informações de contas financeiras podem ser coletadas do conectado
endpoint, permitindo que um invasor crie um ataque de phishing muito direcionado e convincente
para enganar ainda mais usuários em uma rede para divulgar informações confidenciais.
1.2.6.3 Evil Twin
Talvez a maneira mais fácil de um invasor encontrar uma vítima para explorar seja configurar um acesso sem fio
ponto que serve de ponte para uma rede real. Um invasor pode inevitavelmente atrair algumas vítimas
com “acesso Wi-Fi grátis”.
O principal problema com esta abordagem é que exige que uma vítima em potencial tropece no
ponto de acesso e conectar. O atacante não pode atingir facilmente uma vítima específica, porque o ataque
depende de a vítima iniciar a conexão.
Uma ligeira variação dessa abordagem é usar um nome mais específico que imita um ponto de acesso real
normalmente encontrado em um local específico - o gêmeo do mal. Por exemplo, se o seu aeroporto local
fornece serviço Wi-Fi e o chama de "Airport Wi-Fi", o invasor pode criar um ponto de acesso com
o mesmo nome usando um ponto de acesso que possui dois rádios. Os usuários médios não conseguem discernir facilmente
quando eles estão conectados ao ponto de acesso real ou falso, então esta abordagem pegaria um
maior número de usuários do que um método que tenta atrair vítimas aleatoriamente. Ainda assim, o usuário
precisa selecionar a rede, portanto, um pouco de chance está envolvida na tentativa de alcançar um alvo específico.
A principal limitação do ataque do Evil Twin é que o atacante não pode escolher a vítima. Em um
local lotado, o invasor será capaz de fazer com que um grande número de pessoas se conectem ao
33 Ibid.
Página 66
rede sem fio para expor inadvertidamente seus nomes de conta e senhas. No entanto, não é
uma abordagem eficaz se o objetivo for atingir funcionários em uma organização específica.
1.2.6.4 Jasager
Para entender uma abordagem mais direcionada do que o ataque do Gêmeo Maligno, pense no que acontece
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 49/254
54 PALO ALTO NETWORKS, INC.®
quando você traz seu dispositivo sem fio de volta a um local que você já visitou. Pra
por exemplo, quando você traz seu laptop para casa, você não tem que escolher qual ponto de acesso para
usar, porque seu dispositivo se lembra dos detalhes das redes sem fio às quais ele já
conectado. O mesmo vale para visitar o escritório ou sua cafeteria favorita.
Seu dispositivo móvel detecta quando está próximo a uma rede sem fio previamente conhecida por
enviar um sinalizador para ver se uma rede preferencial está dentro do alcance. Em condições normais,
quando um dispositivo sem fio envia um beacon, os pontos de acesso não correspondentes o ignoram. O
o beacon fica sem resposta, exceto quando chega perto da rede preferida.
O ataque Jasager tem uma abordagem mais ativa em relação às solicitações de beacon. Jasager (alemão para
“O sim-homem”) responde a todas as solicitações de beacon, adotando assim uma abordagem muito permissiva em relação
quem pode se conectar. O usuário não precisa escolher manualmente o ponto de acesso do invasor.
Em vez disso, o invasor finge ser qualquer ponto de acesso ao qual o usuário normalmente se conecta (consulte
Figura 1-5). Em vez de tentar fazer com que as vítimas se conectem aleatoriamente, agora o invasor simplesmente
precisa estar próximo ao alvo.
Figura 1-5
Jasager finge ser qualquer ponto de acesso solicitado pelo beacon do cliente.
Página 67
Este processo intercepta a comunicação de laptops, telefones celulares e tablets. Muitos (se
não a maioria) Dispositivos móveis 3G / 4G / LTE mudam automaticamente para Wi-Fi quando reconhecem isso
eles estão perto de uma rede que conhecem.
Um invasor pode usar o mesmo método para capturar pacotes de handshake WPA2 (discutido em
Seção 1.2.6.2) para desconectar usuários de uma rede Wi-Fi usando a desautenticação forjada
pacotes. Quando os usuários se reconectarem, eles se conectarão inadvertidamente ao ponto de acesso modificado.
Ao contrário do ataque do Evil Twin, o invasor não precisa apenas esperar que a vítima se conecte ao
ponto de acesso modificado; com esta abordagem, todos que estão nas proximidades irão automaticamente
conectar e se tornar uma vítima potencial.
O Jasager pode ser executado em vários dispositivos, mas talvez seja uma das maneiras mais eficazes de empregá-lo
é com o ponto de acesso Pineapple. O Pineapple é simplesmente um ponto de acesso com modificações
firmware que incorpora uma série de ferramentas para teste de “penetração” sem fio. Ele também tem um
número de acessórios, como suporte para placas USB de celular para fornecer conectividade de rede
quando de outra forma não estiver disponível no local de destino, e as baterias para operar como um
unidade autônoma. Também é facilmente oculto porquepode ser disfarçado em qualquer número de
caixas normalmente encontradas conectadas no escritório.
Depois que o invasor conecta a vítima a um ponto de acesso malicioso, o intermediário
o ataque pode prosseguir, e o invasor não só pode observar e capturar o tráfego da rede, mas também
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 50/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição55
modifique-o.
1.2.6.5 SSLstrip
Depois que um usuário se conecta a uma rede Wi-Fi que foi comprometida - ou ao Wi-Fi de um invasor
rede disfarçada de rede legítima - o invasor pode controlar o conteúdo que o
a vítima vê. O invasor simplesmente intercepta o tráfego da Web da vítima, redireciona o tráfego da vítima
navegador a um servidor da Web que ele controla e fornece qualquer conteúdo que o invasor desejar.
Um ataque man-in-the middle pode ser usado para roubar o banco on-line da vítima ou o e-mail corporativo
credenciais da conta. Normalmente, este tipo de tráfego seria considerado seguro porque o
página da Web normalmente usa criptografia Secure Sockets Layer (SSL). Claro, o usuário médio apenas
sabe que um cadeado em algum lugar da barra de endereço significa que seu navegador é seguro,
correto?
Mas o cadeado aparece de forma diferente e em locais diferentes, em navegadores diferentes. Como vai
o cadeado aparece no Internet Explorer? E quanto ao Mozilla Firefox, Google Chrome e
Apple Safari? E também aparece de forma diferente em diferentes smartphones e tablets. Não é
admiro que usuários finais típicos - mesmo muitos profissionais de segurança - possam ser facilmente enganados.
Página 68
SSLstrip remove a criptografia SSL de uma sessão “segura”. Quando um usuário se conectou a um
rede Wi-Fi comprometida tenta iniciar uma sessão SSL, o ponto de acesso modificado
intercepta a solicitação SSL (consulte a Figura 1-6). O ponto de acesso modificado então completa o SSL
sessão em nome do dispositivo da vítima. Em seguida, o túnel SSL entre o dispositivo da vítima e
o servidor da web seguro legítimo é encerrado - e descriptografado - no
ponto de acesso, permitindo que o invasor veja as credenciais da vítima e outros dados confidenciais
informações, em texto não criptografado.
Figura 1-6
Man-in-the-middle com SSLstrip
Com SSLstrip, o ponto de acesso modificado exibe um cadeado falso no navegador da vítima.
As páginas da web podem exibir um pequeno ícone chamado favicon próximo ao endereço de um site no navegador
Barra de endereço. SSLstrip substitui o favicon por um cadeado que parece SSL para um desavisado
do utilizador.
Termos chave
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 51/254
56 PALO ALTO NETWORKS, INC.®
Um favicon ("ícone favorito") é um pequeno arquivo que contém um ou mais ícones pequenos associados a um
determinado site ou página da web.
Página 69
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição57
1.2.6.6 Emotet
Emotet é um Trojan, identificado pela primeira vez em 2014, que há muito tempo é usado em botnets de spam e
ataques de ransomware. Recentemente, foi descoberto que uma nova variante Emotet está usando um Wi-Fi
módulo spreader para varrer redes Wi-Fi em busca de dispositivos vulneráveis para infectar. 34 O Wi-Fi
O módulo spreader verifica as redes Wi-Fi próximas em um dispositivo infectado e, em seguida, tenta
conectar-se a redes Wi-Fi vulneráveis por meio de um ataque de força bruta. Depois de se conectar com sucesso a um
Rede Wi-Fi, o Emotet então verifica os compartilhamentos não ocultos e tenta outra força bruta
ataque para adivinhar nomes de usuário e senhas em outros dispositivos conectados à rede. Isso então
instala sua carga útil de malware e estabelece comunicações C2 em dispositivos recém-infectados.
34 Quinn, James. “Emotet Evolves With New Wi-Fi Spreader.” Defesa binária. 7 de fevereiro de 2020.
https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/.
1.2 Verificação de Conhecimento
Teste sua compreensão dos fundamentos da seção anterior. Reveja o correto
respostas no Apêndice A.
1. Múltipla escolha. Qual opção descreve software malicioso ou código que normalmente
assume o controle, coleta informações ou danifica um endpoint infectado?
(Escolha um.)
a) explorar
b) malware
c) vulnerabilidade
d) nenhuma das anteriores
2. Múltipla escolha. Qual opção é uma característica ou capacidade importante de
malware avançado? (Escolha um.)
a) arquitetura distribuída e tolerante a falhas
b) multifuncionalidade
c) técnicas de ocultação, como polimorfismo, metamorfismo e ofuscação
d) todos os anteriores
Página 70
1.3 Modelos de segurança de rede
Esta seção descreve modelos de segurança de rede baseados em perímetro e Zero Trust.
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 52/254
58 PALO ALTO NETWORKS, INC.®
1.3.1 Estratégia de segurança de rede baseada em perímetro
Modelos de segurança de rede baseados em perímetro datam do início da era do mainframe (cerca de tarde
1950), quando grandes computadores mainframe estavam localizados em "salas de máquinas" fisicamente seguras
que poderia ser acessado por apenas um número relativamente limitado de entrada de trabalho remoto (RJE) “burro”
terminais que estavam diretamente conectados ao mainframe e também localizados em um local fisicamente seguro
áreas. Os data centers de hoje são o equivalente moderno das salas de máquinas, mas baseados em perímetro
a segurança física não é mais suficiente por várias razões óbvias, mas importantes:
• Os computadores mainframe são anteriores à Internet. Na verdade, os computadores mainframe são anteriores
ARPANET, que é anterior à Internet. Hoje, um invasor usa a Internet para remotamente
obter acesso, em vez de violar fisicamente o perímetro do data center.
• Os data centers hoje são acessados remotamente por milhões de dispositivos terminais remotos de
em qualquer lugar e a qualquer hora. Ao contrário dos RJEs da era do mainframe, terminais modernos
(incluindo dispositivos móveis) são muito mais poderosos do que muitos dos primeiros mainframes
computadores e são eles próprios alvos.
• O valor principal do computador mainframe era seu poder de processamento. O relativamente
dados limitados que foram produzidos foram normalmente armazenados em mídia near-line, como fita.
Hoje, os dados são o alvo. Os dados são armazenados online em centros de dados e na nuvem, e é
um alvo de alto valor para qualquer invasor.
O principal problema com uma estratégia de segurança de rede baseada em perímetro em que as contramedidas
são implantados em um punhado de pontos de entrada e saída bem definidos para a rede é que o
estratégia baseia-se no pressuposto de que tudo na rede interna pode ser confiável.
No entanto, essa suposição não é mais segura de se fazer, dadas as modernas condições de negócios e
ambientes de computação onde:
• Funcionários remotos, usuários móveis e soluções de computação em nuvem obscurecem a distinção
entre "interno" e "externo"
• Tecnologias sem fio, a proliferação de conexões de parceiros e a necessidade de suporte
os usuários convidados introduzem inúmeros caminhos adicionais nas filiais da rede
que podem estar localizados em países ou regiões não confiáveis
• Insiders, intencionalmente mal-intencionados ou apenas descuidados, podem apresentar um aspecto muito real
ameaça de segurança
Página 71
As estratégias de abordagem com base no perímetro não levam em consideração:
• O potencial de ameaças cibernéticas sofisticadas para penetrar nas defesas do perímetro, nas quais
caso eles teriam então passagem livre na rede interna
• Cenários em que usuários mal-intencionados podem obter acesso à rede interna e confidenciais
recursos usando as credenciais roubadas de usuários confiáveis
• A realidadede que as redes internas raramente são homogêneas, mas incluem bolsões
de usuários e recursos com níveis inerentemente diferentes de confiança ou sensibilidade que devem
idealmente ser separados em qualquer evento (por exemplo, pesquisa e desenvolvimento e financeiro
sistemas versus servidores de impressão ou de arquivos)
Um modelo de confiança quebrada não é o único problema com abordagens centradas no perímetro para a rede
segurança. Outro fator que contribui é que os dispositivos e tecnologias de segurança tradicionais (como
como firewalls baseados em portas) comumente usados para construir perímetros de rede, permitem que muitos
o tráfego. As deficiências típicas a este respeito incluem a incapacidade de:
• Distinguir definitivamente boas aplicações das más (o que leva a excessivamente
configurações de controle de acesso permissivo)
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 53/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição59
• Considere adequadamente o tráfego de aplicativos criptografados
• Identificar e controlar com precisão os usuários (independentemente de onde eles estão localizados ou quais
dispositivos que estão usando)
• Filtrar o tráfego permitido não apenas para ameaças conhecidas de aplicativos, mas também para ameaças desconhecidas
uns
O resultado líquido é que as defesas reformuladas de uma forma que cria uma confiança interna generalizada
limites é, por si só, insuficiente. Você também deve garantir que os dispositivos e tecnologias
usados para implementar esses limites realmente fornecem a visibilidade, controle e ameaça
recursos de inspeção necessários para habilitar com segurança aplicativos essenciais de negócios enquanto ainda
frustrando malware moderno, ataques direcionados e a exfiltração não autorizada de arquivos confidenciais
dados.
1.3.2 Segurança de confiança zero
Introduzido pela Forrester Research, o modelo de segurança Zero Trust aborda alguns dos
limitações das estratégias de segurança de rede baseadas em perímetro, removendo a suposição de confiança
da equação. Com Zero Trust, os recursos essenciais de segurança são implantados de forma que
Página 72
fornece aplicação de políticas e proteção para todos os usuários, dispositivos, aplicativos e dados
recursos, bem como o tráfego de comunicações entre eles, independentemente da localização.
Em particular, com Zero Trust não há confiança padrão para qualquer entidade - incluindo usuários, dispositivos,
aplicativos e pacotes - independentemente do que seja e de sua localização ou em relação ao
rede corporativa. Verificação de que as entidades autorizadas estão sempre fazendo apenas o que estão
permitido fazer também não é mais opcional em um modelo Zero Trust: agora é obrigatório.
Essas mudanças implicam nas seguintes necessidades:
• A necessidade de estabelecer limites de confiança que efetivamente compartimentalizem os vários
segmentos do ambiente de computação interno. A ideia geral é mover a segurança
funcionalidade mais próxima dos bolsões de recursos que requerem proteção. Desta maneira,
a segurança pode sempre ser aplicada, independentemente do ponto de origem dos associados
tráfego de comunicações.
• A necessidade de limites de confiança para fazer mais do que apenas autorização inicial e acesso
aplicação de controle. Para "sempre verificar" também requer monitoramento contínuo e
inspeção do tráfego de comunicações associado para atividades subversivas (como
ameaças).
Os benefícios de implementar uma rede Zero Trust incluem:
• Eficácia claramente melhorada na mitigação de perda de dados com visibilidade e habilitação segura
de aplicativos e detecção e prevenção de ameaças cibernéticas
• Maior eficiência para alcançar e manter a conformidade com segurança e privacidade
mandatos, usando limites de confiança para segmentar aplicativos, sistemas e dados sensíveis
• Capacidade aprimorada de habilitar com segurança iniciativas de TI transformadoras, como mobilidade do usuário,
traga seu próprio dispositivo (BYOD) e traga seu próprio acesso (BYOA), infraestrutura
virtualização e computação em nuvem
• Menor custo total de propriedade (TCO) com uma segurança consolidada e totalmente integrada
plataforma operacional, em vez de uma variedade díspar de pontos de segurança em silos
produtos
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 54/254
60 PALO ALTO NETWORKS, INC.®
1.3.2.1 Princípios de design Core Zero Trust
Os princípios fundamentais do Zero Trust que definem os objetivos operacionais de um Zero Trust
implementação inclui:
Página 73
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição61
• Certifique-se de que todos os recursos sejam acessados com segurança, independentemente da localização. Este princípio
sugere não apenas a necessidade de múltiplos limites de confiança, mas também o aumento do uso de
acesso seguro para comunicação de ou para recursos, mesmo quando as sessões são confinadas
para a rede “interna”. Também significa garantir que os únicos dispositivos com acesso permitido a
a rede tem o status e as configurações corretas, tem um cliente VPN aprovado e
senhas adequadas e não estão executando malware.
• Adote uma estratégia de privilégios mínimos e imponha estritamente o controle de acesso. O objetivo é
minimizar o acesso permitido aos recursos como meio de reduzir os caminhos disponíveis para
malware e invasores para obter acesso não autorizado - e, posteriormente, para se espalhar
lateralmente e / ou se infiltrar em dados confidenciais.
• Inspecione e registre todo o tráfego. Este princípio reitera a necessidade de "sempre verificar" ao mesmo tempo
reforçando que a proteção adequada requer mais do que apenas a aplicação estrita de
controle de acesso. Atenção próxima e contínua também deve ser dada exatamente ao que
Aplicativos “permitidos” estão realmente funcionando, e a única maneira de atingir esses objetivos é
para inspecionar o conteúdo em busca de ameaças.
1.3.2.2 Arquitetura conceitual Zero Trust
Em Zero Trust, você identifica uma superfície de proteção . A superfície de proteção é composta pela rede
dados, ativos, aplicativos e serviços mais críticos e valiosos (DAAS). Superfícies protegidas são
exclusivo para cada organização. Porque contém apenas o que é mais crítico para uma organização
operações, a superfície de proteção é ordens de magnitude menor do que a superfície de ataque, e é
sempre cognoscível.
Com a superfície de proteção identificada, você pode identificar como o tráfego se move na organização
em relação à superfície de proteção. Entender quem são os usuários, quais aplicativos eles são
usando e como eles estão se conectando é a única maneira de determinar e aplicar a política que
garante acesso seguro aos seus dados. Com uma compreensão das interdependências entre
os DAAS, infraestrutura, serviços e usuários, você deve colocar os controles em vigor o mais próximo possível do
proteja a superfície o máximo possível, criando um micro-perímetro em torno dela. Este micro-perímetro se move
com a superfície de proteção, onde quer que vá.
Página 74
Termos chave
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 55/254
62 PALO ALTO NETWORKS, INC.®
Os principais componentes de uma arquitetura conceitual Zero Trust (mostrado na Figura 1-7) incluem:
• Plataforma de Segmentação Zero Trust. A Plataforma de Segmentação Zero Trust é referida
como um gateway de segmentação de rede pela Forrester Research. É o componente usado para
definir limites de confiança internos. Ou seja, a plataforma fornece a maioria dos
funcionalidade de segurança necessária para cumprir os objetivos operacionais Zero Trust,
incluindo a capacidade de:
• Habilite o acesso seguro à rede
• Controle granularmente o fluxo de tráfego de e para os recursos
• Monitore continuamente as sessões permitidas para qualquer atividade de ameaça
Figura 1-7
Arquiteturaconceitual Zero Trust
O princípio do menor privilégio em segurança de rede requer que apenas a permissão ou
direitos de acesso necessários para executar uma tarefa autorizada são concedidos.
Uma superfície de proteção consiste nos dados, ativos, aplicativos e
serviços (DAAS) em uma rede.
Página 75
Embora a Figura 1-7 retrate a Plataforma de Segmentação Zero Trust como um único
componente em um único local físico, na prática - por causa do desempenho,
escalabilidade e limitações físicas - uma implementação eficaz tem mais probabilidade de envolver
múltiplas instâncias distribuídas pela rede de uma organização. A solução também é
designada como uma "plataforma" para refletir que é uma agregação de múltiplos distintos (e
potencialmente distribuídas) tecnologias de segurança que operam como parte de uma ameaça holística
estrutura de proteção para reduzir a superfície de ataque e correlacionar informações sobre
ameaças que são encontradas.
• Zonas de confiança. A Forrester Research se refere a uma zona de confiança como um micro core e perímetro
(MCAP). Uma zona de confiança é um bolsão distinto de infraestrutura onde os recursos dos membros
não apenas operam no mesmo nível de confiança, mas também compartilham funcionalidades semelhantes.
Funcionalidades como protocolos e tipos de transações devem ser compartilhadas porque são
necessário para minimizar o número de caminhos permitidos para dentro e fora de uma determinada zona e,
por sua vez, minimiza o potencial de insiders mal-intencionados e outros tipos de ameaças de obter
acesso não autorizado a recursos confidenciais.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 56/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição63
Os exemplos de zonas de confiança mostrados na Figura 1-7 incluem a zona do usuário (ou campus), um
zona sem fio para acesso de convidados, uma zona de dados do titular do cartão, banco de dados e zonas de aplicação
para serviços multicamadas e uma zona para aplicativos da web voltados para o público.
Lembre-se, também, que uma zona de confiança não se destina a ser um "bolsão de confiança", onde
sistemas (e, portanto, ameaças) dentro da zona podem se comunicar livre e diretamente
um com o outro. Para uma implementação completa de Zero Trust, a rede seria configurada
para garantir que todo o tráfego de comunicações - incluindo o tráfego entre dispositivos no mesmo
zona - é intermediada pela Plataforma de Segmentação Zero Trust correspondente.
• Infraestrutura de gerenciamento. Os recursos de gerenciamento centralizado são cruciais para
permitindo uma administração eficiente e monitoramento contínuo, especialmente para
implementações envolvendo múltiplas plataformas distribuídas de Segmentação Zero Trust. UMA
rede de aquisição de dados também fornece uma maneira conveniente de complementar a rede nativa
recursos de monitoramento e análise para uma Plataforma de Segmentação Zero Trust. Logs de sessão
que foram encaminhados para uma rede de aquisição de dados, podem então ser processados por qualquer
número de ferramentas e tecnologias de análise out-of-band destinadas, por exemplo, a
aprimore a visibilidade da rede, detecte ameaças desconhecidas ou ofereça suporte a relatórios de conformidade.
Página 76
1.3.2.3 Critérios e recursos da Key Zero Trust
O núcleo de qualquer arquitetura de segurança de rede Zero Trust é a Segmentação Zero Trust
Plataforma, então você deve escolher a solução correta. Critérios e recursos principais a serem considerados
ao selecionar uma Plataforma de Segmentação Zero Trust, inclua:
• Acesso seguro. Conectividade IPsec segura consistente e SSL VPN é fornecida para todos
funcionários, parceiros, clientes e convidados onde quer que estejam (por exemplo, em
escritórios remotos ou filiais, na rede local ou na Internet). Políticas para
determinar quais usuários e dispositivos podem acessar aplicativos confidenciais e os dados podem ser
definido com base no aplicativo, usuário, conteúdo, dispositivo e estado do dispositivo.
• Inspeção de todo o tráfego. A identificação do aplicativo identifica e classifica com precisão todos
tráfego, independentemente das portas e protocolos, e táticas evasivas, como salto de porta ou
criptografia. A identificação de aplicativos elimina métodos que o malware pode usar para ocultar
da detecção e fornece contexto completo para aplicativos, conteúdo associado,
e ameaças.
• Controle de acesso com menos privilégios. A combinação de aplicativo, usuário e conteúdo
identificação oferece um modelo de controle positivo que permite às organizações controlar
interações com recursos com base em uma ampla gama de atributos relevantes para os negócios,
incluindo a aplicação específica e funções individuais sendo usadas, usuário e grupo
identidade e os tipos específicos ou dados sendo acessados (como cartão de crédito ou
Números da previdência social). O resultado é um controle de acesso verdadeiramente granular que permite com segurança
os aplicativos corretos para os conjuntos corretos de usuários, evitando automaticamente
tráfego indesejado, não autorizado e potencialmente prejudicial de obter acesso ao
rede.
• Proteção contra ameaças cibernéticas. Uma combinação de antimalware, prevenção de intrusão e
tecnologias de prevenção de ameaças cibernéticas fornecem proteção abrangente contra ambos
ameaças conhecidas e desconhecidas, incluindo ameaças em dispositivos móveis. Suporte para um
loop, defesa altamente integrada também garante que dispositivos de aplicação em linha e outros
os componentes da estrutura de proteção contra ameaças são atualizados automaticamente.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 57/254
64 PALO ALTO NETWORKS, INC.®
• Cobertura para todos os domínios de segurança. Dispositivos virtuais e de hardware estabelecem
e limites de confiança econômicos em toda a rede de uma organização,
inclusive em escritórios remotos ou filiais, para usuários móveis, no perímetro da Internet, no
nuvem, em pontos de entrada em todo o data center e para áreas individuais em qualquer lugar
eles podem existir.
Página 77
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição65
1.3.2.4 Implementando um design Zero Trust
A implementação de um modelo de segurança de rede Zero Trust não requer uma grande revisão de um
rede da organização e infraestrutura de segurança. Uma arquitetura de design Zero Trust pode ser
implementado de uma forma que requer apenas modificações incrementais na rede existente e
é completamente transparente para seus usuários. Vantagens de tal flexível, não disruptivo
abordagem de implantação inclui minimizar o impacto potencial nas operações e ser capaz de
distribuir o investimento necessário e o esforço de trabalho ao longo do tempo.
Para começar, você pode configurar uma Zero Trust Segmentation Platform no modo de escuta para
obter uma imagem detalhada dos fluxos de tráfego em toda a rede, incluindo onde, quando e para
até que ponto usuários específicos estão usando aplicativos e recursos de dados específicos.
Com uma compreensão detalhada dos fluxos de tráfego de rede no ambiente, a próxima etapa é
para definir zonas de confiança e estabelecer limites de confiança correspondentes com base em
risco relativo e / ou sensibilidade dos dados envolvidos:
• Implantar dispositivos em locais apropriados para estabelecer limites internos de confiança para
zonas de confiança definidas.
• Configurar as políticas de fiscalização e inspeção adequadas para colocar cada
limite de confiança "online".
Em seguida, você pode estabelecer progressivamente zonas de confiança e limites para outros segmentos do
ambiente de computação com base em seu grau relativo de risco. Exemplos de onde proteger a confiança
as zonas podem ser estabelecidas são:
• Sistemas e redes de gerenciamento de TI (onde uma violação bem-sucedida pode levar a
comprometimento de toda a rede)
• Recursos e conexões de parceiros (businessto business ou B2B)
• Recursos e conexões voltados para o cliente de alto perfil (business to consumer, ou B2C)
• Filiais em países ou regiões de risco, seguidas por todas as outras filiais
• Redes de acesso de convidados (sem fio e com fio)
• Redes de campus
Os princípios e conceitos da Zero Trust devem ser implementados nos principais pontos de acesso à Internet.
Você terá que substituir ou aumentar os dispositivos de segurança de rede legados com um Zero Trust
Página 78
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 58/254
66 PALO ALTO NETWORKS, INC.®
Plataforma de segmentação nesta fase de implantação para obter todos os recursos necessários e
benefícios de um modelo de segurança Zero Trust.
1.4 Plataforma Operacional de Segurança
O crime cibernético e os tipos de ameaças à segurança continuam a evoluir, desafiando as organizações a
acompanhe a expansão dos limites da rede e das superfícies de ataque. Violações de segurança e intelectuais
a perda de propriedade pode ter um grande impacto nas organizações. Abordagens atuais de segurança, que
foco principalmente na detecção e remediação, são inadequados para abordar suficientemente o aumento de
volume e sofisticação dos ataques. Os cibercriminosos aproveitam a automação e big data
análises para executar ataques altamente escaláveis e cada vez mais eficazes contra seus alvos.
Eles costumam compartilhar dados e técnicas com outros atores de ameaças para manter sua abordagem à frente
produtos de segurança pontuais. Os cibercriminosos não são a única ameaça: os funcionários podem muitas vezes
violar inadvertidamente a conformidade corporativa e expor dados críticos em locais como o
nuvem pública.
Com a rápida evolução dos aplicativos migrando para a nuvem, descentralização de TI
infraestrutura e o cenário de ameaças cada vez maiores, o resultado tem sido uma perda de visibilidade e
controle para as organizações. Dispositivos estão proliferando e o perímetro da rede tem tudo, menos
desapareceu, deixando as equipes de segurança corporativa lutando para habilitar e proteger com segurança seus
empresas, clientes e usuários. Com novas ameaças crescendo em número e sofisticação,
1.3 Verificação de Conhecimento
Teste sua compreensão dos fundamentos da seção anterior. Reveja o correto
respostas no Apêndice A.
1. Resposta curta. Qual é o principal problema com uma segurança de rede baseada em perímetro
estratégia hoje?
2. Múltipla escolha. Um modelo de segurança de rede Zero Trust é baseado em qual segurança
princípio? (Escolha um.)
a) due diligence
b) privilégio mínimo
c) não repúdio
d) controle negativo
Página 79
as organizações estão descobrindo que os produtos e abordagens de segurança tradicionais são cada vez menos
capazes de proteger suas redes contra os ataques cibernéticos avançados de hoje.
Ao mesmo tempo, as equipes de desenvolvimento de aplicativos e operações de TI estão acelerando o
entrega de novos aplicativos para impulsionar o crescimento dos negócios, adotando ferramentas DevOps e
metodologias, tecnologias de nuvem e contêiner, análise de big data e automação e
orquestração. Enquanto isso, os aplicativos estão cada vez mais acessíveis. O resultado é um incrivelmente
rede complexa que apresenta risco significativo para os negócios. As organizações devem minimizar este risco
sem desacelerar os negócios.
É necessária uma abordagem diferente para a segurança. Os defensores precisam substituir produtos pontuais isolados
com inovações de segurança totalmente integradas. A segurança requer simplicidade. The Palo Alto
A Plataforma Operacional de Segurança de Redes consiste em um sistema totalmente integrado de componentes
e serviços, incluindo um ecossistema de parceiros, que oferece segurança consistente em todo o
rede, terminais e nuvem. A Security Operating Platform é um sistema totalmente integrado que
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 59/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição67
simplifica a segurança, aproveitando informações consolidadas de inteligência de ameaças, automação,
aprendizado de máquina e análise de dados (consulte a Figura 1-8).
Figura 1-8
Plataforma operacional de segurança da Palo Alto Networks
A Security Operating Platform é projetada para que as equipes de segurança possam operar de forma simples e
de forma eficiente para proteger suas organizações. A plataforma evita ataques bem-sucedidos e para
ataques em andamento, fornecendo proteção consistente para proteger a empresa, a nuvem,
Página 80
e o futuro. Enraizada na prevenção, a plataforma operacional de segurança é projetada e tem um propósito
construído para conter ataques antes que eles possam violar o ambiente de uma organização.
A arquitetura de prevenção da Security Operating Platform permite que as organizações reduzam as ameaças
exposição, primeiro habilitando aplicativos para todos os usuários ou dispositivos em qualquer local e, em seguida,
prevenção de ameaças nos fluxos de aplicativos, vinculando o uso do aplicativo às identidades do usuário em
ambientes físicos, baseados em nuvem e software como serviço (SaaS).
Para permitir a prevenção de ataques cibernéticos bem-sucedidos, a Security Operating Platform oferece
quatro recursos principais:
1. Fornece visibilidade total. Para entender todo o contexto de um ataque, visibilidade de todos os usuários
e os dispositivos são fornecidos em toda a rede, endpoint, nuvem e SaaS da organização
formulários.
2. Reduza a superfície de ataque. As melhores tecnologias da categoria nativamente integradas
fornecem uma arquitetura de prevenção que reduz inerentemente a superfície de ataque. Esse tipo
da arquitetura permite que as organizações exerçam controle positivo com base nos aplicativos,
usuários e conteúdo, com suporte para comunicação aberta, orquestração e visibilidade.
3. Evite todas as ameaças conhecidas, rapidamente. Uma plataforma de segurança coordenada responde por todo
escopo de um ataque, entre os vários controles de segurança que compõem a segurança
postura, permitindo que as organizações identifiquem e bloqueiem rapidamente ameaças conhecidas.
4. Detecte e evite ameaças novas e desconhecidas com a automação. Construindo segurança que
simplesmente detecta ameaças e requer uma resposta manual é muito pouco, muito tarde. Automatizado
criação e entrega de proteções quase em tempo real contra novas ameaças aos vários
as soluções de segurança nos ambientes da organização permitem atualizações dinâmicas de políticas.
Essas atualizações são projetadas para permitir que as empresas escalem as defesas com tecnologia,
ao invés de pessoas.
A segurança não deve ser uma barreira para a adoção de nova mobilidade, SaaS, nuvem pública ou privada
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 60/254
68 PALO ALTO NETWORKS, INC.®
tecnologias que permitem a produtividade. Com uma segurança de prevenção primeiro integrada nativamente
plataforma instalada, as organizações podem adotar com segurança
aplicativos e tecnologias, ao mesmo tempo em que mantém um abrangente e consistente
postura de segurança empresarial orientada para a prevenção.
Página 81
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição69
Conclusão
A Palo Alto Networks está ajudando a enfrentar os maiores desafios de segurança do mundo com
inovação contínua que aproveita os avanços mais recentes em inteligência artificial, análise,
automação e orquestração. Ao entregar uma plataforma integrada e capacitar um
crescente ecossistema de parceiros, a Palo Alto Networks está na vanguarda da proteção de dezenas de
milhares de organizações em nuvens, redes e dispositivos móveis.
O amplo portfólio de tecnologias e soluções de segurança da Palo Alto Networks aborda três
áreas essenciais da estratégia de segurança cibernética:
• Proteja a empresa (Strata):
• Série PA, Série VM e Série K2 da Palo AltoNetworks de próxima geração
firewalls (discutidos na Seção 2.6.1) são a base da rede corporativa
segurança. Com o software PAN-OS®, esses firewalls de última geração
aproveite App-ID, User-ID e Content-ID para fornecer visibilidade completa e
controle dos aplicativos em uso em todos os usuários, dispositivos e locais.
• Serviços de assinatura baseados em nuvem (discutidos na Seção 2.6.2), incluindo DNS
Segurança, filtragem de URL, prevenção de ameaças e prevenção de malware WildFire®,
entregar análises preditivas avançadas em tempo real, IA e aprendizado de máquina,
1.4 Verificação de Conhecimento
Teste sua compreensão dos fundamentos da seção anterior. Reveja o correto
respostas no Apêndice A.
1. Preencha o espaço em branco. é um sistema totalmente integrado
sistema de componentes e serviços, incluindo um ecossistema de parceiros, que oferece
segurança consistente em toda a rede, endpoints e nuvem.
2. Múltipla escolha. Quais são as três opções são componentes-chave da operação de segurança
Plataforma? (Escolha três.)
a) segurança de rede
b) proteção avançada de endpoint
c) segurança na nuvem
d) segurança de desenvolvimento de aplicativos
Página 82
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 61/254
70 PALO ALTO NETWORKS, INC.®
exploit / malware / proteção contra ameaças C2 e inteligência de ameaças globais para o Palo
Plataforma operacional de segurança da Alto Networks.
• Panorama (discutido na Seção 2.6.3) o gerenciamento de segurança de rede permite
controle centralizado, coleta de registros e automação do fluxo de trabalho de políticas em todos
seus firewalls de próxima geração (escalonáveis para dezenas de milhares de firewalls) de um
único painel de vidro.
• Proteja a nuvem (Prisma):
• Prisma Cloud (discutido na Seção 3.5.1) é o mais abrangente da indústria
proteção contra ameaças, governança e oferta de conformidade. Ele descobre dinamicamente
recursos de nuvem e dados confidenciais em AWS, GCP e Azure para detectar riscos
configurações e identificar ameaças de rede, comportamento de usuário suspeito, malware,
vazamento de dados e vulnerabilidades de host. Elimina pontos cegos em sua nuvem
ambientes e fornece proteção contínua com uma combinação de regras
políticas de segurança baseadas e aprendizado de máquina líder de classe.
• Prisma Access (SASE) (discutido na Seção 3.5.2) ajuda sua organização a entregar
segurança consistente para suas redes remotas e usuários móveis. É uma geração
avançar na segurança da nuvem, usando uma arquitetura fornecida pela nuvem para conectar todos
usuários a todos os aplicativos. Todos os seus usuários, seja em sua sede, em
filiais, ou em trânsito, conecte-se ao Prisma Access para usar a nuvem com segurança e
aplicativos de data center, bem como a internet. Prisma Access de forma consistente
inspeciona todo o tráfego em todas as portas e fornece bidirecional definido por software
rede de longa distância (SD-WAN) para permitir ramificação a filial e filial a
tráfego da sede.
• Prisma SaaS (discutido na Seção 3.5.3) funciona como um acesso à nuvem multimodo
corretor de segurança (CASB), oferecendo proteção em linha e baseada em API trabalhando
juntos para minimizar a gama de riscos de nuvem que podem levar a violações. Com um
abordagem totalmente entregue em nuvem para CASB, você pode proteger seus aplicativos SaaS
por meio do uso de proteções inline para proteger o tráfego inline com profundas
visibilidade de aplicativos, segmentação, acesso seguro e prevenção de ameaças, também
como proteções baseadas em API para conectar-se diretamente a aplicativos SaaS para dados
classificação, prevenção contra perda de dados e detecção de ameaças.
• Proteja o Futuro (Cortex):
• Cortex XDR (discutido na Seção 4.4.1) quebra os silos da detecção tradicional
e resposta integrando nativamente a rede, o endpoint e os dados da nuvem para parar
Página 83
ataques sofisticados. Aproveitando os modelos de aprendizado de máquina e IA
em todas as fontes de dados, ele identifica ameaças desconhecidas e altamente evasivas de
dispositivos gerenciados e não gerenciados.
• Cortex XSOAR (discutido na Seção 4.4.2) é a única orquestração de segurança,
plataforma de automação e resposta (SOAR) que combina orquestração de segurança,
gerenciamento de incidentes e investigação interativa para atender às equipes de segurança
em todo o ciclo de vida do incidente.
• Cortex Data Lake (discutido na Seção 4.4.3) permite inovações baseadas em IA para
cibersegurança com a única abordagem da indústria para normalizar a
dados. Ele coleta, integra e normaliza automaticamente os dados em seu
infraestrutura de segurança. O serviço baseado em nuvem está pronto para escalar desde o início,
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 62/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição71
eliminando a necessidade de computação ou armazenamento local, fornecendo garantia no
segurança e privacidade de seus dados.
• AutoFocus (discutido na Seção 4.4.4) serviço de inteligência de ameaças contextuais
acelera sua capacidade de analisar ameaças e responder a ataques cibernéticos. Instante
acesso a dados de ameaças baseados na comunidade do WildFire, aprimorado com
contexto e atribuição da pesquisa de ameaças da Unidade 42 da Palo Alto Networks
equipe, economiza tempo. Suas equipes de segurança obtêm informações detalhadas sobre os ataques com
tags pré-construídas da Unidade 42 que identificam famílias de malware, adversários, campanhas,
comportamentos maliciosos e explorações sem a necessidade de uma pesquisa dedicada
equipe.
Página 84
Módulo 2 - Fundamentos de segurança de rede
Objetivos de Conhecimento
• Descrever o funcionamento básico das redes de computadores e da internet, incluindo as comuns
dispositivos de rede, protocolos de roteamento e roteamento, diferentes tipos de redes de área e
topologias, o Sistema de Nomes de Domínio (DNS) e a Internet das coisas (IoT).
• Explicar as funções de endereçamento físico, lógico e virtual na rede.
• Discutir os fundamentos de endereçamento e sub-rede IPv4 e IPv6.
• Discutir o modelo de referência OSI e o modelo TCP / IP, incluindo análise de pacotes,
protocolo e filtragem de pacotes e encapsulamento TCP / IP.
• Descrever tecnologias de segurança de rede, incluindo firewalls, sistemas de detecção de intrusão
(IDSs) e sistemas de prevenção de intrusão (IPSs), filtros de conteúdo da web, virtual privado
redes (VPNs), prevenção de perda de dados (DLP) e gerenciamento unificado de ameaças (UTM).
• Discuta os desafios e soluções de segurança do endpoint, incluindo proteção contra malware, anti
software de spyware, firewalls pessoais, sistemas de prevenção de intrusão baseados em host (HIPSs),
e gerenciamento de dispositivo móvel (MDM).
• Discutir os conceitos de operações de rede, incluindo servidor e administração de sistemas,
serviços de diretório e solução de problemas estruturados de host e rede.
• Discuta os componentes fundamentais de um firewall de próxima geração e explique o básico
operação de um firewall de próxima geração. Compare e contraste tradicional com base em porta
firewalls e firewalls de próxima geração.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 63/254
72 PALO ALTO NETWORKS, INC.®
2.0 The Connected Globe
Com mais de 4,5 bilhões de usuários de Internet em todo o mundo em 2020, o que representa bem mais da metade
a população mundial, a Internet conecta empresas, governos e pessoas em todo o
globo. Nossa confiança na Internet continuará a crescer, com quase 30 bilhões de dispositivos e
“Coisas” - incluindo veículos autônomos, eletrodomésticos, tecnologia vestível e
Página 85
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição73
mais - conectando-se à Internet das coisas (IoT) e quase 9 bilhões de smartphones em todo o mundo
assinaturas usando um total de 160 exabytes (EB) de dadosmensais até 2025. 35
2.0.1 A NET: como as coisas se conectam
Na década de 1960, a Agência de Projetos de Pesquisa Avançada de Defesa dos EUA (DARPA) criou a ARPANET,
o precursor da Internet moderna. A ARPANET foi a primeira rede comutada por pacotes. UMA
a rede comutada por pacotes divide os dados em pequenos blocos (pacotes), transmite cada indivíduo
pacote de nó em nó em direção ao seu destino e, em seguida, remonta os pacotes individuais
na ordem correta no destino.
Hoje, centenas de milhões de roteadores oferecem protocolo de controle de transmissão / protocolo de Internet
(TCP / IP) pacotes usando vários protocolos de roteamento (discutidos na Seção 2.0.3) em toda a área local
redes e redes de longa distância. O Sistema de Nomes de Domínio (DNS, discutido na Seção 2.0.5)
permite endereços de internet, como www.paloaltonetworks.com , para ser traduzido em roteável
Endereços IP.
2.0.2 Introdução aos dispositivos de rede
Roteadores são dispositivos físicos ou virtuais que enviam pacotes de dados para redes de destino ao longo de um
caminho de rede usando endereços lógicos (discutido na Seção 2.1). Os roteadores usam vários roteamentos
protocolos para determinar o melhor caminho para um destino, com base em variáveis como largura de banda,
custo, atraso e distância. Um roteador sem fio combina a funcionalidade de um roteador e um sem fio
ponto de acesso (AP) para fornecer roteamento entre uma rede com fio e uma rede sem fio. Um AP é uma rede
dispositivo que se conecta a um roteador ou rede com fio e transmite um sinal Wi-Fi para que
os dispositivos podem se conectar a uma rede sem fio (ou Wi-Fi). Um repetidor sem fio retransmite o
sinal sem fio de um roteador sem fio ou AP para estender o alcance de uma rede Wi-Fi.
Um hub (ou concentrador ) é um dispositivo de rede que conecta vários dispositivos - como desktop
computadores, estações de acoplamento de laptop e impressoras - em uma rede local (LAN). Rede
o tráfego enviado a um hub é transmitido por todas as portas do hub, o que pode criar uma rede
congestionamento e introduz riscos de segurança potenciais (dados de transmissão podem ser interceptados).
35 “Ericsson Mobility Report, November 2019.” Ericsson. Novembro de 2019.https : //www.ericsson.com/en/mobility-
relatório .
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=http://www.paloaltonetworks.com/
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=http://www.paloaltonetworks.com/
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.ericsson.com/assets/local/mobility-report/documents/2017/ericsson-mobility-report-november-2017.pdf
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.ericsson.com/assets/local/mobility-report/documents/2017/ericsson-mobility-report-november-2017.pdf
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.ericsson.com/assets/local/mobility-report/documents/2017/ericsson-mobility-report-november-2017.pdf
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.ericsson.com/assets/local/mobility-report/documents/2017/ericsson-mobility-report-november-2017.pdf
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 64/254
Página 86
74 PALO ALTO NETWORKS, INC.®
Um switch é essencialmente um hub inteligente que usa endereços físicos (discutido na Seção 2.1)
para encaminhar pacotes de dados para dispositivos em uma rede. Ao contrário de um hub, um switch é projetado para encaminhar
pacotes de dados apenas para a porta que corresponde ao dispositivo de destino. Esta transmissão
método (referido como microssegmentação) cria segmentos de rede separados e
aumenta efetivamente as taxas de transmissão de dados disponíveis nos segmentos de rede individuais.
Além disso, um switch pode ser usado para implementar LANs virtuais (VLANs), que segregam logicamente um
rede e limites de domínios de broadcast e domínios de colisão .
Termos chave
Um roteador é um dispositivo de rede que envia pacotes de dados para uma rede de destino ao longo de um
caminho da rede.
Um repetidor sem fio retransmite o sinal sem fio de um roteador sem fio ou AP para estender
o alcance de uma rede Wi-Fi.
Um hub (ou concentrador ) é um dispositivo usado para conectar vários dispositivos de rede em um local
rede de área (LAN).
Um switch é um hub inteligente que encaminha pacotes de dados apenas para a porta associada ao
dispositivo de destino em uma rede.
Uma LAN virtual (VLAN) é uma rede lógica criada em uma LAN física.
Um domínio de broadcast é a porção de uma rede que recebe pacotes de broadcast enviados de um
nó no domínio.
Um domínio de colisão é um segmento de rede no qual os pacotes de dados podem colidir uns com os outros
durante a transmissão.
Página 87
2.0.3 Protocolos de roteamento e roteamento
Os protocolos roteados, como o protocolo da Internet (IP), endereçam pacotes com informações de roteamento que
permite que esses pacotes sejam transportados através de redes usando protocolos de roteamento . Internet
O protocolo (IP) é discutido com mais detalhes nas Seções 2.1 e 2.1.1.
Termos chave
Um endereço de protocolo da Internet (IP) é um identificador de 32 ou 128 bits atribuído a uma rede
dispositivo para comunicações na camada de rede do modelo OSI ou na camada de Internet do
Modelo TCP / IP.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 65/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição75
Os protocolos de roteamento são definidos na camada de rede do modelo OSI (discutido na Seção 2.2.1)
e especifique como os roteadores se comunicam entre si em uma rede. Os protocolos de roteamento podem
seja estático ou dinâmico.
Um protocolo de roteamento estático requer que as rotas sejam criadas e atualizadas manualmente em um roteador ou
outro dispositivo de rede. Se uma rota estática estiver inativa, o tráfego não pode ser redirecionado automaticamente, a menos que um
rota alternativa foi configurada. Além disso, se a rota estiver congestionada, o tráfego não pode ser
redirecionado automaticamente para a rota alternativa menos congestionada. O roteamento estático é prático apenas em
redes muito pequenas ou para cenários de roteamento de casos especiais muito limitados (por exemplo, um
destino que é usado como rota de backup ou acessível apenas por meio de um único roteador). Contudo,
o roteamento estático tem requisitos de baixa largura de banda (as informações de roteamento não são transmitidas pelo
rede) e alguma segurança integrada (os usuários podem rotear apenas para destinos que são especificados em
rotas definidas estaticamente).
Um protocolo de roteamento dinâmico pode aprender automaticamente novas (ou alternativas) rotas e determinar
a melhor rota para um destino. A tabela de roteamento é atualizada periodicamente com o roteamento atual
em formação. Os protocolos de roteamento dinâmico são ainda classificados como:
• Vetor de distância. Um protocolo de vetor de distância toma decisões de roteamento com base em dois
fatores: a distância (contagem de saltos ou outra métrica) e vetor (o roteador de saída
interface). Ele informa periodicamente seus pares e / ou vizinhos sobre mudanças de topologia.
Convergência , o tempo necessário para que todos os roteadores em uma rede atualizem seu roteamento
tabelas com as informações mais atuais (como alterações de status do link), podem ser um
problema significativo para protocolos de vetor de distância. Sem convergência, alguns roteadores em
uma rede pode não estar ciente das mudanças de topologia, o que faz com que o roteador envie tráfego
para um destino inválido. Durante a convergência, as informações de roteamento são trocadas
Página 88
entre roteadores, e a rede fica consideravelmente mais lenta. A convergência pode levar
vários minutos em redes que usam protocolos de vetor de distância.
O protocolo de informações de roteamento(RIP) é um exemplo de protocolo de roteamento de vetor de distância
que usa a contagem de saltos como sua métrica de roteamento. Para evitar loops de roteamento, nos quais os pacotes
efetivamente fica preso saltando entre vários nós do roteador, o RIP implementa um limite de salto
de 15, que limita o tamanho das redes que o RIP pode suportar. Depois que um pacote de dados cruza
15 nós do roteador (saltos) entre uma origem e um destino, o destino é
considerado inacessível. Além dos limites de salto, o RIP emprega quatro outros mecanismos
para evitar loops de roteamento:
• Horizonte dividido. Impede que um roteador anuncie uma rota de volta através do
mesma interface da qual a rota foi aprendida.
• Atualizações disparadas. Quando uma mudança é detectada, a atualização é enviada
imediatamente em vez de esperar 30 segundos para enviar uma atualização RIP.
• Envenenamento de rota. Define a contagem de saltos em uma rota ruim para 16, o que efetivamente
anuncia a rota como inacessível.
• Temporizadores de holddown. Faz com que um roteador inicie um cronômetro quando o roteador recebe pela primeira vez
informações de que um destino está inacessível. Atualizações subsequentes sobre isso
o destino não será aceito até que o tempo expire. Este cronômetro também ajuda
evite problemas associados ao flapping. Flapping ocorre quando uma rota (ou
interface) muda repetidamente de estado (para cima, para baixo, para cima, para baixo) durante um curto período de
Tempo.
• Estado do link. Um protocolo de estado de link requer que cada roteador calcule e mantenha um
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 66/254
76 PALO ALTO NETWORKS, INC.®
mapa completo, ou tabela de roteamento, de toda a rede. Roteadores que usam um link-state
o protocolo transmite periodicamente atualizações que contêm informações sobre
conexões, ou estados de link, a todos os outros roteadores da rede. Os protocolos link-state são
uso intensivo de computação, mas eles podem calcular a rota mais eficiente para um destino. Elas
considere vários fatores, como velocidade do link, atraso, carga, confiabilidade e custo (um
peso ou métrica atribuído arbitrariamente). A convergência ocorre muito rapidamente (em segundos)
com protocolos link-state.
Open Shortest Path First (OSPF) é um exemplo de um protocolo de roteamento link-state que é
frequentemente usado em grandes redes corporativas. OSPF roteia o tráfego de rede em um único
sistema autônomo (AS). As redes OSPF são divididas em áreas identificadas pela área de 32 bits
identificadores. Os identificadores de área podem (mas não precisam) corresponder aos endereços IP da rede
e pode duplicar endereços IP sem conflitos.
Página 89
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição77
• Vetor de caminho. Um protocolo de vetor de caminho é semelhante a um protocolo de vetor de distância, mas sem
os problemas de escalabilidade associados a contagens de saltos limitadas em protocolos de vetor de distância.
Cada entrada da tabela de roteamento em um protocolo de vetor de caminho contém informações de caminho que obtém
atualizado dinamicamente.
Border Gateway Protocol (BGP) é um exemplo de protocolo de vetor de caminho usado entre
sistemas autônomos separados. BGP é o protocolo principal usado pelo serviço de internet
provedores (ISPs) e provedores de serviços de rede (NSPs), bem como em IP privado muito grande
redes.
2.0.4 Redes de área e topologias
A maioria das redes de computadores são amplamente classificadas como redes locais (LANs) ou redes amplas
redes de área (WANs).
Uma rede local (LAN) é uma rede de computadores que conecta dispositivos do usuário final, como
laptops e desktops, servidores, impressoras e outros dispositivos para que os aplicativos,
bancos de dados, arquivos, armazenamento de arquivos e outros recursos de rede podem ser compartilhados entre os
usuários na LAN. Uma LAN opera em uma área geográfica relativamente pequena (como um andar, um
edifício ou um grupo de edifícios), normalmente a velocidades de até 10 megabits por segundo (Mbps -
Ethernet), 100 Mbps (Fast Ethernet), 1.000 Mbps (ou 1 gigabit por segundo [1 Gbps] - Gigabit
Ethernet) em redes com fio e 11 Mbps (802.11b), 54 Mbps (802.11a e g), 450 Mbps
(802.11n), 1,3 Gbps (802.11ac) e 14 Gbps (802.11ax - teórico) em redes sem fio. UMA
A LAN pode ser com fio, sem fio ou uma combinação de com fio e sem fio. Exemplos de rede
equipamentos comumente usados em LANs incluem pontes , hubs, repetidores , switches e wireless
pontos de acesso (APs).
Termos chave
Convergência é o tempo necessário para que todos os roteadores em uma rede atualizem suas tabelas de roteamento
com as informações de roteamento mais atuais sobre a rede.
A contagem de saltos geralmente se refere ao número de nós do roteador pelos quais um pacote deve passar
para chegar ao seu destino.
Um sistema autônomo (AS) é um grupo de intervalos de endereços IP contíguos sob o controle de um
entidade única na Internet. Os sistemas autônomos individuais são atribuídos a um AS de 16 ou 32 bits
número (ASN) que identifica exclusivamente a rede na Internet. ASNs são atribuídos pelo
Autoridade para atribuição de números na Internet (IANA).
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 67/254
Página 90
78 PALO ALTO NETWORKS, INC.®
Duas topologias de rede básicas (com muitas variações) são comumente usadas em LANs:
• Star. Cada nó na rede está diretamente conectado a um switch, hub ou concentrador,
e todas as comunicações de dados devem passar pelo switch, hub ou concentrador. O
switch, hub ou concentrador podem, portanto, se tornar um gargalo de desempenho ou ponto único
de falha na rede. Uma topologia em estrela é ideal para ambientes de praticamente qualquer tamanho
e é a topologia básica de LAN mais comumente usada.
• Malha. Todos os nós são interconectados para fornecer vários caminhos para todos os outros recursos. UMA
a topologia de malha pode ser usada em toda a rede ou apenas para os
componentes de rede, como roteadores, switches e servidores, para eliminar o desempenho
gargalos e pontos únicos de falha.
Outras topologias de rede outrora populares, como anel e barramento , raramente são encontradas nas
redes.
Termos chave
Uma rede local (LAN) é uma rede de computadores que conecta laptop e desktop
computadores, servidores, impressoras e outros dispositivos para que aplicativos, bancos de dados, arquivos e arquivos
armazenamento e outros recursos em rede podem ser compartilhados em uma área geográfica relativamente pequena
área, como um andar, um edifício ou um grupo de edifícios.
Uma ponte é um dispositivo de rede com fio ou sem fio que estende uma rede ou se conecta separadamente
segmentos de rede.
Um repetidor é um dispositivo de rede que aumenta ou retransmite um sinal para estender fisicamente o
alcance de uma rede com ou sem fio.
Termos chave
Em uma topologia em anel , todos os nós são conectados em um circuito fechado que forma um anel contínuo e
toda a comunicação viaja em uma única direção ao redor do anel. Topologias de anel eram
comum em redes token ring.
Em uma topologia de barramento (ou barramento linear) , todos os nós são conectados a um único cabo (o backbone)
que é encerrado em ambas as extremidades. No passado, as redes de ônibus eram comumente usadas para muito
redes pequenas porque eram baratas e relativamente fáceis de instalar.
Página 91
Uma rede de longa distância (WAN) é uma rede de computadores que conecta várias LANs ou outras WANs
em uma área geográfica relativamente grande, como uma pequena cidade, uma região ou país, um global
rede corporativa, ou o planeta inteiro (por exemplo, a internet).
Uma WAN conecta redes usando circuitos de telecomunicações e tecnologias como
comutação de etiqueta multiprotocolo (MPLS), cabo de banda larga , linha de assinante digital (DSL), fibra óptica,
portadora óptica (por exemplo, OC-3) e portadora T (por exemplo, T-1) em várias velocidadesnormalmente
variando de 256 Kbps a várias centenas de megabits por segundo. Exemplos de rede
equipamentos comumente usados em WANs incluem servidores de acesso, unidades de serviço de canal (CSUs) e
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 68/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição79
unidades de serviço de dados (DSUs), firewalls, modems, roteadores, gateways de rede privada virtual (VPN),
e comutadores WAN.
Termos chave
Uma rede de longa distância (WAN) é uma rede de computadores que conecta várias LANs ou outros
WANs em uma área geográfica relativamente grande, como uma pequena cidade, uma região ou país, um
rede empresarial global ou o planeta inteiro (por exemplo, a Internet).
A comutação de rótulo multiprotocolo (MPLS) é uma tecnologia de rede que roteia o tráfego usando o
caminho mais curto com base em "rótulos", em vez de endereços de rede, para lidar com o encaminhamento
redes privadas de longa distância.
O cabo de banda larga é um tipo de acesso à Internet de alta velocidade que oferece diferentes uploads e
baixar velocidades de dados em um meio de rede compartilhado. A velocidade geral varia dependendo
na carga de tráfego de rede de todos os assinantes no segmento de rede.
Linha de assinante digital (DSL) é um tipo de acesso à Internet de alta velocidade que oferece diferentes
velocidades de upload e download de dados. A velocidade geral depende da distância do
local de residência ou empresa para o escritório central (CO) do provedor.
A tecnologia de fibra óptica converte sinais elétricos de dados em luz e fornece dados constantes
velocidades nas direções de upload e download em um meio de cabo de fibra óptica dedicado.
A tecnologia de fibra óptica é muito mais rápida e segura do que outros tipos de rede
tecnologia.
A portadora óptica é uma especificação para a largura de banda de transmissão de sinais digitais em
Redes ópticas síncronas (SONET) redes de fibra óptica. Transmissão de portadora ótica
as taxas são designadas pelo valor inteiro do múltiplo da taxa básica (51,84 Mbps). Pra
exemplo, OC-3 designa uma rede de 155,52 Mbps (3 x 51,84) e OC-192 designa um
Rede 9953,28 Mbps (192 x 51,84).
Página 92
WANs tradicionais contam com roteadores físicos para conectar usuários remotos ou de filiais aos aplicativos
hospedados em data centers. Cada roteador tem um plano de dados, que contém as informações e um
plano de controle, que diz aos dados para onde ir. Onde os fluxos de dados são normalmente determinados por um
engenheiro de rede ou administrador que escreve regras e políticas, muitas vezes manualmente, para cada
roteador na rede - um processo que pode ser demorado e sujeito a erros.
Uma rede de longa distância definida por software (SD-WAN) separa o controle e o gerenciamento
processos do hardware de rede subjacente, disponibilizando-os como software que
pode ser facilmente configurado e implantado. Um painel de controle centralizado significa rede
os administradores podem escrever novas regras e políticas e, em seguida, configurá-las e implantá-las em um
toda a rede de uma vez.
SD-WAN torna mais fácil gerenciar e direcionar o tráfego em uma rede. Com tradicional
abordagens de rede como MPLS, o tráfego criado na filial é retornado ou "backhauled" para
um ponto de segurança de Internet centralizado em um data center da sede. O tráfego de retorno pode
desempenho inferior do aplicativo, o que leva à redução da produtividade e à experiência do usuário ruim.
Como as redes MPLS são redes privadas construídas para uma determinada organização, elas são
Termos chave
A portadora T é um sistema de transmissão digital full-duplex que usa vários pares de fios de cobre para
transmitir sinais elétricos em uma rede. Por exemplo, um circuito T-1 consiste em dois pares de
fio de cobre - um par transmite, o outro recebe - que são multiplexados para fornecer um
total de 24 canais, cada um fornecendo 64 Kbps de dados, para uma largura de banda total de 1,544 Mbps.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 69/254
80 PALO ALTO NETWORKS, INC.®
considerados confiáveis e seguros, mas são caros. Além disso, MPLS não foi projetado para
lidar com os altos volumes de tráfego WAN que resultam de software como serviço (SaaS)
aplicativos e adoção da nuvem.
Em comparação com as WANs tradicionais, as SD-WANs podem gerenciar vários tipos de conexões, incluindo
MPLS, banda larga, Long-Term Evolution (LTE) e outros, bem como aplicativos de suporte hospedados
em data centers, nuvens públicas e privadas e serviços SaaS. SD-WAN pode rotear aplicativo
tráfego sobre o melhor caminho em tempo real. No caso da nuvem, SD-WAN pode encaminhar internet e
tráfego vinculado à nuvem diretamente da filial sem backhaul.
SD-WAN oferece muitos benefícios para organizações distribuídas geograficamente, incluindo:
• Simplicidade. Porque cada dispositivo é gerenciado centralmente, com roteamento baseado no aplicativo
políticas, os gerentes de WAN podem criar e atualizar regras de segurança em tempo real como rede
mudanças de requisitos. Além disso, combinando SD-WAN com provisionamento zero-touch - um
Página 93
recurso que ajuda a automatizar os processos de implantação e configuração -
as organizações podem reduzir ainda mais a complexidade, recursos e despesas operacionais
necessário para abrir novos sites.
• Desempenho aprimorado. Ao permitir acesso eficiente a recursos baseados em nuvem sem
a necessidade de fazer o backhaul do tráfego para locais centralizados, as organizações podem fornecer uma melhor
experiência de usuário.
• Custos reduzidos. Os administradores de rede podem complementar ou substituir MPLS caro
com banda larga e outras opções de conectividade.
O modelo de internetworking hierárquico é um projeto de rede de melhores práticas, originalmente proposto
pela Cisco, que compreende três camadas:
• Acesso. Os endpoints e servidores do usuário se conectam à rede nesta camada, normalmente por meio de
comutadores de rede. Os switches nesta camada podem realizar alguma camada 3 (discutido na Seção
2.2.1) funções e também pode fornecer energia elétrica via Power over Ethernet (PoE)
portas para outro equipamento conectado à rede, como APs sem fio ou VoIP
telefones.
• Distribuição. Esta camada executa qualquer roteamento de computação intensiva e funções de comutação
na rede, como roteamento complexo, filtragem e qualidade de serviço (QoS). Comuta
nesta camada pode haver interruptores da Camada 7 (discutido na Seção 2.2.1) e conectar-se a
switches da camada de acesso final e switches da camada Core de ponta.
Termos chave
Uma rede de longa distância definida por software (SD-WAN) separa o controle de rede e
processos de gerenciamento do hardware subjacente em uma rede de longa distância e faz
disponíveis como software.
Long-Term Evolution (LTE) é um tipo de conexão de celular 4G que fornece conectividade rápida
principalmente para uso de internet móvel.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 70/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição81
Página 94
82 PALO ALTO NETWORKS, INC.®
• Core. Essa camada é responsável pelo roteamento e comutação em alta velocidade. Roteadores e
os switches nesta camada são projetados para roteamento e encaminhamento de pacotes em alta velocidade.
Além de LANs e WANs, muitos outros tipos de redes de área são usados para diferentes
finalidades:
• Redes de área de campus (CANs) e redes de área de campus sem fio (WCANs) se conectam
vários edifícios em uma rede de alta velocidade (por exemplo, em uma empresa ou universidade
campus).
• Redes de área metropolitana (MANs) e redes de área metropolitana sem fio (WMANs)
estender as redes em uma área relativamente grande, como uma cidade.
• Redes de área pessoal (PANs) e redes de área pessoal sem fio (WPANs) se conectam
os dispositivos eletrônicos de um indivíduo - comolaptops, smartphones, tablets,
assistentes pessoais virtuais (por exemplo, Amazon Alexa, Apple Siri, Google Assistant e
Microsoft Cortana) e tecnologia vestível - entre si ou para uma rede maior.
• Redes de área de armazenamento (SANs) conectam servidores a um dispositivo de armazenamento físico separado
(normalmente uma matriz de disco).
• Redes de valor agregado (VANs) são um tipo de extranet que permite negócios dentro de um
indústria para compartilhar informações ou integrar processos de negócios compartilhados.
• Redes locais virtuais (VLANs) segmentam domínios de transmissão em uma LAN, normalmente em
grupos lógicos (como departamentos de negócios). VLANs são criadas em switches de rede.
• Redes locais sem fio (WLANs), também conhecidas como redes Wi-Fi, usam redes sem fio
pontos de acesso (APs) para conectar dispositivos habilitados para wireless a uma LAN com fio.
Termos chave
Power over Ethernet (PoE) é um padrão de rede que fornece energia elétrica para determinados
dispositivos de rede através de cabos Ethernet.
Qualidade de serviço (QoS) é o desempenho geral de aplicativos ou serviços específicos em um
rede incluindo taxa de erro, taxa de bits, taxa de transferência, atraso de transmissão, disponibilidade e jitter.
As políticas de QoS podem ser configuradas em certos dispositivos de rede e segurança para priorizar certos
tráfego (como voz ou vídeo) sobre outro tráfego de desempenho menos intenso.
Página 95
• Redes de longa distância sem fio (WWANs) estendem a cobertura de rede sem fio em um
área, como uma região ou país, normalmente usando tecnologia de celular móvel.
2.0.5 Sistema de Nome de Domínio
O Sistema de Nomes de Domínio (DNS) é um banco de dados hierárquico distribuído da Internet que mapeia totalmente
nomes de domínio qualificados (FQDNs) para computadores, serviços e outros recursos - como um
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 71/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição83
endereço do site (também conhecido como localizador uniforme de recursos, ou URL) - para endereços IP (discutidonas Seções 2.1 e 2.1.1), semelhante a como uma lista de contatos em um smartphone mapeia os nomes de
empresas e indivíduos para números de telefone. Para criar um novo nome de domínio que será
acessível através da internet, você deve registrar seu nome de domínio exclusivo com um nome de domínio
registrador , como GoDaddy ou Network Solutions. Este registro é semelhante a listar um novo
número de telefone em uma lista telefônica. O DNS é fundamental para o funcionamento da Internet.
Um servidor de nomes raiz é o servidor de nomes autoritativo para uma zona de raiz DNS. Mundialmente, 13 raízes
servidores de nomes (na verdade, 13 redes compreendendo centenas de servidores de nomes raiz) são configurados.
Eles são chamados de a.root-servers.net a m.root-servers.net. Os servidores DNS são tipicamente
configurado com um arquivo de dicas de raiz que contém os nomes e endereços IP dos servidores raiz.
Um host (como um navegador da web em um computador desktop) em uma rede que precisa se conectar a
outro host (como um servidor da web na internet) deve primeiro traduzir o nome do
Termos chave
O Sistema de Nomes de Domínio (DNS) é um banco de dados hierárquico distribuído que mapeia totalmente
nome de domínio qualificado (FQDN) para computadores, serviços ou qualquer recurso conectado ao
Internet ou uma rede privada para um endereço IP.
Um nome de domínio totalmente qualificado (FQDN) é o nome de domínio completo para um computador específico,
serviço ou recurso conectado à Internet ou a uma rede privada.
Um registrador de nomes de domínio é uma organização credenciada por um domínio de primeiro nível (TLD)
registro para gerenciar os registros de nomes de domínio.
Um domínio de nível superior (TLD) é o domínio de nível mais alto no DNS, representado pela última parte de
um FQDN (por exemplo, .com e .edu). Os TLDs mais comumente usados são genéricos de nível superior
domínios (gTLDs) (como .com, edu, .net e .org) e domínios de nível superior de código de país
(ccTLDs) (como .ca e .us).
Um servidor DNS autorizado é o sistema de registro de um determinado domínio.
Página 96
host de destino de seu URL para um endereço IP. O host de conexão (o cliente DNS) envia um
Solicitação de DNS para o endereço IP do servidor DNS que é especificado na configuração de rede do
o cliente DNS. Se o servidor DNS for autoritativo para o domínio de destino, o servidor DNS
resolve o endereço IP do host de destino e responde à solicitação DNS do DNS
cliente. Por exemplo, você está tentando se conectar a um servidor de intranet em sua rede interna
rede do computador desktop em seu escritório. Se o endereço do servidor DNS que está configurado
em seu computador é um servidor DNS interno que é autoritativo para seu domínio de intranet, o
O servidor DNS resolve o endereço IP do servidor de intranet. Seu computador então encapsula o
endereço IP de destino resolvido no protocolo de transferência de hipertexto (HTTP) ou transferência de hipertexto
Pacotes de solicitação de protocolo seguro (HTTPS) que são enviados ao servidor de intranet.
Termos chave
Uma intranet é uma rede privada que fornece informações e recursos - como um
diretório da empresa, políticas e formulários de recursos humanos, arquivos de departamento ou equipe e
outras informações internas - para os usuários de uma organização. Como a Internet, uma intranet usa
os protocolos HTTP e / ou HTTPS, mas o acesso a uma intranet é normalmente restrito a um
usuários internos da organização. Microsoft SharePoint é um exemplo popular de intranet
Programas.
O protocolo de transferência de hipertexto (HTTP) é um protocolo de aplicativo usado para transferir dados entre
servidores da web e navegadores da web.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 72/254
84 PALO ALTO NETWORKS, INC.®
Se um servidor DNS não for autoritativo para o domínio de destino (por exemplo, um site da Internet
endereço), o servidor DNS realiza uma consulta recursiva (se estiver configurado para realizar
consultas recursivas) para obter o endereço IP do servidor DNS autorizado e, em seguida, enviar o
solicitação DNS original para o servidor DNS autoritativo. Este processo é um processo de cima para baixo em
que o servidor DNS primeiro consulta seu arquivo de dicas de raiz e consulta um servidor de nomes de raiz para identificar
o servidor DNS autorizado para o domínio de nível superior, ou TLD (por exemplo, .com), associado
com a consulta DNS. O servidor DNS então consulta o servidor TLD para identificar o autoritativo
servidor para o domínio específico que está sendo consultado (por exemplo, paloaltonetworks.com). Esta
o processo continua até que o servidor autoritativo para o FQDN seja identificado e consultado. O
o servidor DNS recursivo responde à solicitação do cliente DNS original com as informações de DNS
do servidor DNS autorizado.
Hypertext Transfer Protocol Secure (HTTPS) é uma versão segura de HTTP que usa Secure
Criptografia Sockets Layer (SSL) ou Transport Layer Security (TLS).
Página 97
DNS sobre HTTPS (DoH) é uma implementação mais segura do protocolo DNS que usa HTTPS para
criptografar dados entre o cliente DNS e o resolvedor DNS.
Os tipos básicos de registro DNS são os seguintes:
• A (IPv4) ou AAAA (IPv6) (Endereço). Mapeia um domínio ou subdomínio para um endereço IP ou
vários endereços IP.
• CNAME (nome canônico). Mapeia um domínio ou subdomínio para outro nome de host.
• MX (Mail Exchanger). Especifica o nome de host ou nomes de host de servidores de e-mail para um
domínio.
• PTR (Ponteiro). Aponta para um CNAME. Normalmente usado para pesquisas reversas de DNS que mapeiam um
Endereço IP para um host em um domínio ou subdomínio.
• SOA (Início de Autoridade). Especifica informações autoritativas sobre uma zona DNS, como
servidor de nome primário, endereço de e-mail do administradordo domínio e número de série do domínio
número.
• NS (servidor de nomes). O registro NS especifica um servidor de nomes autorizado para um determinado host.
• TXT (texto). Armazena informações baseadas em texto.
2.0.6 A internet das coisas
Em 2019, havia quase 27 bilhões de dispositivos de Internet das coisas (IoT) ativos em todo o mundo, 36
incluindo máquina a máquina (M2M), IoT de área ampla, IoT de curto alcance, IoT massiva e crítica,
e dispositivos multi-access edge computing (MEC).
36 Mayan, Gilad David. “The IoT Rundown for 2020: Stats, Risks and Solutions.” Segurança hoje. 13 de janeiro de 2020.
Termos chave
Uma consulta DNS recursiva é realizada (se o servidor DNS permitir consultas recursivas) quando um DNS
o servidor não é autoritativo para um domínio de destino. O servidor DNS não autoritativo
obtém o endereço IP do servidor DNS autorizado para o domínio de destino e envia
a solicitação de DNS original para esse servidor a ser resolvida.
DNS sobre HTTPS (DOH) usa o protocolo HTTPS para criptografar o tráfego DNS.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 73/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição85
https://securitytoday.com/Articles/2020/01/13/The-IoT-Rundown-for-2020.
Página 98
86 PALO ALTO NETWORKS, INC.®
As tecnologias de conectividade IoT são amplamente categorizadas da seguinte forma:
• Celular:
• 2G / 2,5G. Devido ao baixo custo dos módulos 2G, vida útil da bateria relativamente longa e
grande base instalada de sensores 2G e aplicativos M2M, conectividade 2G
continua a ser uma opção de conectividade IoT predominante e viável.
• 3G. Os dispositivos IoT com módulos 3G usam Múltipla Divisão de Código de Banda Larga
Acesso (W-CDMA) ou Acesso de pacote de alta velocidade evoluído (HSPA + e avançado
HSPA +) para atingir taxas de transferência de dados entre 384 Kbps e 168 Mbps.
• 4G / Evolução de longo prazo (LTE). Redes 4G / LTE permitem casos de uso de IoT em tempo real,
como veículos autônomos, com 4G LTE Advanced Pro entregando velocidades em
excesso de 3Gbps e menos de 2 milissegundos de latência.
• 5G. A tecnologia celular 5G oferece melhorias significativas em comparação com
Redes 4G / LTE e é apoiado por ultrabaixa latência, conectividade massiva e
escalabilidade para dispositivos IoT, uso mais eficiente do espectro licenciado e rede
divisão para priorização de tráfego de aplicativos.
• Satélite:
• C-band. O satélite de banda C opera na faixa de 4 a 8 gigahertz (GHz). É usado em
alguns dispositivos Wi-Fi e telefones sem fio, bem como vigilância e clima
sistemas de radar.
• Banda L. O satélite de banda L opera na faixa de 1 a 2 GHz. É comumente usado para
radares, sistemas de posicionamento global (GPSs), rádio e telecomunicações
formulários.
Termos chave
Dispositivos máquina a máquina (M2M) são dispositivos em rede que trocam dados e podem
executar ações sem interação humana manual.
Multi-access edge computing (MEC) é definido pela European Telecommunications
Standards Institute (ETSI) como um ambiente "caracterizado por latência ultrabaixa e alta
largura de banda, bem como acesso em tempo real às informações da rede de rádio que podem ser aproveitadas por
formulários."
Página 99
• Sem fio de curto alcance:
• Adaptive Network Technology + (ANT +). ANT + é um multicast proprietário
tecnologia de rede de sensor sem fio usada principalmente em wearables pessoais, como
como sensores de esportes e fitness.
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://securitytoday.com/Articles/2020/01/13/The-IoT-Rundown-for-2020
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 74/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição87
• Bluetooth / Bluetooth de baixa energia (BLE). Bluetooth é um dispositivo de baixo consumo e curto alcance
tecnologia de comunicação projetada principalmente para ponto a ponto
comunicações entre dispositivos sem fio em uma topologia hub-and-spoke. BLE
(também conhecido como Bluetooth Smart ou Bluetooth 4.0+) dispositivos consomem significativamente
menos energia do que dispositivos Bluetooth e pode acessar a internet diretamente por meio
Conectividade 6LoWPAN.
• Protocolo de Internet versão 6 (IPv6) em área pessoal sem fio de baixa potência
Redes (6LoWPAN). 6LoWPAN permite IPv6 (discutido nas seções 2.1 e
2.1.1) tráfego a ser transportado em redes mesh sem fio de baixa potência. 6LoWPAN é
projetado para nós e aplicativos que requerem conectividade sem fio à Internet em
taxas de dados relativamente baixas em formatos pequenos, como lâmpadas inteligentes e
medidores inteligentes.
• Wi-Fi / 802.11. O Instituto de Engenheiros Elétricos e Eletrônicos (IEEE) define
os padrões do protocolo 802 LAN. 802.11 é o conjunto de padrões usados para Wi-Fi
redes operando normalmente nas bandas de frequência de 2,4 GHz e 5 GHz. Alguns
as implementações mais comuns hoje incluem:
• 802.11n (rotulado como Wi-Fi 4 pela Wi-Fi Alliance), que opera em ambos
Bandas de 2,4 GHz e 5 GHz em faixas de 54 megabits por segundo (Mbit / s)
a 600Mbit / s
• 802.11ac (Wi-Fi 5), que opera na banda de 5 GHz em faixas de
433Mbit / s a 3,46 gigabits por segundo (Gbit / s)
• 802.11ax (Wi-Fi 6), que opera nas bandas de 2,4 GHz e 5 GHz (como
bem como todas as bandas entre 1 e 6 GHz, quando estiverem disponíveis para
802.11 use) em intervalos de até 11 Gbit / s
• Z-Wave. Z-Wave é um protocolo de rede mesh sem fio de baixa energia usado principalmente
para aplicações de automação residencial, como eletrodomésticos inteligentes, controle de iluminação,
sistemas de segurança, termostatos inteligentes, janelas e fechaduras e portas de garagem.
Página 100
• Zigbee / 802.14. ZigBee é um protocolo de rede mesh sem fio de baixo custo e baixa potência
baseado no padrão IEEE 802.15.4. ZigBee é o protocolo dominante na baixa
mercado de redes de energia, com grande base instalada em ambientes industriais
e produtos domésticos inteligentes.
• WAN de baixa potência (LP-WAN) e outra WAN sem fio (WWAN):
• IoT de banda estreita (NB-IoT). NB-IoT oferece baixo custo, bateria de longa duração e alta
densidade de conexão para aplicações internas. Ele usa um subconjunto do padrão LTE em
a faixa de 200 quilohertz (kHz).
• LoRa. A LoRa Alliance está conduzindo a rede de longa distância de longo alcance
(LoRaWAN) como o padrão global aberto para IoT segura e de nível de operadora
conectividade de área ampla de baixa energia (LPWA), principalmente para o público de grande escala
redes com uma única operadora.
• Sigfox. Sigfox fornece conectividade LPWA celular global baseada em assinatura para
Dispositivos IoT. A rede Sigfox depende da modulação Ultra Narrowband (UNB)
e opera em bandas de frequência sub-GHz não licenciadas.
• Interoperabilidade mundial para acesso de micro-ondas (WiMAX). WiMAX é uma família
dos padrões de comunicação de banda larga sem fio com base no IEEE 802.16
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 75/254
88 PALO ALTO NETWORKS, INC.®
padrões. As aplicações WiMAX incluem conectividade de banda larga móvel portátil,
smart grids e medição e failover de Internet para a continuidade dos negócios.
Identidade das Coisas (IDoT) refere-se a soluções de gerenciamento de identidade e acesso (IAM) para a IoT.
Essas soluções devem ser capazes de gerenciar de humano para dispositivo, dispositivo para dispositivo e / ou dispositivo para
serviço / sistema IAM por:
• Estabelecer um sistema de nomenclatura para dispositivos IoT.
• Determinar um ciclo de vida de identidade para dispositivos IoT, garantindo que ele pode ser modificado para
cumprir a vida útil projetada dos dispositivos IoT.
• Criação de um processo bem definido para registrar dispositivos IoT. O tipo de dados que o
dispositivo estará transmitindo e recebendo deve moldar o processo de registro.
• Definir proteções de segurança parafluxos de dados de dispositivos IoT.
• Delineando processos de autenticação e autorização bem definidos para admin local
acesso aos dispositivos conectados.
Página 101
• Criação de salvaguardas para proteger diferentes tipos de dados, certificando-se de criar privacidade
salvaguardas para informações de identificação pessoal (PII).
Embora a IoT abra a porta para novas abordagens e serviços inovadores em todos os setores, ela
também apresenta novos riscos de segurança cibernética. De acordo com pesquisa realizada pela Palo Alto
Equipe de inteligência de ameaças da Unidade 42 de Redes, a postura geral de segurança dos dispositivos IoT é
declinando, deixando as organizações vulneráveis a novos malwares direcionados à IoT, bem como a ataques mais antigos
técnicas que as equipes de TI há muito esqueceram. As principais descobertas incluem:
• Os dispositivos IoT não são criptografados e não são protegidos. Noventa e oito por cento de todos os dispositivos IoT
o tráfego não é criptografado, expondo dados pessoais e confidenciais na rede.
Atacantes que contornaram com sucesso a primeira linha de defesa (mais frequentemente via
ataques de phishing) e C2 estabelecido são capazes de escutar o tráfego de rede não criptografado,
coletar informações pessoais ou confidenciais e, em seguida, explorar esses dados para obter lucro no
dark web.
Cinquenta e sete por cento dos dispositivos IoT são vulneráveis a ataques de média ou alta gravidade,
tornando a IoT o fruto mais fácil para os invasores. Por causa do nível de patch geralmente baixo
de ativos de IoT, os ataques mais frequentes são explorações por meio de vulnerabilidades conhecidas e
ataques de senha usando senhas de dispositivo padrão.
• Os dispositivos Internet of Medical Things (IoMT) estão executando softwares desatualizados. Oitenta e três
por cento dos dispositivos de imagens médicas são executados em sistemas operacionais sem suporte, o que é um
56 por cento de salto desde 2018, como resultado do sistema operacional Windows 7 alcançando seu
fim da vida. Este declínio geral na postura de segurança abre a porta para novos ataques, como
como criptojacking (que aumentou de 0 por cento em 2017 para 5 por cento em 2019) e
traz de volta ataques há muito esquecidos, como o Conficker, que os ambientes de TI tinham
anteriormente era imune há muito tempo.
Os dispositivos IoMT com mais problemas de segurança são sistemas de imagem, que representam um
parte crítica do fluxo de trabalho clínico. Para organizações de saúde, 51 por cento das ameaças
envolvem dispositivos de imagem, interrompendo a qualidade do atendimento e permitindo que os invasores
exfiltrar os dados do paciente armazenados nesses dispositivos.
• As organizações de saúde estão exibindo uma higiene de segurança de rede deficiente. Setenta e dois
por cento das VLANs de saúde combinam IoT e ativos de TI, permitindo que malware se espalhe de
computadores dos usuários a dispositivos IoT vulneráveis na mesma rede. Existe um 41 por cento
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 76/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição89
taxa de ataques que exploram vulnerabilidades de dispositivos, à medida que ataques de TI fazem a varredura
dispositivos conectados à rede em uma tentativa de explorar pontos fracos conhecidos. Estamos vendo um
Página 102
90 PALO ALTO NETWORKS, INC.®
mudança de botnets IoT conduzindo ataques de negação de serviço para ataques mais sofisticados
visando identidades de pacientes, dados corporativos e lucro monetário por meio de ransomware.
• Ataques cibernéticos com foco em IoT têm como alvo protocolos legados. Existe uma evolução de
ameaças que visam dispositivos IoT usando novas técnicas, como ponto a ponto C2
comunicações e recursos semelhantes a vermes para autopropagação. Os atacantes reconhecem o
vulnerabilidade de protocolos de tecnologia operacional (OT) herdados com décadas de idade, como
Imagem Digital e Comunicações em Medicina (DICOM) e pode atrapalhar
funções de negócios na organização.
2.0 Verificação de Conhecimento
Teste sua compreensão dos fundamentos da seção anterior. Reveja o correto
respostas no Apêndice A.
1. Preencha o espaço em branco. UMA envia pacotes de dados para redes de destino
ao longo de um caminho de rede usando endereços lógicos.
2. Múltipla escolha. Qual opção é um exemplo de protocolo de roteamento estático? (Escolher
1.)
a) Abra o caminho mais curto primeiro (OSPF)
b) Border Gateway Protocol (BGP)
c) Routing Information Protocol (RIP)
d) horizonte dividido
3. Múltipla escolha. Quais são as três opções de protocolos de roteamento dinâmico? (Escolha três.)
a) vetor de distância
b) vetor de caminho
c) link-state
d) ponto a ponto
4. Verdadeiro ou falso. A Internet é um exemplo de rede de longa distância (WAN).
5. Preencha o espaço em branco. O é um distribuído, hierárquico
banco de dados da Internet que mapeia FQDNs para endereços IP.
Página 103
2.0.7 IoT Guardian
Zingbox IoT Guardian é uma oferta de segurança de IoT da Palo Alto Networks que automatiza o
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 77/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição91
orquestração do ciclo de vida da IoT para fornecer segurança, gerenciamento e otimização de todos
ativos. O Zingbox IoT Guardian usa uma abordagem única baseada na personalidade da IoT para proteger e
gerenciar dispositivos IoT com segurança IoT integrada baseada em aprendizado de máquina em toda
todo o seu ciclo de vida, desde a descoberta até a aposentadoria. Ele permite que os clientes automatizem
detecção de ameaças e resposta para suas infraestruturas de TI e IoT a partir de um único sistema.
2.1 Endereçamento Físico, Lógico e Virtual
O endereçamento físico, lógico e virtual em redes de computadores requer uma compreensão básica de
numeração decimal (base10), binária (base2) e hexadecimal (base16) (consulte a Tabela 2-1).
O sistema de numeração decimal (base10) é, obviamente, o que todos nós aprendemos na escola. Isto
compreende os numerais de 0 a 9. Após o número 9, adicionamos um dígito (“1”) nas “dezenas”
posição e comece novamente em zero na posição "uns", criando assim o número 10.
Os humanos usam o sistema de numeração decimal porque temos dez dedos, então uma base 10
sistema de numeração é mais fácil para os humanos entenderem.
Tabela 2-1
Notação decimal, hexadecimal e binária
Decimal Hexadecimal Binário
0 0 0000
1 1 0001
2 2 0010
3 3 0011
4 4 0100
5 5 0101
6 6 0110
7 7 0111
8 8 1000
9 9 1001
10 UMA 1010
11 B 1011
Página 104
12 C 1100
13 D 1101
14 E 1110
15 F 1111
Um sistema de numeração binário (base2) compreende apenas dois dígitos: 1 (“ativado”) e 0 (“desativado”). Binário
numeração é usada em computadores e redes porque eles usam transistores elétricos (em vez
do que os dedos) para contar. A função básica de um transistor é uma porta: quando a corrente elétrica é
presente, o portão está fechado (“1” ou “ligado”). Quando nenhuma corrente elétrica está presente, o portão está aberto
(“0” ou “desligado”). Com apenas dois dígitos, um sistema de numeração binária aumenta para a próxima posição
com mais freqüência do que um sistema de numeração decimal. Por exemplo, o número decimal um é
representado em binário como "1", o número dois é representado como "10", o número três é representado
como “11” e o número quatro é representado como “100”.
Um sistema de numeração hexadecimal (base16) compreende 16 dígitos (0 a 9, e A a F).
A numeração hexadecimal é usada porque é mais conveniente representar um byte (que
consiste em 8 bits) de dados como dois dígitos em hexadecimal, em vez de oito dígitos em binário. O
os números decimais de 0 a 9 são representados em hexadecimal “0” a “9”, respectivamente.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 78/254
92 PALO ALTO NETWORKS, INC.®
No entanto, o númerodecimal 10 é representado em hexadecimal como "A", o número 11 é
representado como "B", o número 12 é representado como "C", o número 13 é representado como "D",
o número 14 é representado como “E” e o número 15 é representado como “F.” O número 16
em seguida, aumenta para a próxima posição numérica, representada como “10”.
O endereço físico de um dispositivo de rede, conhecido como endereço de controle de acesso à mídia (MAC) (também
referido como um endereço gravado [BIA] ou endereço de hardware), é usado para encaminhar o tráfego em um
segmento de rede local. O endereço MAC é um identificador único de 48 bits atribuído à rede
adaptador de um dispositivo. Se um dispositivo tiver vários NICs, cada NIC deve ter um endereço MAC exclusivo.
O endereço MAC é geralmente atribuído pelo fabricante do dispositivo e é armazenado no dispositivo
memória somente leitura (ROM) ou firmware. Os endereços MAC são normalmente expressos em hexadecimal
formato com dois pontos ou hífen separando cada seção de 8 bits. Um exemplo de um MAC de 48 bits
o endereço é:
00: 40: 96: 9d: 68: 16
O endereço lógico de um dispositivo de rede, como um endereço IP, é usado para rotear o tráfego de um
rede para outra. Um endereço IP é um endereço único de 32 ou 128 bits (IPv4 e IPv6, respectivamente)
endereço atribuído à NIC de um dispositivo. Se um dispositivo tiver vários NICs, cada NIC pode ser atribuído
um endereço IP exclusivo ou vários NICs podem ser atribuídos a um endereço IP virtual para permitir a largura de banda
recursos de agregação ou failover. Os endereços IP são estáticos ou dinamicamente (mais comumente
Página 105
usando protocolo de configuração dinâmica de host ou DHCP) atribuído, normalmente por uma rede
administrador ou provedor de serviços de rede (NSP). Os endereços IPv4 são geralmente expressos em pontos
notação decimal com um ponto separando cada seção decimal (conhecida como octeto ). Um exemplo
de um endereço IPv4 é:
192.168.0.1
Os endereços IPv6 são normalmente expressos em formato hexadecimal (32 números hexadecimais
agrupados em oito blocos) com dois pontos separando cada bloco de quatro dígitos hexadecimais (conhecidos
como um hexteto ). Um exemplo de endereço IPv6 é:
2001: 0db8: 0000: 0000: 0008: 0800: 200c: 417a
O endereçamento IPv4 e IPv6 é explicado com mais detalhes na Seção 2.1.1.
O protocolo de resolução de endereços (ARP) traduz um endereço lógico, como um endereço IP, em um
endereço MAC físico. Protocolo de resolução de endereço reverso (RARP) traduz um MAC físico
endereço para um endereço lógico.
Termos chave
Um endereço de controle de acesso à mídia (MAC) é um identificador exclusivo de 48 ou 64 bits atribuído a um
placa de interface de rede (NIC) para comunicações na camada de enlace de dados do modelo OSI
(discutido na Seção 2.2.1).
O protocolo de configuração dinâmica de hosts (DHCP) é um protocolo de gerenciamento de rede que
atribui dinamicamente (aluga) endereços IP e outros parâmetros de configuração de rede (como
como gateway padrão e informações de DNS) para dispositivos em uma rede.
Um gateway padrão é um dispositivo de rede, como um roteador ou switch, para o qual um ponto de extremidade
envia tráfego de rede quando um endereço IP de destino específico não é especificado por um aplicativo
ou serviço, ou quando o terminal não sabe como chegar a um destino especificado.
Um octeto é um grupo de 8 bits em um endereço IPv4 de 32 bits.
Um hextet é um grupo de quatro dígitos hexadecimais de 4 bits em um endereço IPv6 de 128 bits.
O protocolo de resolução de endereços (ARP) traduz um endereço lógico, como um endereço IP, em um
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 79/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição93
endereço MAC físico. Protocolo de resolução de endereço reverso (RARP) traduz um MAC físico
endereço para um endereço lógico.
Página 106
94 PALO ALTO NETWORKS, INC.®
DHCP é um protocolo de gerenciamento de rede usado para atribuir endereços IP dinamicamente a dispositivos
que não têm um endereço IP atribuído estaticamente (configurado manualmente) em uma rede TCP / IP.
O protocolo Bootstrap (BOOTP) é um protocolo de gerenciamento de rede semelhante que é comumente usado
em redes TCP / IP Unix e Linux. Quando um dispositivo conectado à rede que não possui um
o endereço IP atribuído estaticamente é ligado, o software cliente DHCP nas transmissões do dispositivo
uma mensagem DHCPDISCOVER na porta UDP 67. Quando um servidor DHCP na mesma sub-rede (ou um
sub-rede diferente se um DHCP Helper ou DHCP Relay Agent estiver configurado) conforme o cliente recebe o
Mensagem DHCPDISCOVER, ele reserva um endereço IP para o cliente e envia um DHCPOFFER
mensagem para o cliente na porta UDP 68. A mensagem DHCPOFFER contém o endereço MAC de
o cliente, o endereço IP que está sendo oferecido, a máscara de sub-rede, a duração da concessão e o IP
endereço do servidor DHCP que fez a oferta. Quando o cliente recebe o DHCPOFFER, ele
transmite uma mensagem DHCPREQUEST na porta UDP 67, solicitando o endereço IP que foi
oferecido. Um cliente pode receber mensagens DHCPOFFER de vários servidores DHCP em uma sub-rede
mas pode aceitar apenas uma oferta. Quando a mensagem DHCPREQUEST é transmitida, o outro DHCP
servidores que enviaram uma oferta que não foi solicitada (em vigor, aceita) no DHCPREQUEST
mensagem retirará suas ofertas. Finalmente, quando o servidor DHCP correto recebe o
Mensagem DHCPREQUEST, ele envia uma mensagem DHCPACK (confirmação) na porta UDP 68, e
o processo de configuração de IP está concluído (consulte a Figura 2-1).
Figura 2-1
Página 107
Operação DHCP
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 80/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição95
A tradução de endereços de rede (NAT) virtualiza endereços IP mapeando IP privado não roteável
endereços (discutidos na Seção 2.1.1) que são atribuídos a dispositivos de rede interna para IP público
endereços quando a comunicação pela Internet é necessária. NAT é comumente implementado
em firewalls e roteadores para conservar endereços IP públicos.
Página 108
2.1.1 Noções básicas de endereçamento IP
Os pacotes de dados são roteados por um protocolo de controle de transmissão / protocolo de Internet (TCP / IP)
rede usando informações de endereçamento IP. IPv4, que é a versão de IP mais amplamente implantada,
consiste em um endereço IP lógico de 32 bits. Os primeiros quatro bits em um octeto são conhecidos como ordem superior
bits; o primeiro bit no octeto é conhecido como o bit mais significativo . Os últimos quatro bits em um
octeto são conhecidos como bits de ordem inferior ; o último bit no octeto é referido como o mínimo
bit significativo .
Conforme mostrado na Tabela 2-2, cada posição de bit representa seu valor se o bit estiver “ligado” (1); caso contrário, o
o valor do bit é zero (“desligado” ou 0).
Termos chave
A tradução de endereços de rede (NAT) virtualiza endereços IP mapeando privados, não roteáveis
Endereços IP atribuídos a dispositivos de rede interna para endereços IP públicos.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 81/254
96 PALO ALTO NETWORKS, INC.®
Tabela 2-2
Valores de posição de bit em um endereço IPv4
Bits de alta ordem Bits de baixa ordem
128 64 32 16 8 4 2 1
Cada octeto contém um número de 8 bits com um valor de 0 a 255. A Tabela 2-3 mostra uma lista parcial de
valores de octeto em notação binária.
Termos chave
Os primeiros quatro bits em um octeto de endereço IPv4 de 32 bits são chamados de bits de ordem superior .
Os últimos quatro bits em um octeto de endereço IPv4 de 32 bits são chamados de bits de ordem inferior .
O primeiro bit em um octeto de endereço IPv4 de 32 bits é conhecido como o bit mais significativo .
O último bit em um octeto de endereço IPv4 de 32 bits é conhecido como o bit menos significativo .
Página 109
Tabela 2-3Notação binária de valores de octeto
Decimal Binário Decimal Binário Decimal Binário
255 1111 1111 172 1010 1100 64 0100 0000
254 1111 1110 170 1010 1010 32 0010 0000
253 1111 1101 160 1010 0000 16 0001 0000
252 1111 1100 150 1001 0110 8 0000 1000
251 1111 1011 140 1000 1100 7 0000 0111
250 1111 1010 130 1000 0010 6 0000 0110
249 1111 1001 128 1000 0000 5 0000 0101
248 1111 1000 120 0111 1000 4 0000 0100
224 1110 0000 110 0110 1110 3 0000 0011
200 1100 1000 100 0110 0100 2 0000 0010
192 1100 0000 96 0110 0000 1 0000 0001
180 1011 0100 90 0101 1010 0 0000 0000
As cinco classes de endereço IPv4 (indicadas pelos bits de ordem superior) são mostradas na Tabela 2-4.
Tabela 2-4
Classes de endereço IP
Aula Propósito Bits de alta ordem Intervalo de endereços Máx. # dos hospedeiros
UMA Grandes redes 0 1 a 126 16.777.214
B Redes de médio porte 10 128 a 191 65.534
C Redes pequenas 110 192 a 223 254
D Multicast 1110 224 a 239 ─
E Experimental 1111 240 a 254 ─
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 82/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição97
O intervalo de endereços de 127.0.0.1 a 127.255.255.255 é uma rede de loopback usada para teste e
solução de problemas. Os pacotes enviados para um endereço de loopback (ou localhost) - como 127.0.0.1 - são
imediatamente roteado de volta para o dispositivo de origem.
Uma máscara de sub-rede é um número que oculta a parte da rede de um endereço IPv4, deixando apenas o
parte do host do endereço IP. A parte da rede de uma máscara de sub-rede é representada por
Página 110
98 PALO ALTO NETWORKS, INC.®
bits “on” (1) contíguos começando com o bit mais significativo. Por exemplo, na sub-rede
máscara 255.255.255.0, os três primeiros octetos representam a parte da rede e o último octeto
representa a parte do host de um endereço IP. Lembre-se de que o número decimal 255 é representado
em notação binária como 1111 1111 (consulte a Tabela 2-2).
As máscaras de sub-rede padrão (ou padrão) para redes Classe A, B e C são:
Classe A: 255.0.0.0
Classe B: 255.255.0.0
Classe C: 255.255.255.0
Vários intervalos de endereços IPv4 são reservados para uso em redes privadas e não são roteáveis em
a internet, incluindo:
10.0.0.0–10.255.255.255 (Classe A)
172.16.0.0–172.31.255.255 (Classe B)
192.168.0.0–192.168.255.255 (Classe C)
O espaço de endereço de 32 bits de um endereço IPv4 limita o número total de IPs públicos exclusivos
endereços para cerca de 4,3 bilhões. O uso generalizado de NAT (discutido na Seção 2.1) atrasou o
esgotamento inevitável de endereços IPv4, mas, a partir de 2018, o pool de endereços IPv4 disponíveis que
pode ser atribuído a organizações foi oficialmente esgotado. (Um pequeno grupo de endereços IPv4
foi reservado por cada registro regional da Internet para facilitar a transição para IPv6.) IPv6
endereços, que usam um espaço de endereço hexadecimal de 128 bits, fornecendo cerca de 3,4 x 10 38 (340
cem undecillion) endereços IP exclusivos, foi criado para substituir o IPv4 quando o endereço IPv4
o espaço estava esgotado.
Os endereços IPv6 consistem em 32 números hexadecimais agrupados em oito hextetos de quatro
dígitos hexadecimais, separados por dois pontos. Um dígito hexadecimal é representado por 4 bits (consulte
Tabela 2-1), então cada hexteto tem 16 bits (quatro dígitos hexadecimais de 4 bits) e oito hextetos de 16 bits
é igual a 128 bits.
Termos chave
Uma máscara de sub-rede é um número que oculta a parte da rede de um endereço IPv4, deixando apenas
a parte do host do endereço IP.
Página 111
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 83/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição99
Um endereço IPv6 é dividido em dois segmentos de 64 bits: O primeiro (também conhecido como o
“Superior” ou “superior”) 64 bits representam a parte da rede do endereço, e o último (também referido
como "inferior" ou "inferior") 64 bits representam o nó ou parte da interface do endereço. O
parte da rede é subdividida em um endereço de rede global de 48 bits e uma sub-rede de 16 bits. O
nó ou parte da interface do endereço é baseada no endereço MAC (discutido na Seção 2.1) de
o nó ou interface.
O formato básico para um endereço IPv6 é:
xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx
onde x representa um dígito hexadecimal (0 – f).
Este é um exemplo de endereço IPv6:
2001: 0db8: 0000: 0000: 0008: 0800: 200c: 417a
A Internet Engineering Task Force (IETF) definiu várias regras para simplificar um endereço IPv6:
• Zeros à esquerda em um hexteto individual podem ser omitidos, mas cada hexteto deve ter pelo menos
um dígito hexadecimal, exceto conforme observado na próxima regra. Aplicando esta regra ao
o exemplo anterior produz este resultado: 2001: db8: 0: 0: 8: 800: 200c: 417a.
• Dois dois pontos (: :) podem ser usados para representar um ou mais grupos de 16 bits de zeros, e
zeros à esquerda ou à direita em um endereço; os dois pontos (: :) podem aparecer apenas uma vez em um
Endereço IPv6. Aplicar esta regra ao exemplo anterior produz este resultado:
2001: db8 :: 8: 800: 200c: 417a.
• Em ambientes IPv4 e IPv6 mistos, o formato x: x: x: x: x; x: dddd pode ser usado, no qual x
representa os seis hextetos de 16 bits de alta ordem do endereço e d representa os quatro
octetos de 8 bits de ordem inferior (na notação IPv4 padrão) do endereço. Por exemplo,
0db8: 0: 0: 0: 0: FFFF: 129.144.52.38 é um endereço IPv6 válido. Aplicação das duas anteriores
regras para este exemplo produzem este resultado: db8 :: ffff: 129.144.52.38.
Os recursos de segurança IPv6 são especificados na solicitação de comentários (RFC) 7112 e incluem técnicas
para evitar explorações de fragmentação em cabeçalhos IPv6 e implementação de protocolo de Internet
Segurança (IPsec, discutido na Seção 2.3.4.6) na camada de rede do modelo OSI (discutido em
Seção 2.2.1).
2.1.2 Introdução às sub-redes
Sub - rede é uma técnica usada para dividir uma grande rede em várias sub-redes menores por
segmentar um endereço IP em duas partes: a rede e o host. Sub-redes podem ser usadas para
Página 112
limitar o tráfego de rede ou limitar o número de dispositivos que são visíveis ou podem se conectar a cada um
outro. Os roteadores examinam os endereços IP e os valores de sub-rede (chamados de máscaras) e determinam se
para encaminhar pacotes entre redes. Com o endereçamento IP, a máscara de sub-rede é necessária
elemento.
Para um endereço IPv4 de classe C, existem 254 endereços de nó (ou host) possíveis (2 8 ou 256 possíveis
endereços, mas você perde dois endereços para cada rede: um para o endereço de rede base e
o outro para o endereço de broadcast). Uma rede típica de Classe C usa uma sub-rede padrão de 24 bits
máscara (255.255.255.0). Este valor de máscara de sub-rede identifica a parte da rede de um IPv4
endereço, com os três primeiros octetos sendo todos uns (11111111 em notação binária, 255 em decimal
Termos chave
Sub - redes é uma técnica usada para dividir uma grande rede em sub-redes menores.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 84/254
100 PALO ALTO NETWORKS, INC.®
notação). A máscara exibe o último octeto como zero (00000000 em notação binária). Para uma classe C
Endereço IPv4 com a máscara de sub-rede padrão, o último octeto é onde os valores específicos do nó de
os endereços IPv4 são atribuídos.
Por exemplo, em uma rede com um endereço IPv4 de 192.168.1.0 e um valor de máscara de
255.255.255.0, a parte da rede do endereço é 192.168.1 e há 254 nós
endereços (192.168.1.1 a 192.168.1.254) disponíveis. Lembre-se, o primeiro endereço
(192.168.1.0) é a rede de base, e o último endereço (192.168.1.255) é a transmissão
Morada.
Endereços IPv4 de classe A e classe B usam valores de máscara menores e suportam um número maior de
nós do que os endereços IPv4 de classe C para suas atribuições de endereço padrão. Redes de classe A usamum
máscara de sub-rede padrão de 8 bits (255.0.0.0), que fornece um total de mais de 16 milhões (256 x 256
x 256) endereços de nó IPv4 disponíveis. Redes de classe B usam uma sub-rede padrão de 16 bits (255.255.0.0)
máscara, que fornece um total de 65.534 (256 x 256, menos o endereço de rede e o
endereço de transmissão) endereços de nó IPv4 disponíveis.
Ao contrário da sub-rede, que divide um endereço IPv4 ao longo de um classful arbitrário (padrão) de 8 bits
limite (8 bits para uma rede Classe A, 16 bits para uma rede Classe B, 24 bits para uma rede Classe C
rede), o roteamento entre domínios sem classes (CIDR) aloca espaço de endereço em qualquer bit de endereço
limite (conhecido como mascaramento de sub-rede de comprimento variável ou VLSM). Por exemplo, usando CIDR, uma classe
Uma rede pode ser atribuída a uma máscara de 24 bits (255.255.255.0, em vez do padrão de 8 bits
Máscara 255.0.0.0) para limitar a sub-rede a apenas 254 endereços ou uma máscara de 23 bits (255.255.254.0) para
limitar a sub-rede a 512 endereços.
Página 113
CIDR é usado para reduzir o tamanho das tabelas de roteamento em roteadores de internet agregando vários
prefixos de rede contíguos (conhecido como supernetting ), e também ajuda a retardar o esgotamento de
endereços IPv4 públicos (discutidos na Seção 2.1.1).
Um endereço IP pode ser representado com seu valor de máscara de sub-rede, usando “netbit” ou notação CIDR. UMA
o valor netbit representa o número de unidades na máscara de sub-rede e é exibido após um IP
endereço, separado por uma barra. Por exemplo, 192.168.1.0/24 representa uma máscara de sub-rede
consistindo em 24 unidades:
11111111.11111111.11111111.00000000 (em notação binária)
ou
255.255.255.0 (em notação decimal)
Termos chave
Roteamento entre domínios sem classes (CIDR) é um método para alocar endereços IP e roteamento IP
que substitui o endereçamento IP classful (por exemplo, redes Classe A, B e C) por IP classless
endereçamento.
O mascaramento de sub-rede de comprimento variável (VLSM) é uma técnica que permite que os espaços de endereço IP sejam
dividido em tamanhos diferentes.
A super-rede agrega várias redes menores contíguas em uma rede maior para
permitir um roteamento de internet mais eficiente.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 85/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição101
Página 114
102 PALO ALTO NETWORKS, INC.®
2.2 Encapsulamento e Ciclo de Vida de Pacotes
Em uma rede comutada por circuito , um caminho de circuito físico dedicado é estabelecido, mantido e
terminada entre o remetente e o receptor em uma rede para cada comunicação
sessão. Antes do desenvolvimento da internet, a maioria das redes de comunicação, como
redes da companhia telefônica, foram comutadas por circuito. Conforme discutido na Seção 2.0.1, a internet
é uma rede comutada por pacotes que compreende centenas de milhões de roteadores e bilhões de servidores
e endpoints do usuário. Em uma rede comutada por pacotes, os dispositivos compartilham largura de banda em
links de comunicação para transportar pacotes entre um emissor e um receptor em uma rede.
Esse tipo de rede é mais resistente a erros e congestionamentos do que as redes comutadas por circuito.
2.1 Verificação de Conhecimento
Teste sua compreensão dos fundamentos da seção anterior. Reveja o correto
respostas no Apêndice A.
1. Múltipla escolha. Qual opção é um exemplo de endereço lógico? (Escolha um.)
a) endereço IP
b) endereço de hardware
c) endereço MAC
d) endereço queimado
2. Preencha o espaço em branco. Um endereço IPv4 consiste em octetos de quatro bits.
3. Preencha o espaço em branco. é uma técnica usada para dividir um grande
rede em sub-redes menores, segmentando um endereço IPv4 na rede e
porções hospedeiras.
Termos chave
Em uma rede comutada por circuito , um caminho de circuito físico dedicado é estabelecido, mantido,
e terminados entre o remetente e o receptor em uma rede para cada
sessão de comunicações.
Em uma rede comutada por pacotes , os dispositivos compartilham largura de banda em links de comunicação para
transportar pacotes entre o emissor e o receptor em uma rede.
Página 115
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 86/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição103
Um aplicativo que precisa enviar dados pela rede (por exemplo, de um servidor para um
computador cliente) primeiro cria um bloco de dados e o envia para a pilha TCP no servidor. O
A pilha TCP coloca o bloco de dados em um buffer de saída no servidor e determina o
tamanho máximo de segmento (MSS) de blocos TCP individuais ( segmentos ) permitidos pelo servidor
sistema operacional. A pilha TCP então divide os blocos de dados em segmentos de tamanho apropriado
(por exemplo, 1460 bytes), adiciona um cabeçalho TCP e envia o segmento para a pilha IP no
servidor. A pilha IP adiciona endereços IP de origem (remetente) e destino (receptor) ao TCP
segmento (que agora é chamado de pacote IP) e notifica o sistema operacional do servidor que ele tem
uma mensagem de saída que está pronta para ser enviada pela rede. Quando o servidor está operando
sistema está pronto, o pacote IP é enviado ao adaptador de rede, que converte o pacote IP em
bits e envia a mensagem pela rede.
No caminho para o computador de destino, os pacotes normalmente atravessam várias redes e
dispositivos de segurança (como switches, roteadores e firewalls) antes de chegar ao destino
computador, onde o processo de encapsulamento descrito é revertido.
2.2.1 Os modelos OSI e TCP / IP
The Open Systems Interconnection (OSI) e Transmission Control Protocol / Internet Protocol
Os modelos (TCP / IP) definem protocolos padrão para comunicação e interoperabilidade de rede.
Usando uma abordagem em camadas, os modelos OSI e TCP / IP:
• Esclarecer as funções gerais dos processos de comunicação
• Reduz processos de rede complexos para subcamadas e componentes mais simples
• Promova a interoperabilidade por meio de interfaces padrão
• Permitir que os fornecedores alterem recursos individuais em uma única camada, em vez de reconstruir o
pilha de protocolo inteira
• Facilitar a solução de problemas lógicos
Termos chave
Um segmento TCP é uma unidade de dados de protocolo (PDU) definida na camada de transporte do modelo OSI.
Uma unidade de dados de protocolo (PDU) é uma unidade independente de dados (consistindo em dados de usuário ou controle
informações e endereçamento de rede).
Página 116
Definido pela Organização Internacional de Padronização (ISO - não é um acrônimo, mas o
adotou o nome organizacional do grego isos , que significa "igual"), o modelo OSI consiste em
sete camadas:
• Aplicação (Camada 7 ou L7). Esta camada identifica e estabelece a disponibilidade de
parceiros de comunicação, determina a disponibilidade de recursos e sincroniza
comunicação. Os protocolos que funcionam na camada de aplicativo incluem:
• Protocolo de transferência de arquivos (FTP). Usado para copiar arquivos de um sistema para outro em
Portas TCP 20 (a porta de dados) e 21 (a porta de controle)
• Protocolo de transferência de hipertexto (HTTP). Usado para comunicação entre web
servidores e navegadores da web na porta TCP 80
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 87/254
104 PALO ALTO NETWORKS, INC.®
• Protocolo de transferência de hipertexto seguro (HTTPS). Usado para Secure Sockets
Layer / Transport Layer Security (SSL / TLS) com comunicações criptografadas entre
servidores da web e navegadores da web na porta TCP 443 (e outras portas, como 8443)
• Internet Message Access Protocol (IMAP). Um correio eletrônico para armazenar e encaminhar
protocolo que permite a um cliente de e-mail acessar, gerenciar e sincronizar e-mail em
um servidor de e-mail remoto na porta TCP e UDP 143
• Post Office Protocol versão 3 (POP3). Um protocolo de recuperação de e-mail que permiteum
cliente de e-mail para acessar e-mail em um servidor de e-mail remoto na porta TCP 110
• Protocolo de transferência de correio simples (SMTP). Usado para enviar e receber e-mail em
a Internet na porta 25 TCP / UDP
• Protocolo de gerenciamento de rede simples (SNMP). Usado para coletar rede
informações por assembleias de voto e envio de armadilhas (ou alertas) para uma gestão
estação nas portas TCP / UDP 161 (agente) e 162 (gerente)
• Telnet. Fornece emulação de terminal para acesso remoto aos recursos do sistema em
Porta TCP / UDP 23
• Apresentação (Camada 6 ou L6). Esta camada fornece funções de codificação e conversão (como
como representação de dados, conversão de caracteres, compressão de dados e criptografia de dados) para
garantir que os dados enviados da camada de aplicativo de um sistema sejam compatíveis com o
Camada de aplicação do sistema receptor. Protocolos que funcionam na apresentação
camada inclui:
Página 117
• Código Padrão Americano para Intercâmbio de Informações (ASCII). Um personagem-
esquema de codificação baseado no alfabeto inglês, consistindo em 128 caracteres
• Código de intercâmbio decimal codificado binário estendido (EBCDIC). Um caractere de 8 bits
esquema de codificação amplamente utilizado em computadores mainframe e de médio porte
• Graphics Interchange Format (GIF). Um formato de imagem bitmap que permite até 256
cores e é adequado para imagens ou logotipos (mas não para fotografias)
• Joint Photographic Experts Group (JPEG). Um método de compressão fotográfica
usado para armazenar e transmitir fotografias
• Motion Picture Experts Group (MPEG). Um método de compressão de áudio e vídeo
usado para armazenar e transmitir arquivos de áudio e vídeo
• Sessão (Camada 5 ou L5). Esta camada gerencia as sessões de comunicação (solicitações de serviço
e respostas de serviço) entre sistemas em rede, incluindo conexão
estabelecimento, transferência de dados e liberação de conexão. Protocolos que funcionam no
A camada de sessão inclui:
• Sistema de arquivos de rede (NFS). Facilita o acesso transparente do usuário ao remoto
recursos em uma rede TCP / IP baseada em Unix
• Chamada de procedimento remoto (RPC). Um protocolo de redirecionamento de rede cliente-servidor
• Secure Shell (SSH). Estabelece um túnel criptografado entre um cliente e um
servidor
• Protocolo de iniciação de sessão (SIP). Um padrão de protocolo de sinalização aberto para
estabelecer, gerenciar e encerrar comunicações em tempo real (como
voz, vídeo e texto) em grandes redes baseadas em IP
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 88/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição105
• Transporte (Camada 4 ou L4). Esta camada fornece transporte de dados transparente e confiável e
controle de transmissão ponta a ponta. As funções específicas da camada de transporte incluem:
• Controle de fluxo. Gerencia a transmissão de dados entre dispositivos, garantindo que o
dispositivo transmissor não envia mais dados do que o dispositivo receptor pode
processar
• Multiplexação. Permite que dados de vários aplicativos sejam simultaneamente
transmitido por um único link físico
Página 118
106 PALO ALTO NETWORKS, INC.®
• Gerenciamento de circuito virtual. Estabelece, mantém e termina o virtual
circuitos
• Verificação e recuperação de erros. Detecta erros de transmissão e toma medidas para
resolver quaisquer erros que ocorram, como solicitar que os dados sejam retransmitidos
Os números das portas TCP e UDP atribuídos a aplicativos e serviços são definidos no
Camada de transporte. Os protocolos que funcionam na camada de transporte incluem:
• Protocolo de controle de transmissão (TCP). Um orientado a conexão (uma conexão direta
entre dispositivos de rede é estabelecido antes que os segmentos de dados sejam transferidos)
protocolo que fornece entrega confiável (segmentos recebidos são confirmados,
e a retransmissão de segmentos ausentes ou corrompidos é solicitada) de dados. TCP
as conexões são estabelecidas por meio de um handshake de três vias . A sobrecarga adicional
associado ao estabelecimento, confirmação e erro da conexão
correção significa que o TCP é geralmente mais lento do que os protocolos sem conexão
como User Datagram Protocol (UDP).
• Protocolo de datagrama do usuário (UDP). Um sem conexão (uma conexão direta entre
os dispositivos de rede não são estabelecidos antes da transferência dos datagramas ) protocolo
que fornece entrega de melhor esforço (datagramas recebidos não são reconhecidos
e datagramas ausentes ou corrompidos não são solicitados) de dados. UDP não tem
sobrecarga associada ao estabelecimento de conexão, confirmação,
sequenciamento ou verificação e recuperação de erros. UDP é ideal para dados que requerem
entrega rápida, desde que os dados não sejam sensíveis à perda de pacotes e não precisem
ser fragmentado. Os aplicativos que usam UDP incluem Sistema de Nome de Domínio
(DNS), protocolo de gerenciamento de rede simples (SNMP) e streaming de áudio ou
vídeo.
• Protocolo de transmissão de controle de fluxo (SCTP). Um protocolo orientado a mensagens
(semelhante ao UDP) que garante transporte confiável em sequência com congestionamento
controle (semelhante ao TCP).
• Rede (Camada 3 ou L3). Esta camada fornece roteamento e funções relacionadas que permitem
dados a serem transportados entre sistemas na mesma rede ou em sistemas interconectados
redes. Os protocolos de roteamento (discutidos na Seção 2.0.3) são definidos nesta camada. Lógico
endereçamento de dispositivos na rede é realizado nesta camada usando
protocolos como o protocolo da Internet (IP). Os roteadores operam na camada de rede do OSI
modelo.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 89/254
Página 119
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição107
• Link de dados (camada 2). Esta camada garante que as mensagens sejam entregues ao dispositivo adequado
através de um link de rede física. Esta camada também define o protocolo de rede (para
exemplo, Ethernet) usado para enviar e receber dados entre dispositivos individuais e
formata mensagens das camadas listadas acima em quadros para transmissão, trata
sincronização ponto a ponto e controle de erros, e pode executar criptografia de link.
Os switches normalmente operam na camada 2 do modelo OSI (embora os switches multicamadas que
operam em camadas diferentes). A camada de Enlace de Dados é dividida em duas
subcamadas:
• Controle de link lógico (LLC). A subcamada LLC fornece uma interface para o MAC
subcamada; gerencia o controle, sequenciamento e reconhecimento de quadros
sendo passado para a camada de rede ou para baixo para a camada física; e
gerencia o tempo e o controle de fluxo .
• Controle de acesso à mídia (MAC). A subcamada MAC é responsável pelo enquadramento e
realiza o controle de erros usando uma verificação de redundância cíclica (CRC), identifica o MAC
endereços (discutidos na Seção 2.1) e controla o acesso à mídia.
• Físico (Camada 1 ou L1). Esta camada envia e recebe bits através do meio de rede
(cabeamento ou links sem fio) de um dispositivo para outro. Ele especifica o elétrico,
requisitos mecânicos e funcionais da rede, incluindo topologia de rede,
cabeamento e conectores e tipos de interface, bem como o processo de conversão de bits para
sinais elétricos (ou de luz) que podem ser transmitidos através do meio físico.
Página 120
Termos chave
No TCP, um handshake de três vias é usado para estabelecer uma conexão. Por exemplo, um PC inicia um
conexão com um servidor enviando um pacote TCP SYN (Sincronizar). O servidor responde com
um pacote SYN ACK (confirmação de sincronização). Finalmente, o PC envia um ACK ou SYN-ACK-
O pacote ACK confirma o reconhecimento do servidor e a comunicação de dados é iniciada.
Um datagrama UDP é um PDU definido na camada de transporte do modelo OSI.
O controle de fluxo monitora o fluxo de dados entre os dispositivos paragarantir que um dispositivo receptor,
que pode não estar necessariamente operando na mesma velocidade que o dispositivo de transmissão,
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 90/254
108 PALO ALTO NETWORKS, INC.®
O modelo TCP / IP foi originalmente desenvolvido pelo Departamento de Defesa dos EUA (DoD) e
realmente precedeu o modelo OSI. Considerando que o modelo OSI é um modelo teórico usado para
descrever logicamente os processos de rede, o modelo TCP / IP define a rede real
requisitos, por exemplo, para a construção de quadros. O modelo TCP / IP consiste em quatro camadas
(veja a Figura 2-2):
• Aplicação (Camada 4 ou L4). Esta camada consiste em aplicativos e processos de rede,
e corresponde vagamente às camadas 5 a 7 do modelo OSI.
• Transporte (Camada 3 ou L3). Esta camada fornece entrega ponta a ponta e corresponde a
Camada 4 do modelo OSI.
• Internet (Camada 2 ou L2). Esta camada define o datagrama IP e o roteamento, e
corresponde à camada 3 do modelo OSI.
• Acesso à rede (Camada 1 ou L1). Também conhecida como camada de Link, esta camada contém
rotinas para acessar redes físicas, e corresponde às camadas 1 e 2 do OSI
modelo.
Figura 2-2
não descartar pacotes.
Uma verificação de redundância cíclica (CRC) é uma soma de verificação usada para criar um perfil de mensagem. O CRC é
recalculado pelo dispositivo receptor. Se o CRC recalculado não corresponder ao CRC recebido,
o pacote é descartado e uma solicitação para reenviar o pacote é transmitida de volta para o dispositivo
que enviou o pacote.
Página 121
O modelo OSI e o modelo TCP / IP
2.2.2 Encapsulamento de dados
Nos modelos OSI e TCP / IP, os dados são transmitidos da camada mais alta (L7 no modelo OSI, L4 em
o modelo TCP / IP) para baixo através de cada camada até a camada mais baixa (L1 no modelo OSI e
modelo TCP / IP). Em seguida, é transmitido através do meio de rede para o nó de destino,
onde é passado para cima da camada mais baixa para a camada mais alta. Cada camada se comunica
apenas com a camada adjacente imediatamente acima e abaixo dela. Esta comunicação é alcançada
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 91/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição109
por meio de um processo conhecido como encapsulamento de dados (ou ocultação de dados ), que envolve o protocolo
informações da camada imediatamente acima na seção de dados da camada imediatamente
abaixo de.
Uma unidade de dados de protocolo (PDU) descreve uma unidade de dados em uma camada específica de um protocolo. Pra
Por exemplo, no modelo OSI, uma PDU de Camada 1 é conhecida como um bit, uma PDU de Camada 2 é conhecida como um quadro,
uma PDU da Camada 3 é conhecida como pacote e uma PDU da Camada 4 é conhecida como segmento ou datagrama.
Termos chave
O encapsulamento de dados (ou ocultação de dados ) envolve as informações de protocolo do (OSI ou TCP / IP)
camada imediatamente acima na seção de dados da camada abaixo.
Página 122
Quando um aplicativo cliente ou servidor envia dados através de uma rede, um cabeçalho (e trailer no
caso de quadros da Camada 2) é adicionado a cada pacote de dados da camada adjacente abaixo dela como o
os dados passam pela pilha de protocolo. Na extremidade receptora, os cabeçalhos (e trailers) são
removido de cada pacote de dados conforme ele passa pela pilha de protocolo para o receptor
inscrição.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 92/254
110 PALO ALTO NETWORKS, INC.®
Página 123
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição111
2.2 Verificação de Conhecimento
Teste sua compreensão dos fundamentos da seção anterior. Reveja o correto
respostas no Apêndice A.
1. Múltipla escolha. O modelo OSI consiste em quantas camadas? (Escolha um.)
a) quatro
b) seis
c) sete
d) nove
2. Múltipla escolha. Quais são os dois protocolos que funcionam na camada de transporte do OSI
modelo? (Escolha dois).
a) Protocolo de Controle de Transmissão (TCP)
b) Protocolo de Internet (IP)
c) Protocolo de datagrama do usuário (UDP)
d) Protocolo de Transferência de Hipertexto (HTTP)
3. Preencha o espaço em branco. A camada de enlace de dados do modelo OSI é ainda dividida nestes
duas subcamadas: e .
4. Múltipla escolha. Quais são as quatro camadas que compõem o modelo TCP / IP? (Escolha quatro.)
a) Aplicação
b) Transporte
c) Físico
d) Internet
e) Acesso à rede
5. Preencha o espaço em branco. O processo que envolve as informações de protocolo do (OSI ou
Camada TCP / IP) imediatamente acima na seção de dados da camada imediatamente abaixo é
conhecido como .
Página 124
2.3 Tecnologias de segurança de rede
Esta seção descreve tecnologias tradicionais de segurança de rede, incluindo firewalls, intrusão
sistemas de detecção (IDSs) e sistemas de prevenção de intrusão (IPSs), filtros de conteúdo da web, virtual
redes privadas (VPNs), prevenção contra perda de dados (DLP), gerenciamento unificado de ameaças (UTM) e
segurança da informação e gerenciamento de eventos (SIEM).
2.3.1 Firewalls
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 93/254
112 PALO ALTO NETWORKS, INC.®
Os firewalls têm sido a base da segurança de rede desde os primeiros dias da Internet. UMA
firewall é uma plataforma de hardware e / ou software que controla o fluxo de tráfego entre um
rede confiável (como uma LAN corporativa) e uma rede não confiável (como a Internet).
2.3.1.1 Firewalls de filtragem de pacotes
Os firewalls de filtragem de pacotes de primeira geração (também conhecidos como baseados em porta ) têm o seguinte
características:
• Eles operam até a camada 4 (camada de transporte) do modelo OSI (discutido na seção
2.2.1) e inspecionar cabeçalhos de pacotes individuais para determinar a origem e o IP de destino
endereço, protocolo (TCP, UDP, ICMP) e número da porta.
• Eles correspondem às informações de endereço IP, protocolo e número de porta de origem e destino
contido dentro de cada cabeçalho de pacote para uma regra correspondente no firewall que
designa se o pacote deve ser permitido, bloqueado ou descartado.
• Eles inspecionam e tratam cada pacote individualmente, sem informações sobre o contexto ou
sessão.
2.3.1.2 Firewalls de inspeção de pacotes com estado
Firewalls de inspeção de pacote dinâmico de segunda geração (também conhecido como filtragem de pacote dinâmico )
têm as seguintes características:
• Eles operam até a camada 4 (camada de transporte) do modelo OSI e mantêm o estado
informações sobre as sessões de comunicação que foram estabelecidas entre
hosts nas redes confiáveis e não confiáveis.
• Eles inspecionam cabeçalhos de pacotes individuais para determinar o endereço IP de origem e destino,
protocolo (TCP, UDP e ICMP) e número da porta (apenas durante o estabelecimento da sessão) para
determinar se a sessão deve ser permitida, bloqueada ou descartada com base na configuração
regras de firewall.
Página 125
• Depois que uma conexão permitida é estabelecida entre dois hosts, o firewall cria e
exclui regras de firewall para conexões individuais, conforme necessário, criando assim efetivamente um
túnel que permite que o tráfego flua entre os dois hosts sem inspeção adicional de
pacotes individuais durante a sessão.
• Este tipo de firewall é muito rápido, mas é baseado em portas e é altamente dependente do
confiabilidade dos dois hosts porque os pacotes individuais não são inspecionados após o
conexão é estabelecida.
2.3.1.3 Firewalls de aplicativos
Aplicativo de terceira geração (também conhecido como gateways da camada de aplicativo , baseado em proxy e
firewalls de proxy reverso ) têm as seguintes características:
• Eles operam até a camada 7 (camada de aplicação) do modelo OSI e controlam o acesso a
aplicações e serviços específicos na rede.
• Eles fazem proxy do tráfego de rede em vez de permitira comunicação direta entre hosts.
As solicitações são enviadas do host de origem para um servidor proxy, que analisa o
conteúdo dos pacotes de dados e, se permitido, envia uma cópia dos pacotes de dados originais
para o host de destino.
• Eles inspecionam o tráfego da camada de aplicativo e, portanto, podem identificar e bloquear o conteúdo especificado,
malware, exploits, sites e aplicativos ou serviços usando técnicas de ocultação, como
criptografia e portas não padrão. Os servidores proxy também podem ser usados para implementar
autenticação de usuário e filtragem de aplicativos da web e para mascarar a rede interna de
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 94/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição113
redes não confiáveis. No entanto, os servidores proxy têm um impacto negativo significativo sobre o
desempenho geral da rede.
2.3.2 Sistemas de detecção e prevenção de intrusão
Sistemas de detecção de intrusão (IDSs) e sistemas de prevenção de intrusão (IPSs) fornecem em tempo real
monitorar o tráfego de rede e realizar inspeção profunda de pacotes e análise de rede
atividade e dados. Ao contrário da filtragem de pacotes tradicional e firewalls de inspeção de pacotes com estado que
examinar apenas as informações do cabeçalho do pacote, um IDS / IPS examina tanto o cabeçalho do pacote quanto o
carga útil do tráfego de rede. O IDS / IPS tenta combinar padrões conhecidos-ruins ou maliciosos
(ou assinaturas) encontradas nos pacotes inspecionados. Um IDS / IPS é normalmente implantado para detectar e
bloquear exploits de vulnerabilidades de software em redes alvo.
A principal diferença entre um IDS e um IPS é que um IDS é considerado um passivo
sistema, enquanto um IPS é um sistema ativo. Um IDS monitora e analisa a atividade da rede e
Página 126
fornece alertas para possíveis ataques e vulnerabilidades na rede, mas não executa
qualquer ação preventiva para interromper um ataque. Um IPS, no entanto, executa todas as mesmas funções que
um IDS, mas também bloqueia ou descarta automaticamente atividades suspeitas de correspondência de padrões no
rede em tempo real. No entanto, um IPS tem algumas desvantagens, incluindo:
• Deve ser colocado em linha ao longo de um limite de rede e, portanto, é diretamente suscetível a
atacar a si mesmo.
• Alarmes falsos devem ser identificados e filtrados adequadamente para evitar o bloqueio inadvertido
usuários e aplicativos autorizados. Um falso positivo ocorre quando o tráfego legítimo é
identificado indevidamente como tráfego malicioso. Um falso negativo ocorre quando o tráfego malicioso
é indevidamente identificado como tráfego legítimo.
• Pode ser usado para implantar um ataque de negação de serviço (DoS) inundando o IPS, assim
fazendo com que ele bloqueie conexões até que nenhuma conexão ou largura de banda esteja disponível.
IDSs e IPSs também podem ser classificados como baseados em conhecimento (ou baseados em assinatura) ou baseados em comportamento
(ou sistemas baseados em anomalias estatísticas):
• Um sistema baseado em conhecimento usa um banco de dados de vulnerabilidades conhecidas e perfis de ataque
para identificar tentativas de intrusão. Esses tipos de sistemas têm taxas de alarmes falsos mais baixas do que
sistemas baseados em comportamento, mas devem ser continuamente atualizados com novas assinaturas de ataque para
seja eficaz.
• Um sistema baseado em comportamento usa uma linha de base da atividade normal da rede para identificar
padrões ou níveis de atividade de rede que podem ser indicativos de uma tentativa de intrusão.
Esses tipos de sistemas são mais adaptativos do que os sistemas baseados em conhecimento e podem
portanto, seja mais eficaz na detecção de vulnerabilidades e ataques anteriormente desconhecidos,
mas eles têm uma taxa de falsos positivos muito mais alta do que os sistemas baseados em conhecimento.
2.3.3 Filtros de conteúdo da web
Os filtros de conteúdo da Web são usados para restringir a atividade de usuários em uma rede na Internet. conteúdo web
filtros correspondem a um endereço da web ( localizador uniforme de recursos ou URL) em um banco de dados de sites,
que normalmente é mantido por fornecedores de segurança individuais que vendem os filtros de conteúdo da web
e é fornecido como um serviço baseado em assinatura. Filtros de conteúdo da web tentam classificar sites
com base em categorias amplas que são permitidas ou bloqueadas para vários grupos de usuários no
rede. Por exemplo, os departamentos de marketing e recursos humanos podem ter acesso a
sites de mídia social, como Facebook e LinkedIn, para marketing e recrutamento online legítimo
atividades, enquanto outros usuários são bloqueados. As categorias típicas de sites incluem:
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 95/254
114 PALO ALTO NETWORKS, INC.®
Página 127
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição115
• Jogos de azar e jogos online
• Hacking
• Crimes de ódio e violência
• pornografia
• Mídia social
• E-mail baseado na web
Esses sites reduzem a produtividade individual, mas também podem ser os principais alvos de malware que os usuários
podem inadvertidamente se tornar vítimas de downloads drive-by. Certos sites também podem criar
responsabilidades na forma de processos de assédio sexual ou discriminação racial para organizações que
deixar de proteger outros funcionários de serem expostos a sites pornográficos ou de ódio.
As organizações podem optar por implementar essas soluções em uma variedade de modos para bloquear
conteúdo, avise os usuários antes que eles acessem sites restritos ou registre todas as atividades. A desvantagem de
bloqueio de conteúdo é que falsos positivos exigem que o usuário entre em contato com um administrador de segurança para
permitir o acesso a sites que foram classificados indevidamente e bloqueados ou precisam ser
acessado para uma finalidade comercial legítima.
2.3.4 Redes privadas virtuais
Uma rede privada virtual (VPN) cria uma conexão criptografada segura (ou túnel) através do
Internet de volta à rede de uma organização. O software cliente VPN é normalmente instalado no celular
terminais, como laptops e smartphones, para estender uma rede além do
limites físicos da organização. O cliente VPN se conecta a um servidor VPN, como um
firewall, roteador ou dispositivo VPN (ou concentrador). Depois que um túnel VPN é estabelecido, um remoto
o usuário pode acessar recursos de rede - como servidores de arquivos, impressoras e voz sobre IP (VoIP)
telefones - da mesma forma como se estivessem fisicamente localizados no escritório.
Termos chave
Um localizador uniforme de recursos (URL) é uma referência única (ou endereço) para um recurso de internet,
como uma página da web.
Página 128
2.3.4.1 Protocolo de Tunelamento Ponto a Ponto
O protocolo de encapsulamento ponto a ponto (PPTP) é um protocolo VPN básico que usa o controle de transmissão
Porta de protocolo (TCP) 1723 para estabelecer comunicação com o par VPN e, em seguida, cria um
Túnel de encapsulamento de roteamento genérico (GRE) que transporta ponto a ponto encapsulado
Pacotes de protocolo (PPP) entre os pares VPN. Embora o PPTP seja fácil de configurar e seja
considerado muito rápido, talvez seja o menos seguro dos vários protocolos VPN. Isto é
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 96/254
116 PALO ALTO NETWORKS, INC.®
comumente usado com o protocolo de autenticação de senha (PAP), desafio-handshake
Protocolo de autenticação (CHAP) ou protocolo de autenticação Microsoft Challenge-Handshake
versões 1 e 2 (MS-CHAP v1 / v2), todas com vulnerabilidades de segurança conhecidas, para
autenticar o tráfego PPP encapsulado. A camada de autenticação Extensible Transport Protocol
Segurança (EAP-TLS) fornece um protocolo de autenticação mais seguro para PPTP, mas requer um
infraestrutura de chave pública(PKI) e, portanto, mais difícil de configurar.
Termos chave
O Encapsulamento de Roteamento Genérico (GRE) é um protocolo de encapsulamento desenvolvido pela Cisco Systems que
pode encapsular vários protocolos da camada de rede dentro de links ponto a ponto virtuais.
O protocolo ponto a ponto (PPP) é um protocolo da camada 2 (enlace de dados) usado para estabelecer um protocolo direto
conexão entre dois nós.
O protocolo de autenticação de senha (PAP) é um protocolo de autenticação usado pelo PPP para
validar usuários com uma senha não criptografada.
O protocolo de autenticação de handshake de desafio da Microsoft (MS-CHAP) é usado para autenticar
Estações de trabalho baseadas no Microsoft Windows, usando um mecanismo de desafio-resposta para
autenticar conexões PPTP sem enviar senhas.
Extensible Authentication Protocol Transport Layer Security (EAP-TLS) é um Internet
Padrão aberto da Engineering Task Force (IETF) que usa o Transport Layer Security (TLS)
protocolo em redes Wi-Fi e conexões PPP.
A infraestrutura de chave pública (PKI) é um conjunto de funções, políticas e procedimentos necessários para criar,
gerenciar, distribuir, usar, armazenar e revogar certificados digitais e gerenciar chave pública
criptografia.
Página 129
2.3.4.2 Protocolo de Tunelamento de Camada 2
O protocolo de encapsulamento de camada 2 (L2TP) é compatível com a maioria dos sistemas operacionais (incluindo dispositivos móveis
dispositivos). Embora não forneça criptografia por si só, é considerado seguro quando usado
junto com o IPsec (discutido na Seção 2.3.4.6).
2.3.4.3 Protocolo de encapsulamento de soquete seguro
Secure Socket Tunneling Protocol (SSTP) é um túnel VPN criado pela Microsoft para transportar PPP
ou tráfego L2TP através de um canal SSL 3.0. SSTP é usado principalmente para VPN cliente remoto seguro
acesso, em vez de túneis VPN site a site.
2.3.4.4 Criptografia Ponto a Ponto da Microsoft
A Criptografia Ponto a Ponto da Microsoft (MPPE) criptografa dados em conexões dial-up baseadas em PPP ou
Conexões PPTP VPN. MPPE usa o algoritmo de criptografia RSA RC4 para fornecer dados
confidencialidade e suporta chaves de sessão de 40 e 128 bits.
2.3.4.5 OpenVPN
OpenVPN é uma implementação VPN altamente segura e de código aberto que usa criptografia SSL / TLS para
troca de chaves. OpenVPN usa criptografia de até 256 bits e pode ser executado em TCP ou UDP. Apesar disso
não é nativamente suportado pela maioria dos principais sistemas operacionais, ele foi portado para a maioria dos principais
sistemas operacionais, incluindo sistemas operacionais de dispositivos móveis.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 97/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição117
2.3.4.6 Segurança do protocolo da Internet
IPsec é um protocolo de comunicação seguro que autentica e criptografa pacotes IP em um
sessão de comunicação. Uma VPN IPsec requer a instalação de um software cliente VPN compatível
no dispositivo de endpoint. Uma senha ou chave de grupo é necessária para a configuração. Servidor cliente
VPNs IPsec geralmente exigem ação do usuário para iniciar a conexão, como iniciar o cliente
software e logando com um nome de usuário e senha.
Uma associação de segurança (SA) no IPsec define como duas ou mais entidades se comunicarão com segurança
pela rede usando IPsec. Um único SA do Internet Key Exchange (IKE) é estabelecido entre
entidades de comunicação para iniciar o túnel VPN IPsec. SAs IPsec separados são então
estabelecido para cada direção de comunicação em uma sessão VPN.
Uma VPN IPsec pode ser configurada para forçar todo o tráfego de Internet do usuário de volta através de um
firewall da organização, proporcionando proteção ideal com segurança de nível empresarial, mas
com alguma perda de desempenho. Alternativamente, o túnel dividido pode ser configurado para permitir internet
tráfego do dispositivo para ir diretamente para a Internet, enquanto outros tipos específicos de rota de tráfego
através do túnel IPsec, para proteção aceitável com muito menos degradação de desempenho.
Página 130
Se o túnel dividido for usado, um firewall pessoal deve ser configurado e ativo no
endpoints da organização porque uma configuração de túnel dividido pode criar uma "porta lateral" para
rede da organização. Os invasores podem essencialmente se conectar pela Internet,
através do ponto de extremidade do cliente e na rede através do túnel IPsec.
2.3.4.7 Secure Sockets Layer
Secure Sockets Layer (SSL) é um protocolo de criptografia assimétrica usado para proteger a comunicação
sessões. O SSL foi substituído pelo Transport Layer Security (TLS), embora o SSL ainda seja o
terminologia mais comumente usada.
Uma VPN SSL pode ser implantada como uma conexão baseada em agente ou sem agente em navegador. A
A VPN SSL sem agente exige que os usuários iniciem apenas um navegador da web, abram um portal VPN ou página da web
usando o protocolo HTTPS e faça login na rede com suas credenciais de usuário. Baseado em agente
O cliente SSL é usado na sessão do navegador, que persiste apenas enquanto a conexão está ativa
e remove a si mesmo quando a conexão é fechada. Este tipo de VPN pode ser particularmente útil para
usuários remotos que estão se conectando a partir de um dispositivo endpoint que não possuem ou controlam, como
um quiosque de hotel, onde o software VPN cliente completo não pode ser instalado.
A tecnologia SSL VPN tornou-se o padrão de fato e o método preferido de conexão
dispositivos terminais remotos de volta à rede corporativa, e o IPsec é mais comumente usado em
conexões VPN site a site ou dispositivo a dispositivo, como conectar uma rede de filial a
uma rede de localização da sede ou centro de dados.
2.3.5 Prevenção contra perda de dados
As soluções de prevenção de perda de dados de rede (DLP) inspecionam os dados que estão saindo ou saindo de um
rede (por exemplo, via e-mail, transferência de arquivo ou uploads da Internet ou copiando para um polegar USB
unidade) e evitar que certos dados confidenciais - com base em políticas definidas - saiam do
rede. Os dados confidenciais podem incluir:
Termos chave
Secure Sockets Layer (SSL) é um protocolo criptográfico para gerenciar autenticação e
comunicação criptografada entre um cliente e um servidor para proteger a confidencialidade e
integridade dos dados trocados na sessão.
Transport Layer Security (TLS) é o sucessor do SSL (embora ainda seja comumente referido
como SSL).
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 98/254
118 PALO ALTO NETWORKS, INC.®
Página 131
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição119
• Informações de identificação pessoal (PII), como nomes, endereços, datas de nascimento, redes sociais
Números de segurança, registros de saúde (incluindo registros médicos eletrônicos, ou EMRs, e
registros eletrônicos de saúde , ou EHRs), e dados financeiros (como números de contas bancárias
e números de cartão de crédito)
• Materiais classificados (como informações militares ou de segurança nacional)
• Propriedade intelectual, segredos comerciais e outras empresas confidenciais ou proprietárias
em formação
Uma solução de segurança DLP impede que dados confidenciais sejam transmitidos para fora da rede por
um usuário, inadvertidamente ou maliciosamente. Uma solução DLP robusta pode detectar a presença de
certos padrões de dados, mesmo se os dados forem criptografados.
No entanto, essas soluções introduzem uma nova vulnerabilidade potencial na rede porque eles
ter visibilidade - e capacidade de descriptografar - todos os dados da rede. Outros métodos dependem de
descriptografia acontecendo em outro lugar, como em um dispositivo de segurança da web ou outro man-in-the-
mecanismo de descriptografia do meio. As soluções de DLP geralmente exigem muitas partes móveis para rotear com eficácia
tráfego de e para os mecanismos de inspeção, o que pode aumentar a complexidade da solução de problemasproblemas de rede.
2.3.6 Gerenciamento unificado de ameaças
Dispositivos de gerenciamento unificado de ameaças (UTM) combinam várias funções de segurança em um único
aparelho, incluindo:
• Anti-malware
• Anti-spam
• Filtragem de conteúdo
Termos chave
Conforme definido por HealthIT.gov, um registro médico eletrônico (EMR) “contém o padrão
dados médicos e clínicos coletados no escritório de um provedor. ”
Conforme definido por HealthIT.gov, um registro eletrônico de saúde (EHR) “vai além dos dados
coletados no consultório do provedor e incluem um histórico mais abrangente do paciente. EHR
os dados podem ser criados, gerenciados e consultados por provedores autorizados e equipes de todo
mais de uma organização de saúde. ”
Página 132
• DLP
• Firewall (inspeção com estado)
• IDS / IPS
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 99/254
120 PALO ALTO NETWORKS, INC.®
• VPN
Dispositivos UTM não necessariamente executam nenhuma dessas funções de segurança melhor do que seus
homólogos autônomos, mas ainda assim servem a um propósito em pequenas e médias
redes corporativas como uma solução conveniente e barata que dá a uma organização uma
dispositivo de segurança em um. As desvantagens típicas do UTM incluem:
• Em alguns casos, eles reduziram os conjuntos de recursos para torná-los mais acessíveis.
• Todas as funções de segurança usam o mesmo processador e recursos de memória. Capacitação de todos
as funções de um UTM podem resultar em uma queda de até 97 por cento na taxa de transferência e
desempenho, em comparação com a taxa de transferência de ponta sem recursos de segurança habilitados.
• Apesar das inúmeras funções de segurança em execução na mesma plataforma, o indivíduo
os motores operam em silos com pouca ou nenhuma integração ou cooperação entre eles.
Página 133
2.3 Verificação de Conhecimento
Teste sua compreensão dos fundamentos da seção anterior. Reveja o correto
respostas no Apêndice A.
1. Verdadeiro ou falso. Um firewall de filtragem de pacote dinâmico inspeciona cada pacote individual
durante uma sessão para determinar se o tráfego deve ser permitido, bloqueado ou abandonado por
o firewall.
2. Múltipla escolha. Quais são as três características de um firewall de aplicativo? (Escolher
três.)
a) tráfego de proxies em vez de permitir a comunicação direta entre hosts
b) pode ser usado para implementar autenticação forte do usuário
c) mascara a rede interna de redes não confiáveis
d) é extremamente rápido e não tem impacto no desempenho da rede
3. Múltipla escolha. Qual tecnologia VPN é atualmente considerada a preferida
método para conectar com segurança um dispositivo endpoint remoto de volta a uma empresa
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 100/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição121
rede? (Escolha um.)
a) Protocolo de túnel ponto a ponto (PPTP)
b) Secure Socket Tunneling Protocol (SSTP)
c) Secure Sockets Layer (SSL)
d) Internet Protocol Security (IPsec)
4. Múltipla escolha. O que não é uma característica do gerenciamento unificado de ameaças (UTM)?
(Escolha um.)
a) Combina funções de segurança, como firewalls, sistemas de detecção de intrusão
(IDSs), antimalware e prevenção contra perda de dados (DLP) em um único dispositivo.
b) A ativação de todas as funções de segurança em um dispositivo UTM pode ter um significativo
impacto no desempenho.
c) Integra totalmente todas as funções de segurança instaladas no dispositivo.
d) Pode ser uma solução conveniente para pequenas redes.
Página 134
2.4 Segurança de endpoint
A segurança de endpoint tradicional engloba várias ferramentas de segurança, como anti-malware
software, software anti-spyware, firewalls pessoais, sistemas de prevenção de intrusão baseados em host
(HIPSs) e software de gerenciamento de dispositivo móvel (MDM). A segurança do endpoint também requer
implementação de práticas recomendadas de segurança de endpoint eficazes, incluindo gerenciamento de patches e
gerenciamento de configurações.
2.4.1 Noções básicas de segurança de endpoint
A maioria das organizações implementa vários produtos de segurança para proteger seus terminais, incluindo
firewalls pessoais, sistemas de prevenção de intrusão baseados em host (HIPSs), dispositivo móvel
gerenciamento (MDM), gerenciamento de aplicativos móveis (MAM), DLP e software antivírus.
No entanto, as violações cibernéticas continuam a aumentar em frequência, variedade e sofisticação.
Além disso, os números e tipos de endpoints - incluindo dispositivos móveis e IoT - tem
cresceu exponencialmente e aumentou a superfície de ataque. Novas variantes do Gafgyt, Mirai e
Os botnets Muhstik, entre outros, visam especificamente dispositivos IoT e novos mecanismos de pesquisa, como
O Shodan (Shodan.io) pode automatizar a pesquisa de pontos de extremidade conectados à Internet vulneráveis.
Diante do cenário de ameaças em rápida mudança, as soluções de segurança de endpoint tradicionais e
antivírus não pode mais evitar violações de segurança no endpoint.
A segurança do endpoint é um elemento essencial da segurança cibernética porque o firewall da rede não pode
proteger completamente os hosts de exploits de dia zero. Explorações de dia zero com alvo desconhecido
vulnerabilidades no sistema operacional e software aplicativo em máquinas host. Rede
os firewalls podem não ser capazes de bloquear a entrega de um exploit de dia zero por um invasor até um novo
A assinatura que identifica o ataque de dia zero foi desenvolvida e entregue ao firewall.
Os firewalls de rede também podem ser impedidos de descriptografar todo o tráfego devido a regulamentos e
leis. Esta restrição fornece uma janela de oportunidade para os invasores contornarem um firewall
proteger e explorar uma máquina host, necessitando de proteção de segurança de endpoint. Endpoint
a proteção de segurança é fornecida por um aplicativo executado na máquina host. Eficaz
a segurança do endpoint deve ser capaz de parar malware, exploits e ransomware antes que eles possam
comprometer o host; fornecem proteção enquanto os endpoints estão online e offline; e detectar
ameaças e automatizar a contenção para minimizar o impacto.
2.4.2 Proteção contra malware
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 101/254
122 PALO ALTO NETWORKS, INC.®
A proteção contra malware - mais especificamente, software antivírus - foi uma das primeiras e mais
princípios básicos da segurança da informação desde o início dos anos 1980. Infelizmente, tudo isso conquistado com dificuldade
a experiência não significa necessariamente que a guerra está sendo vencida. Por exemplo, o 2019 da Trustwave
Página 135
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição123
O Relatório de Segurança Global constatou que a infecção para detecção de malware "in the wild" leva um
média de 55 dias. 37 Curiosamente, os ataques de dia zero baseados na web, em média, permanecem "no
selvagem ”até quatro vezes mais do que ameaças baseadas em e-mail devido a fatores que incluem o usuário
consciência de ameaças originadas por e-mail, disponibilidade e uso de soluções de segurança de e-mail (como anti-
spam e antivírus) e uso preferencial da web como vetor de ameaça por desenvolvedores de malware.
Essa baixa “taxa de captura” se deve a vários fatores. Alguns malwares podem sofrer mutação ou podem ser
atualizado para evitar a detecção por assinaturas anti-malware tradicionais. Além disso, malware avançado é
cada vez mais especializado ao ponto em que um invasor pode desenvolver malware personalizado que é
dirigido contra um indivíduo ou organização específica.
O software anti-malware tradicional usa várias abordagens para detectar e responder ao malware
ameaças, incluindo com base em assinatura, com base em contêiner, lista de permissões de aplicativos e anomalias
técnicas baseadas.
2.4.2.1 Software anti-malware baseado emassinatura
O software antivírus (ou antimalware) baseado em assinatura é o mais antigo e mais comumente usado
abordagem para detectar e identificar malware em endpoints. Esta abordagem requer segurança
fornecedores para coletar continuamente amostras de malware, criar arquivos de assinatura correspondentes para aqueles
amostras e distribuir esses arquivos de assinatura como atualizações para seus produtos de segurança de endpoint para
todos os seus clientes.
A implantação de software antivírus baseado em assinatura requer a instalação de um mecanismo que normalmente
tem acesso no nível do kernel aos recursos do sistema de um endpoint. Software antivírus baseado em assinatura
verifica o disco rígido e a memória de um endpoint, com base em uma programação predefinida e em tempo real
quando um arquivo é acessado. Se uma assinatura de malware conhecida for detectada, o software executa um
ação predefinida, como:
37 “Relatório de Segurança Global da Trustwave 2019”. Trustwave. 2019.https://www.trustwave.com/en-
us / resources / library / documents / 2019-trustwave-global-security-report /.
Observação
Com a proliferação de malware avançado, como Trojans de acesso remoto (RATs), anti-AV,
e rootkits / bootkits (discutidos na Seção 1.2.1), os fornecedores de segurança mudaram amplamente a marca
suas soluções antivírus como “anti-malware” e expandiram suas proteções de malware para
englobam as classificações de malware mais amplas.
Página 136
• Quarentena. Isola o arquivo infectado para que ele não possa infectar o endpoint ou outros arquivos
• Excluir. Remove o arquivo infectado
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.trustwave.com/en-us/resources/library/documents/2019-trustwave-global-security-report/
https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.trustwave.com/en-us/resources/library/documents/2019-trustwave-global-security-report/
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 102/254
124 PALO ALTO NETWORKS, INC.®
• Alerta. Notifica o usuário (e / ou administrador do sistema) que o malware foi detectado
As assinaturas atualizadas devem ser baixadas regularmente e frequentemente do fornecedor de segurança e
instalado nos terminais da organização. Baixando e processando arquivos de assinatura neste
maneira pode causar degradações de desempenho perceptíveis nas redes e endpoints em
que eles estão executando.
Embora a abordagem baseada em assinaturas seja muito popular, sua eficácia é limitada. Por design,
é uma contramedida reativa porque um arquivo de assinatura para um novo malware não pode ser criado e
entregue até que o malware já esteja "à solta", tempo durante o qual as redes e endpoints
estão cegos para a ameaça - a notória ameaça (ou ataque) de dia zero. O rótulo “dia zero” é
enganoso, no entanto, porque o número de dias desde a liberação até a detecção é em média de 5 a 20
dias (veja a Figura 2-3).
Figura 2-3
Tempo médio para detecção por vetor de aplicação
Uma amostra de tráfego suspeito novo ou desconhecido deve primeiro ser capturada e identificada antes de um
A assinatura de detecção pode ser criada por fornecedores de segurança. A nova assinatura deve então ser
baixado e instalado nos terminais de uma organização para fornecer proteção.
Este processo significa que alguns usuários e redes serão violados com sucesso por novos
malware até que uma nova assinatura de detecção seja criada, baixada e instalada. Este reativo
Página 137
modelo cria uma janela de oportunidade para os invasores, deixando os endpoints vulneráveis -
às vezes por semanas ou até meses - até que um novo malware seja suspeitado, coletado, analisado,
e identificados. Durante esse tempo, os invasores podem infectar redes e endpoints.
Outro desafio para a abordagem baseada em assinatura é que milhões de novas variações de malware
são criados a cada ano (em média cerca de 20.000 novos formulários diários), para os quais assinaturas exclusivas
deve ser escrito, testado e implantado - após a nova variação de malware ser descoberta e
amostrado. Apesar do fato de que 70 por cento desses milhões de variações de malware são baseadas em
um número relativamente limitado de “famílias” de malware - numerando apenas sete em 2005 e
aumentando para apenas 20 na última década 38 - esta abordagem reativa não é eficaz para
protegendo endpoints contra ameaças de malware moderno.
Além disso, o malware avançado usa técnicas como metamorfismo e polimorfismo para obter
vantagem das fraquezas inerentes da detecção baseada em assinatura para evitar ser descoberto
na natureza e para contornar assinaturas que já foram criadas. Essas técnicas são
tão comumente usado que “70 a 90 por cento das amostras de malware [coletadas] hoje são exclusivas de um
organização única. ” 39
2.4.2.2 Proteção de endpoint baseada em contêiner
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 103/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição125
A proteção de endpoint baseada em contêiner envolve uma barreira virtual de proteção em torno de vulneráveis
processos enquanto estão em execução. Se um processo for malicioso, o contêiner o detecta e o fecha
desativado, evitando que danifique outros processos ou arquivos legítimos no terminal.
No entanto, a abordagem baseada em contêiner normalmente requer uma quantidade significativa de computação
sobrecarga de recursos e ataques foram demonstrados que contornam ou desabilitam o contêiner
proteção baseada. Essa abordagem também requer conhecimento dos aplicativos que precisam ser
protegidos e como eles interagem com outros componentes de software. Então, uma ferramenta de conteinerização
será desenvolvido para suportar certos aplicativos comuns, mas não será capaz de proteger
a maioria dos softwares proprietários ou específicos do setor. Até mesmo plug-ins de navegador da web e semelhantes podem ter
problemas de operação correta em um ambiente baseado em contêiner.
38 Ibid.
39 Ibid.
Página 138
2.4.2.3 Lista de permissões de aplicativos
A lista de permissões de aplicativos é outra técnica de proteção de endpoint comumente usada para
impedir que os usuários finais executem aplicativos não autorizados - incluindo malware - em seus
endpoints.
A lista de permissões de aplicativos requer um modelo de controle positivo no qual nenhum aplicativo é
permissão para execução no endpoint, a menos que sejam explicitamente permitidos pela política da lista de permissões. No
prática, a lista de permissões de aplicativos requer um grande esforço administrativo para estabelecer e manter
uma lista de aplicativos aprovados. Esta abordagem é baseada na premissa de que, se você criar uma lista de
aplicativos que são especificamente permitidos e, em seguida, evitam que qualquer outro arquivo seja executado, você
pode proteger o ponto de extremidade. Embora esta funcionalidade básica possa ser útil para reduzir o ataque
superfície, não é uma abordagem abrangente para segurança de endpoint.
Tendências modernas, como computação em nuvem e móvel, consumerização e traga o seu
dispositivo (BYOD) e traga seu próprio acesso (BYOA) tornam a lista de permissões de aplicativos extremamente
difícil de aplicar na empresa. Além disso, depois que um aplicativo é colocado na lista de permissões, ele tem permissão para
executar - mesmo se o aplicativo tiver uma vulnerabilidade que possa ser explorada. Um invasor pode então
simplesmente explore um aplicativo da lista de permissões e tenha controle total do endpoint de destino
independentemente da lista de permissões. Depois que o aplicativo foi explorado com sucesso, o invasor
pode executar código malicioso enquanto mantém toda a atividade na memória. Uma vez que nenhum arquivo novo é
criado e nenhum novo executável tenta ser executado, o software da lista de permissões torna-se ineficaz
contra este tipo de ataque.
2.4.2.4 Detecção de anomalias
Abordagens de segurançade endpoint que usam algoritmos matemáticos para detectar atividades incomuns em
um ponto de extremidade são conhecidos como soluções baseadas em heurísticas, baseadas em comportamento ou de detecção de anomalias.
Esta abordagem se baseia em primeiro estabelecer uma linha de base precisa do que é considerado "normal"
atividade. Esta abordagem existe há muitos anos e requer um conjunto de dados muito grande para
reduzir o número de falsos positivos.
Termos chave
No anti-malware, um falso positivo identifica incorretamente um arquivo ou aplicativo legítimo como
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 104/254
126 PALO ALTO NETWORKS, INC.®
malware. Um falso negativo identifica incorretamente o malware como um arquivo ou aplicativo legítimo. No
detecção de intrusão, um falso positivo identifica incorretamente o tráfego legítimo como uma ameaça e um
O falso negativo identifica incorretamente uma ameaça como tráfego legítimo.
Página 139
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição127
2.4.3 Software anti-spyware
O software anti-spyware é muito semelhante ao software antivírus tradicional porque usa assinaturas
para procurar outras formas de malware além dos vírus, como adware, aplicativo da web malicioso
componentes e outras ferramentas maliciosas, que compartilham os comportamentos do usuário sem sua permissão.
2.4.4 Firewalls pessoais
Os firewalls de rede protegem uma rede corporativa contra ameaças de uma rede externa, como
como a internet. No entanto, a maioria dos firewalls de rede baseados em portas tradicionais pouco fazem para proteger
endpoints dentro da rede corporativa de ameaças que se originam de dentro da rede,
como outro dispositivo que foi comprometido por malware e está se propagando por toda a
a rede.
Firewalls pessoais (ou baseados em host) são comumente instalados e configurados em laptops e
PCs de mesa. Os firewalls pessoais normalmente operam como firewalls de Camada 7 (camada de aplicativo) que
permitir ou bloquear o tráfego com base em uma política de segurança individual (ou grupo). Firewalls pessoais são
particularmente útil em laptops usados por usuários remotos ou em viagem que conectam seus laptops
computadores diretamente à Internet (por exemplo, por meio de uma conexão Wi-Fi pública). Também um
firewall pessoal pode controlar o tráfego de saída do endpoint para ajudar a prevenir a propagação de
malware desse ponto de extremidade. No entanto, observe que desativar ou ignorar uma pessoa
firewall é um objetivo comum e básico na maioria dos malwares avançados hoje.
O Firewall do Windows é um exemplo de firewall pessoal instalado como parte do Windows
desktop ou sistema operacional móvel. Um firewall pessoal protege apenas o dispositivo endpoint que
ele está instalado, mas fornece uma camada extra de proteção dentro da rede.
2.4.5 Sistemas de prevenção de intrusão baseados em host
HIPS é outra abordagem para proteção de endpoint que depende de um agente instalado no
endpoint para detectar malware. Um HIPS pode ser baseado em assinatura ou baseado em anomalia, e é
portanto, suscetível aos mesmos problemas que outras assinaturas e terminais baseados em anomalias
abordagens de proteção.
Além disso, o software HIPS geralmente causa degradação significativa do desempenho nos terminais. Um recente
A pesquisa da Palo Alto Networks descobriu que 25 por cento dos entrevistados indicaram soluções HIPS
“Causou um impacto significativo no desempenho do usuário final”.
Página 140
2.4.6 Gerenciamento de dispositivos móveis
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 105/254
128 PALO ALTO NETWORKS, INC.®
O software de gerenciamento de dispositivo móvel (MDM) fornece segurança de endpoint para dispositivos móveis
como smartphones e tablets. Recursos de gerenciamento centralizado para dispositivos móveis
fornecidos pelo MDM incluem:
• Prevenção de perda de dados (DLP). Restrinja os tipos de dados que podem ser armazenados ou transmitidos
do dispositivo.
• Aplicação de políticas. Exigir senhas, habilitar criptografia, bloquear configurações de segurança,
e evitar jailbreak ou root , por exemplo.
• Proteção contra malware. Detecte e evite malware móvel.
• Distribuição de software. Instalar software remotamente, incluindo patches e atualizações em um
rede celular ou Wi-Fi.
• Apagar / limpar remotamente. Exclua com segurança e remotamente o conteúdo completo de um perdido ou
dispositivo roubado.
• Geofencing e serviços de localização. Restrinja a funcionalidade específica no dispositivo com base em
sua localização física.
Termos chave
Jailbreaking refere-se a hackear um dispositivo Apple iOS para obter acesso de nível raiz ao dispositivo.
O jailbreak às vezes é feito por usuários finais para permitir que eles baixem e instalem dispositivos móveis
aplicativos sem pagar por eles, de fontes diferentes da App Store que não são
sancionada e / ou controlada pela Apple. O jailbreak ignora os recursos de segurança do
dispositivo substituindo o sistema operacional do firmware por um semelhante, embora falsificado
versão, o que o torna vulnerável a malware e exploits. Jailbreaking é conhecido como enraizamento
em dispositivos Google Android.
Página 141
2.4 Verificação de Conhecimento
Teste sua compreensão dos fundamentos da seção anterior. Reveja o correto
respostas no Apêndice A.
1. Verdadeiro ou falso. O software anti-malware baseado em assinatura é considerado proativo
contramedida de segurança.
2. Preencha o espaço em branco. proteção de endpoint envolve uma proteção
barreira virtual em torno de processos vulneráveis durante a execução.
3. Resposta curta. Qual é a principal desvantagem da lista de permissões de aplicativos relacionada a
prevenção de exploit?
4. Múltipla escolha. Quais são os três softwares de gerenciamento de dispositivos móveis típicos
capacidades? (Escolha três.)
a) prevenção contra perda de dados (DLP)
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 106/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição129
2.5 Administração de servidor e sistema
Os administradores de servidor e sistema realizam uma variedade de tarefas importantes em uma rede
ambiente. As tarefas típicas de administração de servidor e sistema incluem:
• Provisionamento e desprovisionamento de contas
• Gerenciamento de permissões de conta
• Instalação e manutenção de software de servidor
• Manter e otimizar servidores, aplicativos, bancos de dados (podem ser atribuídos a um
administrador de banco de dados), dispositivos de rede (podem ser atribuídos a um administrador de rede),
e dispositivos de segurança (podem ser atribuídos a um administrador de segurança)
• Instalação de patches de segurança
• Gerenciamento de backup e recuperação de dados e sistema
b) aplicação da política
c) detecção de intrusão
d) prevenção de malware
Página 142
• Monitorar a comunicação da rede e os logs do servidor
• Solução de problemas e resolução de problemas de servidor e sistema
2.5.1 Gerenciamento de identidade e acesso
O gerenciamento de identidade e acesso (IAM) fornece autenticação, autorização e acesso
funções de controle. As ferramentas IAM fornecem controle para o provisionamento, manutenção e operação
de identidades de usuário e o nível de acesso à rede, data center e recursos de nuvem que
identidades diferentes são permitidas.
2.5.2 Serviços de diretório
Um serviço de diretório é um banco de dados que contém informações sobre usuários, recursos e serviços
em uma rede. O serviço de diretório associa usuários e permissões de rede para controlar quem
tem acesso a quais recursos e serviços na rede. Os serviços de diretório incluem:
• Active Directory. Um serviço de diretório centralizado desenvolvido pela Microsoft para Windows
redes para fornecer autenticação e autorização de usuários e recursos de rede.
O Active Directory usa Lightweight DirectoryAccess Protocol (LDAP), Kerberos e o
Sistema de nomes de domínio (DNS, discutido na Seção 2.0.5).
• Protocolo de acesso a diretórios leve (LDAP). Um protocolo cliente-servidor baseado em IP que
fornece acesso e gerencia informações de diretório em redes TCP / IP.
2.5.3 Vulnerabilidade e gerenciamento de patch
Novas vulnerabilidades e explorações de software são descobertas o tempo todo, exigindo
gerenciamento de patches de software por administradores de sistema e segurança em todas as organizações.
Termos chave
Kerberos é um protocolo de autenticação no qual os tíquetes são usados para identificar os usuários da rede.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 107/254
130 PALO ALTO NETWORKS, INC.®
No entanto, o gerenciamento de patch protege os endpoints de uma organização somente depois que uma vulnerabilidade
foi descoberto e o patch instalado. Atrasos de dias, semanas ou mais são inevitáveis
porque os patches de segurança para vulnerabilidades recém-descobertas devem ser desenvolvidos, distribuídos,
testado e implantado. Embora o gerenciamento de patches seja um aspecto importante de qualquer informação
programa de segurança, como a detecção anti-malware baseada em assinatura, é uma corrida sem fim contra o tempo
que não oferece proteção contra exploits de dia zero.
Página 143
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição131
2.5.4 Gerenciamento de configuração
O gerenciamento de configuração é o processo formal usado pelas organizações para definir e manter
configurações padrão para aplicativos, dispositivos e sistemas em todo o seu ciclo de vida. Pra
exemplo, um determinado modelo de PC desktop pode ser configurado por uma organização com
configurações de segurança, como habilitar criptografia de disco inteiro e desabilitar portas USB. Dentro do
sistema operacional de desktop, configurações de segurança, como a desativação de serviços desnecessários e arriscados (para
exemplo, FTP e Telnet) podem ser configurados. Manutenção de configurações padrão em
aplicativos, dispositivos e sistemas usados por uma organização ajudam a reduzir a exposição ao risco e
melhorar a postura de segurança.
2.5.5 Solução de problemas de host estruturado e rede
Uma rede ou segmento de uma rede que cai pode ter um impacto negativo em seu
organização ou negócio. Os administradores de rede devem usar um processo sistemático para
solucionar problemas de rede quando eles ocorrerem para restaurar a rede para produção total como
o mais rápido possível, sem causar novos problemas ou introduzir novas vulnerabilidades de segurança. O
processo de solução de problemas realizado por um administrador de rede para resolver problemas de rede
de forma rápida e eficiente é uma habilidade muito procurada em TI.
Duas das tarefas mais importantes de solução de problemas que um administrador de rede executa ocorrem por muito tempo
antes que um problema de rede ocorra: linha de base e documentação da rede.
Uma linha de base fornece métricas quantificáveis que são medidas periodicamente com várias redes
ferramentas de monitoramento de desempenho, analisadores de protocolo e farejadores de pacotes. Métricas importantes podem
incluem tempos de resposta do aplicativo, memória do servidor e utilização do processador, média e pico
taxa de transferência da rede e operações de entrada / saída de armazenamento por segundo. Essas métricas básicas
fornecem um instantâneo importante das operações normais de rede para ajudar os administradores de rede
identificar problemas iminentes, solucionar problemas atuais e saber quando um problema
foi totalmente resolvido.
A documentação da rede deve incluir diagramas lógicos e físicos, fluxos de dados de aplicativos,
logs de gerenciamento de alterações, manuais de usuário e administração e garantia e suporte
em formação. As linhas de base e a documentação da rede devem ser atualizadas a qualquer momento um significativo
mudança na rede ocorre e como parte do processo de gestão de mudança de um
organização.
Muitas metodologias formais de solução de problemas em várias etapas foram publicadas, e as organizações
ou administradores de rede individuais podem ter seu próprio método preferido. Geralmente
falando, a solução de problemas consiste nestas etapas:
Página 144
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 108/254
132 PALO ALTO NETWORKS, INC.®
1. Descubra o problema.
2. Avalie a configuração do sistema em relação à linha de base.
3. Rastreie as soluções possíveis.
4. Execute um plano.
5. Verifique os resultados.
6. Verifique a solução. (Se não for bem-sucedido, volte para a Etapa 2. Se for bem-sucedido, vá para a Etapa 7.)
7. Implemente a solução positiva.
A solução de problemas de conectividade de host e rede normalmente começa com a análise do
escopo do problema e identificação dos dispositivos e serviços que são afetados. Problemas com
hosts locais são normalmente muito mais fáceis de avaliar e remediar do que problemas que afetam uma rede
segmento ou serviço. Para um dispositivo individual que perde a conectividade de rede, o problema
às vezes, pode ser facilmente resolvido simplesmente reiniciando o dispositivo. No entanto, problemas com
serviços integrados ou compartilhados (por exemplo, serviços da web ou de arquivos) podem ser complexos e podem ser reiniciados
um serviço ou reinicializar um dispositivo pode, na verdade, agravar o problema. Problemas de conectividade
pode ser intermitente ou difícil de rastrear, por isso é importante que seus processos de solução de problemas
seguir uma metodologia aprovada ou padronizada.
O modelo OSI (discutido na Seção 2.2.1) fornece um modelo lógico para resolução de problemas complexos
problemas de host e rede. Dependendo da situação, você pode usar o método de baixo para cima, de cima para baixo
ou abordagem de dividir e conquistar discutida nos parágrafos a seguir quando você usa o OSI
modelo para orientar seus esforços de solução de problemas. Em outras situações, você pode fazer um trabalho educado
adivinhe a origem do problema e comece a investigar na camada correspondente do
Modelo OSI, ou use o método de substituição (substituindo um componente ruim por um bom conhecido
componente) para identificar e isolar rapidamente a causa do problema.
Quando você usa uma abordagem de baixo para cima para diagnosticar problemas de conectividade, você começa no
Camada física do modelo OSI, verificando as conexões de rede e a disponibilidade do dispositivo. Pra
exemplo, um dispositivo sem fio pode ter energia para a antena ou transceptor temporariamente ligado
desligado. Ou um ponto de acesso sem fio pode ter perdido energia porque um disjuntor foi desarmado offline
ou um fusível queimou. Da mesma forma, a conexão de um cabo de rede pode estar solta ou o cabo pode estar
danificado. Assim, antes de começar a inspecionar arquiteturas de serviço, você deve começar com o
noções básicas: Confirme a conectividade física.
Movendo-se para a camada de link de dados, você verifica as arquiteturas de link de dados, como a compatibilidade com um
padrão ou tipo de quadro específico. Embora Ethernet seja um padrão de rede LAN predominante,
Página 145
dispositivos em roaming (como dispositivos sem fio) às vezes alternam automaticamente entre Wi-Fi,
Bluetooth e redes Ethernet. Redes sem fio geralmente têm criptografia especificada
padrões e chaves. A conectividade pode ser perdida porque um dispositivo ou serviço de rede foi
restaurado para uma configuração anterior, e o dispositivo não está respondendo às solicitações de endpoint que são
usando configurações diferentes. Firewalls e outras políticas de segurança também podem estar interferindo
solicitações de conexão. Você nunca deve desabilitar firewalls, mas em uma rede controlada
ambiente com os procedimentos adequados estabelecidos, você pode achar que temporariamente desativando ou
ignorar um dispositivo de segurança resolve um problema de conectividade.O remédio, então, é
configurar os serviços de segurança para permitir as conexões necessárias.
Vários problemas de conectividade também podem ocorrer na camada de rede. Solução de problemas importante
as etapas incluem a confirmação de nomes e endereços de rede adequados. Dispositivos podem ter
endereços IP atribuídos que estão causando problemas de roteamento ou conflitos de endereço IP na rede. UMA
dispositivo pode ter um endereço IP configurado incorretamente porque não pode se comunicar com um
Servidor DHCP na rede. Da mesma forma, as redes têm identidades diferentes, como wireless
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 109/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição133
SSIDs, nomes de domínio e nomes de grupos de trabalho. Outro problema comum existe quando um
rede particular tem nomes ou endereços conflitantes. Problemas com resolvedores de nomes DNS podem ser
causado por serviços de cache DNS ou conexão com os servidores DNS errados. Controle de Internet
O protocolo de mensagens (ICMP) é usado para controle de rede e diagnósticos na camada de rede do
o modelo OSI. Os comandos ICMP comumente usados incluem ping e traceroute . Estes dois
comandos simples, mas poderosos (e outros comandos e opções ICMP) são alguns dos mais
ferramentas comumente usadas para solucionar problemas de conectividade de rede. Você pode executar o ICMP
comandos na interface de linha de comando em computadores, servidores, roteadores, switches e muitos
outros dispositivos em rede.
Na camada de transporte, as comunicações são mais complexas. Latência e congestionamento da rede
pode interferir nas comunicações que dependem de confirmações e apertos de mão oportunos.
Os valores de tempo de vida (TTL) às vezes precisam ser estendidos na arquitetura de serviço de rede para
permitem tempos de resposta mais lentos durante as horas de pico do tráfego da rede. Problemas de congestionamento semelhantes
pode ocorrer quando novos serviços são adicionados a uma rede existente ou quando um dispositivo local aciona um
serviço priorizado, como um backup ou uma verificação antivírus.
As configurações da camada de sessão também podem ser responsáveis por conexões de rede interrompidas. Por exemplo,
dispositivos que entram automaticamente em um modo de espera de energia ("suspensão") podem ter expirado a sessão
Termos chave
Internet Control Message Protocol (ICMP) é um protocolo de internet usado para transmitir diagnósticos
mensagens.
Página 146
tokens que falham quando o dispositivo tenta retomar a conectividade. No servidor, failover
comunicações ou negociações de handshake com um servidor podem não ser traduzidas para outro
servidores em cluster. Pode ser necessário reiniciar as sessões.
Os conflitos da camada de apresentação são frequentemente relacionados a mudanças nas chaves de criptografia ou atualizações para
arquiteturas de serviço que não são suportadas por vários dispositivos clientes. Por exemplo, um mais velho
navegador pode não interoperar com um script ou um novo padrão de codificação.
Os problemas de conectividade de rede da camada de aplicativo são extremamente comuns. Muitos aplicativos
pode entrar em conflito com outros aplicativos. Os aplicativos também podem ter arquivos em cache ou corrompidos que podem ser
remediado apenas desinstalando e reinstalando ou atualizando para uma versão mais recente. Alguns aplicativos
também requerem conexões persistentes para serviços de atualização ou terceiros, e segurança de rede
as configurações podem impedir que essas conexões sejam feitas.
Outras etapas de solução de problemas podem incluir a pesquisa de arquivos de log em busca de anomalias e
eventos, verificando se os certificados ou protocolos de autenticação adequados estão instalados e disponíveis,
verificar as configurações de criptografia, limpar caches de aplicativos, atualizar aplicativos e, para
terminais, removendo e reinstalando um aplicativo. Pesquise sites de suporte com suporte do fornecedor e
fóruns e páginas de perguntas frequentes (FAQ) antes de fazer alterações no instalado
Serviços. Você também deve estar ciente de quaisquer acordos de nível de serviço (SLAs) que sua organização
deve atender.
Sempre siga as etapas de solução de problemas adequadas, mantenha registros precisos de todas as alterações que você
tentar, documentar suas alterações e publicar quaisquer soluções para que outros possam aprender com seu
atividades de solução de problemas.
2.5 Verificação de Conhecimento
Teste sua compreensão dos fundamentos da seção anterior. Reveja o correto
respostas no Apêndice A.
1. Preencha o espaço em branco. ferramentas fornecem controle para o
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 110/254
134 PALO ALTO NETWORKS, INC.®
provisionamento, manutenção e operação de identidades de usuários e o nível de acesso a
recursos de rede, data center e nuvem em que diferentes identidades são permitidas.
2. Preencha o espaço em branco. O fornece um modelo lógico para
resolução de problemas complexos de host e rede.
Página 147
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição135
2.6 Proteger a Empresa (Strata)
A infraestrutura de rede de uma empresa pode ser extraordinariamente complexa. A segurança
A plataforma operacional protege os perímetros das redes corporativas, centros de dados e filiais com um
plataforma totalmente integrada e automatizada que simplifica a segurança. Simplificando sua segurança
postura permite que você reduza os custos operacionais e a infraestrutura de suporte enquanto
aumentando sua capacidade de prevenir ameaças à sua organização e ajustar-se rapidamente ao seu
ambiente dinâmico. Os principais elementos da plataforma operacional de segurança para proteger o
empresa são:
• Firewall de última geração. A base da Security Operating Platform disponível em
opções de implantação física, virtual e na nuvem para fornecer
proteção onde quer que seus dados e aplicativos estejam
• Serviços de assinatura. Serviços adicionais de ameaças aprimorados e firewall de última geração
recursos, incluindo DNS Security, URL Filtering, Threat Prevention e WildFire
prevenção de malware
• Panorama. Fornece gerenciamento de segurança de rede centralizado, simplificando
administração ao mesmo tempo em que oferece controles abrangentes e visibilidade profunda da rede
grande tráfego e ameaças à segurança
2.6.1 Firewall de última geração
Mudanças fundamentais no uso de aplicativos, comportamento do usuário e infraestrutura de rede complexa
criaram um cenário de ameaças que expõe fraquezas na rede tradicional baseada em porta
firewalls. Os usuários finais desejam acesso a um número cada vez maior de aplicativos, operando em
uma ampla variedade de tipos de dispositivos, geralmente com pouca consideração pelos riscos comerciais ou de segurança.
Enquanto isso, expansão do data center, segmentação de rede, virtualização e mobilidade
iniciativas estão forçando as organizações a repensar como permitir o acesso a aplicativos e dados,
enquanto protegem suas redes de uma classe nova e mais sofisticada de ameaças avançadas que
evadir os mecanismos de segurança tradicionais.
Os firewalls de próxima geração da Palo Alto Networks são o núcleo da Security Operating Platform.
O firewall de próxima geração inspeciona todo o tráfego - incluindo aplicativos, ameaças e conteúdo -
e o associa ao usuário, independentemente da localização ou tipo de dispositivo. O aplicativo, conteúdo,
e o usuário se torna um componente integral da política de segurança corporativa.
Os firewalls de próxima geração da Palo Alto Networks são construídos em uma arquitetura de passagem única (consulte a Figura
2-4), que é uma integração única de software e hardware que simplifica o gerenciamento,
simplifica o processamento e maximiza o desempenho. A arquitetura de passagem única integra
Página 148
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f111/254
136 PALO ALTO NETWORKS, INC.®
múltiplas disciplinas de prevenção de ameaças (IPS, antimalware, filtragem de URL, etc.) em um único
motor baseado em fluxo com um formato de assinatura uniforme. Esta arquitetura permite que o tráfego seja totalmente
analisado em uma única passagem sem a degradação de desempenho observada em gateways multifuncionais.
O software está vinculado diretamente a uma plataforma de hardware de processamento paralelo que usa funções
processadores específicos para prevenção de ameaças, para maximizar o rendimento e minimizar a latência.
Figura 2-4
Os firewalls de próxima geração da Palo Alto Networks usam uma arquitetura de passagem única.
O uso de um motor comum significa que dois benefícios principais são obtidos. Primeiro, ao contrário do arquivo
proxies que precisam fazer download de todo o arquivo antes de fazerem a varredura do tráfego, um fluxo baseado em
o motor verifica o tráfego em tempo real, remontando os pacotes conforme necessário e apenas em pequenas
montantes. Em segundo lugar, ao contrário das abordagens tradicionais, todo o tráfego pode ser verificado com um único
mecanismo, em vez de vários mecanismos de verificação.
As organizações implantam firewalls de última geração no perímetro da rede e dentro do
rede em limites lógicos de confiança. Todo o tráfego que atravessa o firewall de próxima geração passa por um
inspeção de pilha completa e passagem única, fornecendo o contexto completo do aplicativo, associado
Página 149
conteúdo e identidade do usuário. Com este nível de contexto, você pode alinhar a segurança com sua chave
iniciativas de negócios (consulte a Figura 2-5).
Figura 2-5
Locais de firewall de última geração na rede corporativa
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 112/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição137
O firewall de próxima geração funciona como um gateway de segmentação em uma arquitetura Zero Trust
(discutido na Seção 1.3.2). Ao criar um micro-perímetro, o firewall de próxima geração garante
que apenas o tráfego conhecido e permitido ou aplicativos legítimos tenham acesso à superfície protegida.
Firewalls de última geração incluem vários recursos-chave que permitem visibilidade completa do
fluxos de tráfego de aplicativos, conteúdo associado e identidade do usuário e protegê-los de conhecidos,
ameaças persistentes desconhecidas e avançadas. Os recursos funcionais essenciais em um eficaz
firewall de próxima geração inclui:
Página 150
• Identificação do aplicativo. Identifique os aplicativos com precisão, independentemente da porta, protocolo,
técnicas evasivas ou criptografia. Fornece visibilidade de aplicativos e política granular
controle baseado em aplicativos, incluindo funções de aplicativos individuais.
• Identificação do usuário. Identifique os usuários com precisão e, posteriormente, use as informações de identidade
como um atributo para controle de política.
• Identificação de conteúdo. A identificação de conteúdo controla o tráfego com base em
análise de todo o tráfego permitido, usando prevenção de ameaças múltiplas e prevenção contra perda de dados
técnicas em uma arquitetura de passagem única que integra totalmente todas as funções de segurança.
2.6.1.1 Identificação do aplicativo
A tecnologia de inspeção de pacotes stateful - a base para a maioria dos firewalls legados de hoje - era
criado há mais de 25 anos, em uma época em que os aplicativos podiam ser controlados por meio de portas
e endereços IP de origem / destino. A estrita aderência à classificação baseada em porta e
a metodologia de controle é o principal elemento da política; é codificado na base e
não pode ser desligado. Como resultado, muitos dos aplicativos de hoje não podem ser identificados, muito menos
controlado pelo firewall, e nenhuma quantidade de classificação de tráfego "após o fato" pelo firewall
“Ajudantes” podem corrigir a classificação baseada na porta do firewall.
Estabelecer informações de porta e protocolo é uma primeira etapa na identificação do aplicativo, mas é
insuficiente por si só. Identificação e inspeção de aplicativos robustos em uma próxima geração
O firewall permite o controle granular do fluxo de sessões por meio do firewall. Identificação é
com base nos aplicativos específicos (como Skype, Gmail e WebEx) que estão sendo usados,
em vez de apenas confiar no conjunto subjacente de comunicação de rede muitas vezes indistinguível
serviços (consulte a Figura 2-6).
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 113/254
138 PALO ALTO NETWORKS, INC.®
Página 151
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição139
Figura 2-6
A classificação de tráfego centrada em aplicativos identifica aplicativos específicos na rede,
independentemente da porta e do protocolo em uso.
A identificação do aplicativo fornece visibilidade e controle sobre o trabalho e não relacionado ao trabalho
aplicativos relacionados que podem escapar da detecção por firewalls baseados em portas legadas, por exemplo, por
mascarando-se como tráfego legítimo, pulando portas ou usando criptografia para escapar do firewall.
Tecnologia de identificação de aplicativos (App-ID) em um firewall de próxima geração da Palo Alto Networks
não depende de um único elemento, como porta ou protocolo. Em vez disso, o App-ID usa vários
mecanismos para determinar o que é o aplicativo, em primeiro lugar, e o aplicativo
a identidade então se torna a base para a política de firewall aplicada à sessão. App-ID é
altamente extensível e, à medida que os aplicativos continuam a evoluir, os mecanismos de detecção de aplicativos
pode ser adicionado ou atualizado como um meio de acompanhar o aplicativo em constante mudança
panorama.
Muitas organizações não estão totalmente cientes do número de aplicativos em uso, quão intensamente eles
são usados, ou por quem. Esta falta de visibilidade obriga as organizações a implementar
(lista negra) abordagens de aplicação onde bloqueiam seletivamente o tráfego e destinos conhecidos
ser um risco para a organização. O firewall de próxima geração também permite que você implemente um
política de aplicação positiva (lista de permissões) onde você permite seletivamente os aplicativos necessários para
administre sua organização. Isso reduz significativamente o número de maneiras pelas quais os criminosos cibernéticos podem atacar
sua organização. Uma chave para a aplicação positiva é o App-ID. App-ID identifica os aplicativos
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 114/254
Página 152
140 PALO ALTO NETWORKS, INC.®
atravessando o firewall - independentemente da porta ou protocolo - mesmo se o tráfego for encapsulado no Genérico
Encapsulamento de roteamento (GRE) túneis, usa táticas evasivas ou é criptografado. App-ID pode
determinar a diferença entre aplicativos básicos e funções de aplicativo. Este nível de
visibilidade traz uma compreensão completa dos aplicativos em sua rede e seu valor
e risco para sua organização.
Tecnologia de classificação de tráfego App-ID
A primeira tarefa que um firewall de próxima geração da Palo Alto Networks executa é usar o App-ID para
identificar os aplicativos que atravessam a rede. App-ID usa uma abordagem multifacetada para
determinar o aplicativo, independentemente da porta, protocolo, criptografia (SSL e SSH) ou outro
táticas evasivas empregadas. O número e a ordem dos mecanismos de identificação usados para identificar
o aplicativo varia dependendo do aplicativo. As técnicas de identificação de aplicativos
(ver Figura 2-7) usados incluem:
• Assinaturas de aplicativos. Para identificar um aplicativo, o App-ID primeiro usa assinaturas para procurar
para propriedades de aplicativo exclusivas e características de transação relacionadas. A assinatura
também determina se o aplicativo está usando sua porta padrão ou uma porta não padrão.
Assinaturas baseadas emcontexto procuram propriedades exclusivas e características de transação para
identifique corretamente o aplicativo, independentemente da porta e do protocolo em uso. Esses
assinaturas incluem a capacidade de detectar funções específicas dentro de aplicativos (como arquivo
transferências dentro de aplicativos SaaS). Se a política de segurança permitir o
aplicativo, o App-ID analisa ainda mais o tráfego para identificar
aplicativos e varredura de ameaças.
• Decodificação TLS / SSL e SSH. Se o App-ID determinar que a criptografia TLS / SSL está em uso, ele
pode descriptografar e reavaliar o tráfego. App-ID usa uma abordagem semelhante com SSH para
para determinar se o encaminhamento de porta está sendo usado para encapsular o tráfego sobre SSH.
• Decodificação de aplicativos e protocolos. Para protocolos conhecidos, os decodificadores aplicam
assinaturas baseadas em contexto para detectar o tunelamento de aplicativos dentro dos protocolos. Decodificadores
validar se o tráfego está em conformidade com a especificação do protocolo e eles oferecem suporte à rede
travessia de tradução de endereço (NAT) e abertura de orifícios dinâmicos para aplicações como
como Voice over IP (VoIP) ou File Transfer Protocol (FTP). Decodificadores para aplicativos populares
também identificar as funções individuais dentro do aplicativo. Além de identificar
aplicativos, decodificadores identificam arquivos e outros conteúdos a serem verificados quanto a ameaças ou
dados sensíveis.
• Heurística. Em certos casos, os aplicativos evasivos não podem ser detectados usando
assinatura e decodificação de protocolo. Nesses casos, o App-ID usa heurística ou comportamental
Página 153
análise para identificar aplicativos que usam criptografia proprietária, como ponto a ponto
(P2P) compartilhamento de arquivos. A análise heurística, com as outras técnicas de App-ID, fornece visibilidade
em aplicativos que poderiam, de outra forma, escapar da identificação. As heurísticas são específicas para
cada aplicativo e incluem verificações com base em informações como o comprimento do pacote,
taxa de sessão e origem do pacote.
Figura 2-7
Como a Palo Alto Networks App-ID classifica os aplicativos
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 115/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição141
Com o App-ID como o elemento fundamental para todos os firewalls de próxima geração da Palo Alto Networks,
os administradores podem recuperar a visibilidade e o controle sobre os aplicativos que atravessam o
rede.
App-ID: endereçamento de aplicativos personalizados ou desconhecidos
Usando o Application Command Center (ACC), você pode ver os aplicativos em uso em seu
organização. Depois de determinar o valor de um aplicativo para sua organização, App-ID
controla a política de segurança para esse aplicativo. A política de segurança pode incluir uma série de
diferentes ações, como:
Página 154
• Permitir ou negar
• Permitir, mas verificar o conteúdo em busca de explorações, vírus e outras ameaças
• Permitir com base na programação, usuários ou grupos
• Controle de transferência de arquivos ou dados confidenciais
• Permitir ou negar um subconjunto de funções do aplicativo
Enquanto você está compilando a lista de aplicativos que deseja oferecer suporte, tolerar ou bloquear, App-
O ID pode restringir aplicativos que se comportam de maneiras indesejáveis. Você pode usar categorias de aplicativos,
tecnologias e classificações de risco para definir uma política de segurança para bloquear quaisquer aplicativos que correspondam
essas características.
Freqüentemente, a ativação de aplicativos seguros significa atingir um equilíbrio adequado de políticas de segurança
entre permitir algumas funções do aplicativo e negar outras. Exemplos incluem:
• Permitir o Facebook, mas negar e-mail, bate-papo, postagem e aplicativos do Facebook de maneira eficaz
permitindo que os usuários naveguem apenas no Facebook.
• Permitir o uso de aplicativos SaaS como o Dropbox, mas negar o upload de arquivos. Esta
técnica concede aos usuários internos acesso a compartilhamentos de arquivos pessoais, mas impede o acesso intencional ou
vazamentos de informações corporativas não intencionais.
A lista de App-IDs é atualizada mensalmente, com novos aplicativos adicionados com base na entrada do
Comunidade da Palo Alto Networks (clientes, parceiros) e tendências de mercado. Todos os App-IDs são
classificados por categoria, subcategoria, tecnologia e classificação de risco. A política de segurança pode usar
essas classificações para oferecer suporte automaticamente a novos aplicativos conforme a lista de App-ID se expande.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 116/254
142 PALO ALTO NETWORKS, INC.®
Como alternativa, você pode especificar que deseja revisar novos aplicativos e determinar como
eles são tratados antes que a nova lista seja instalada.
Apesar das atualizações regulares, o tráfego de aplicativos desconhecido inevitavelmente ainda será detectado no
rede, como:
• Aplicações comerciais desconhecidas. Os administradores podem usar o ACC e o visualizador de log
para determinar rapidamente se um aplicativo desconhecido é um aplicativo comercial.
Os administradores podem usar o recurso de captura de pacotes (pcap) na Palo Alto Networks
firewall de próxima geração, para registrar o tráfego e enviá-lo para desenvolvimento de App-ID. O
novo App-ID é desenvolvido, testado com a organização e, em seguida, adicionado ao global
banco de dados para todos os usuários.
Página 155
• Aplicativos internos ou personalizados. Os administradores podem usar o ACC e o visualizador de log para
determinar rapidamente se um aplicativo desconhecido é interno ou personalizado.
Você pode desenvolver um App-ID personalizado para o aplicativo, usando o protocolo exposto
decodificadores. Os decodificadores de protocolo que foram expostos incluem:
• FTP (Protocolo de Transferência de Arquivos)
• HTTP (protocolo de transferência de hipertexto) e HTTPS (HTTP seguro ou HTTP sobre SSL)
• IMAP (Internet Message Access Protocol) e SMTP (Simple Mail Transfer
Protocolo)
• RTSP (Real Time Streaming Protocol)
• Telnet
• TCP desconhecido, UDP desconhecido e corpo do arquivo (para html / pdf / flv / swf / riff / mov)
Depois que o App-ID personalizado é desenvolvido, o tráfego identificado por ele é tratado da mesma maneira que
o tráfego classificado anteriormente: pode ser habilitado por meio de política, inspecionado quanto a ameaças, moldado usando
qualidade de serviço (QoS), etc. Alternativamente, uma substituição de aplicativo pode ser criada e aplicada,
que efetivamente renomeia o aplicativo. As entradas de App-ID personalizadas são gerenciadas em um
banco de dados no firewall de próxima geração para garantir que eles não sejam afetados por aplicativos semanais
Atualizações de ID.
Um ponto importante a destacar é que os firewalls de próxima geração da Palo Alto Networks usam um
modelo de aplicação positiva, o que significa que todo o tráfego pode ser negado, exceto aqueles
aplicativos expressamente permitidos pela política. Este modelo de aplicação positiva significa que
em alguns casos, o tráfego desconhecido pode ser facilmente bloqueado ou rigidamente controlado. Alternativa
ofertas baseadas em IPS permitirão a passagem de tráfego desconhecido sem fornecer qualquer
aparência de visibilidade ou controle.
App-ID em ação: Identificando WebEx
Quando um usuário inicia uma sessão WebEx, a conexão inicial é uma comunicação baseada em SSL.
Com o App-ID, o dispositivo vê o tráfego e determina que está usando SSL. Se houver um
regra de política de descriptografia correspondente, o mecanismo de descriptografia e os decodificadores de protocolo são iniciados
para descriptografar o SSL e detectar que é tráfego HTTP. Depois que o decodificador tiver o fluxo HTTP,
O App-ID pode aplicar assinaturas contextuais e detectar que o aplicativo em usoé WebEx.
O WebEx é então exibido no ACC e pode ser controlado por meio de uma política de segurança. Se o usuário final
inicia o recurso WebEx Desktop Sharing, WebEx passa por uma “mudança de modo”: A sessão tem
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 117/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição143
Página 156
144 PALO ALTO NETWORKS, INC.®
foi alterado de um aplicativo de conferência para um aplicativo de acesso remoto. Neste cenário,
as características do WebEx mudaram e o App-ID detecta o WebEx Desktop Sharing
recurso, que é então exibido no ACC. Nesta fase, um administrador aprendeu mais
sobre o uso do aplicativo e pode exercer controle de política sobre o uso do WebEx Desktop
Compartilhamento de recursos separadamente do uso geral da WebEx.
Identificação de aplicativos e controle de política
A identificação de aplicativos permite que os administradores vejam os aplicativos na rede, aprendam
como eles funcionam e analisam suas características comportamentais e risco relativo. Quando aplicativo
a identificação é usada em conjunto com a identificação do usuário, os administradores podem ver exatamente quem
está usando o aplicativo com base em sua identidade, não apenas em um endereço IP. Com esta informação,
os administradores podem usar regras granulares - com base em um modelo de segurança positivo - para bloquear desconhecidos
aplicativos, ao habilitar, inspecionar e modelar os aplicativos permitidos.
Depois que um aplicativo for identificado e uma imagem completa de seu uso for obtida,
as organizações podem aplicar políticas com uma gama de respostas que são muito mais granulares do que
Ações de “permitir” ou “negar” disponíveis em firewalls legados. Exemplos incluem:
• Permitir ou negar
• Permitir, mas verificar se há exploits, vírus e outras ameaças
• Permitir com base na programação, usuários ou grupos
• Descriptografar e inspecionar
• Aplicar modelagem de tráfego por meio de QoS
• Aplicar encaminhamento baseado em políticas
• Permitir certas funções do aplicativo
• Qualquer combinação das opções acima
Controle de função de aplicativo
Para muitas organizações, a ativação de aplicativos seguros significa atingir uma segurança adequada
equilíbrio de política, habilitando a funcionalidade de aplicativo individual enquanto bloqueia outras funções
dentro do mesmo aplicativo. Os exemplos podem incluir:
• Permitir documentos do SharePoint, mas bloquear o uso da administração do SharePoint
Página 157
• Bloqueio de e-mail, bate-papo, postagem e aplicativos do Facebook, mas permite o próprio Facebook,
efetivamente permitindo que os usuários naveguem apenas no Facebook
App-ID usa uma hierarquia de aplicativo que segue um modelo de "contêiner e função de suporte"
para ajudar os administradores a escolher facilmente quais aplicativos permitir, enquanto bloqueia ou controla
funções dentro do aplicativo. A Figura 2-8 mostra o SharePoint como o aplicativo de contêiner e
as funções individuais dentro dele.
Figura 2-8
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 118/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição145
O controle da função do aplicativo maximiza a produtividade ao habilitar com segurança o próprio aplicativo
(Microsoft SharePoint) ou funções individuais.
Controle de vários aplicativos: filtros e grupos dinâmicos
Em alguns casos, as organizações podem querer controlar os aplicativos em massa, em vez de controlar
eles individualmente. Os dois mecanismos do firewall de próxima geração da Palo Alto Networks que
atender a essa necessidade são grupos de aplicativos e filtros dinâmicos:
• Grupos de aplicativos. Um grupo de aplicativos é uma lista estática de aplicativos que podem ser
usado para permitir seu uso para determinados usuários, enquanto bloqueia seu uso para outros. Pra
por exemplo, aplicativos de gerenciamento remoto, como Remote Desktop Protocol (RDP),
Telnet e Secure Shell (SSH) são comumente usados pela equipe de suporte de TI, ainda
funcionários que não fazem parte desses grupos também usam essas ferramentas para acessar suas casas
redes. Um grupo de aplicativos pode ser criado e atribuído ao suporte de TI por meio de
Página 158
User-ID (discutido na Seção 2.6.1.2), vinculando os grupos à política. Novos empregados
só precisa ser adicionado ao grupo de diretório; nenhuma atualização é necessária para a política em si.
• Filtros dinâmicos. Um filtro dinâmico é um conjunto de aplicativos criado com base em qualquer
combinação dos critérios de filtro: categoria, subcategoria, característica comportamental,
tecnologia subjacente, ou fator de risco. Depois que o filtro desejado é criado, uma política que
bloqueia ou habilita e verifica se o tráfego pode ser aplicado. Conforme novos arquivos de App-ID são adicionados
que atendam aos critérios do filtro, o filtro é atualizado automaticamente assim que o dispositivo é
atualizado, minimizando assim o esforço administrativo associado à política
gestão.
2.6.1.2 Identificação do usuário
Conforme você define as políticas de segurança com base no uso do aplicativo, um componente-chave dessa política é quem
deve ser capaz de usar esses aplicativos. Os endereços IP são identificadores ineficazes do usuário ou
a função do servidor na rede. Com o User-ID e o grupo de endereço dinâmico (DAG)
recursos, você pode associar dinamicamente um endereço IP a um usuário ou a função de um servidor no
Centro de dados. Posteriormente, você pode definir políticas de segurança que se adaptam dinamicamente às mudanças
ambientes.
Em ambientes que suportam vários tipos de usuários finais (por exemplo, Marketing ou Humanos
Recursos) em uma variedade de locais e tecnologias de acesso, não é realista garantir
segmentação física de cada tipo de usuário. Visibilidade da atividade do aplicativo no nível do usuário,
não apenas no nível de endereço IP, permite que você habilite de forma mais eficaz os aplicativos que atravessam
a rede. Você pode definir as políticas de entrada e saída para habilitar os aplicativos com segurança
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 119/254
146 PALO ALTO NETWORKS, INC.®
com base em usuários ou grupos de usuários. Exemplos de políticas baseadas no usuário incluem:
• Habilitando o departamento de TI a usar SSH, Telnet e FTP nas portas padrão
• Permitir que o grupo de Serviços de Help Desk use o Slack
• Permitir que todos os usuários leiam o Facebook, mas bloqueando o uso de aplicativos do Facebook e
restringindo a postagem apenas para funcionários de marketing
User-ID: Integrando informações do usuário e políticas de segurança
Criação e gerenciamento de políticas de segurança em um firewall de última geração, com base no
aplicativo e a identidade do usuário, independentemente do dispositivo ou localização, é um método mais eficaz
meios de proteger a rede do que depender exclusivamente de informações de porta e endereço IP em
firewalls baseados em portas legados. O User-ID permite que as organizações aproveitem as informações do usuário armazenadas
em uma ampla gama de repositórios para os seguintes fins:
Página 159
• Visibilidade. Visibilidade aprimorada do uso do aplicativo com base no usuário e grupo
informações podem ajudar as organizações a manter uma imagem mais precisa da rede
atividade.
• Controle de políticas. Vincular as informações do usuário à política de segurança ajuda as organizações a
habilitar aplicativos com segurança ou funções de aplicativos específicos, enquanto reduz o
esforço administrativo associado a mudanças, acréscimos e mudanças de funcionários.
• Registro e relatórios. Se ocorrer um incidente de segurança, a análise forense e os relatórios podem
incluem informações do usuário, que fornecem uma imagem mais completa do incidente.
User-ID em ação
O User-ID integra-se perfeitamente aos firewalls de próxima geração da Palo AltoNetworks com uma ampla gama de
repositórios de usuários e ambientes de serviços de terminal. Dependendo do ambiente de rede,
várias técnicas podem ser configuradas para mapear com precisão a identidade do usuário para um endereço IP.
Os eventos incluem eventos de autenticação, autenticação de usuário, monitoramento de serviços de terminal, cliente
sondagem, integração de serviços de diretório e uma poderosa API XML (veja a Figura 2-9).
Figura 2-9
O User-ID integra diretórios corporativos para políticas, relatórios e análises forenses baseadas no usuário.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 120/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição147
Página 160
148 PALO ALTO NETWORKS, INC.®
Depois que os aplicativos e usuários são identificados, total visibilidade e controle dentro do aplicativo
Command Center (ACC), edição de política e registro e relatórios estão disponíveis. Ferramentas de identificação do usuário
e as técnicas incluem:
• Autenticação do usuário. Esta técnica permite que as organizações configurem um desafio
sequência de autenticação de resposta para coletar informações de usuário e endereço IP, usando o
seguintes ferramentas:
• Portal de autenticação. Nos casos em que os administradores precisam estabelecer regras
sob o qual os usuários são obrigados a se autenticar no firewall antes de acessar
Internet, o Portal de Autenticação pode ser implantado. Portal de autenticação é
usado nos casos em que o usuário não pode ser identificado por outros mecanismos. No
além de um nome de usuário e senha explícitos, Portal de autenticação
também pode ser configurado para enviar uma autenticação NT LAN Manager (NTLM)
solicitação ao navegador da web para tornar o processo de autenticação transparente para
o usuário.
• Acesso Prisma. Usuários que se conectam à rede com Prisma Access (discutido em
Seção 3.5.2) fornecer informações de usuário e host para o firewall de próxima geração,
que, por sua vez, pode ser usado para controle de política.
• Monitoramento de servidor. O monitoramento dos eventos de autenticação em uma rede permite que o usuário
ID para associar um usuário ao endereço IP do dispositivo a partir do qual o usuário faz login
fazer cumprir a política no firewall. O ID do usuário pode ser configurado para monitorar a autenticação
eventos para:
• Microsoft Active Directory. O User-ID monitora constantemente o evento do controlador de domínio
logs para identificar os usuários quando eles efetuam login no domínio. Quando um usuário faz login no
Domínio do Windows, um novo evento de autenticação é registrado no correspondente
Controlador de domínio do Windows. Monitorando remotamente os eventos de autenticação
em controladores de domínio do Windows, o User-ID pode reconhecer eventos de autenticação para
identificar os usuários na rede para a criação e aplicação da política.
• Microsoft Exchange Server. O ID do usuário pode ser configurado para monitorar constantemente
Eventos de login do Microsoft Exchange produzidos por clientes que acessam seu e-mail. Usando
esta técnica, mesmo macOS, Apple iOS e sistemas clientes Linux / Unix que não
a autenticação direta no Active Directory pode ser descoberta e identificada.
• Novell eDirectory. O ID do usuário pode consultar e monitorar as informações de login para identificar
usuários e associações de grupo por meio do Lightweight Directory Access padrão
Consultas de protocolo (LDAP) em servidores eDirectory.
Página 161
• Sondagem de cliente e serviços de terminal. Esta técnica permite que as organizações configurem
ID do usuário para monitorar clientes ou hosts Windows para coletar a identidade e mapeá-la para o IP
Morada. Em ambientes onde a identidade do usuário é ofuscada pelo Citrix XenApp ou
Microsoft Terminal Services, o agente de User-ID Terminal Services pode ser implantado em
determinar quais aplicativos estão sendo acessados pelos usuários. As seguintes técnicas são
acessível:
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 121/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição149
• Sondagem do cliente. Se um usuário não puder ser identificado por meio do monitoramento de autenticação
eventos, o User-ID investiga ativamente os clientes Microsoft Windows na rede em busca de
informações sobre o usuário conectado no momento. Com sondagem de cliente, laptop
usuários que frequentemente mudam de redes com fio para redes sem fio podem ser confiáveis
identificado.
• Sondagem de host. O ID do usuário também pode ser configurado para sondar os servidores Windows para
sessões de rede ativas de um usuário. Assim que um usuário acessa um compartilhamento de rede em
o servidor, User-ID identifica o endereço IP de origem e mapeia para o nome de usuário
fornecido para estabelecer a sessão.
• Serviços de terminal. Usuários compartilhando endereços IP enquanto trabalham na Microsoft
Os serviços de terminal ou Citrix podem ser identificados. Cada sessão de usuário é atribuída a um
determinado intervalo de portas no servidor, que é completamente transparente para o usuário e
permite que o firewall de próxima geração associe conexões de rede aos usuários
e grupos que compartilham um host na rede.
• API XML. Em alguns casos, as organizações podem já ter um repositório de usuário ou um
aplicativo que é usado para armazenar informações sobre usuários e seus endereços IP atuais. No
nesses cenários, a API XML dentro do User-ID permite a integração rápida do usuário
informações com políticas de segurança. A API XML fornece uma maneira programática de mapear
usuários a endereços IP por meio de integrações com tecnologias de parceiros, como Aruba
Controladores de mobilidade ClearPass e Aruba. Uso da API XML para coletar usuário e IP
as informações de endereço incluem:
• Ambientes sem fio. Organizações que usam 802.1 x para proteger a rede sem fio corporativa
redes podem alavancar uma integração baseada em syslog com a API XML User-ID, para
identifique os usuários à medida que eles se autenticam na infraestrutura sem fio.
• Proxies. A autenticação solicitada por um servidor proxy pode ser fornecida ao ID do usuário
por meio de sua API XML, analisando o arquivo de log de autenticação para o usuário e o endereço IP
em formação.
Página 162
• Controle de acesso à rede (NAC). A API XML permite que as organizações colham
informações do usuário em ambientes NAC. Por exemplo, Bradford Networks, um
Provedor de soluções NAC, usa a API XML de ID de usuário para preencher logins de usuários e
logouts de sua solução 802.1 x . Esta integração permite que as organizações identifiquem
usuários assim que se conectam à rede e definem a habilitação baseada no usuário
políticas.
• Ouvinte de syslog. Em ambientes com serviços de rede existentes que autenticam usuários -
por exemplo, controladores sem fio, 802.1 x ou produtos NAC - o ID do usuário pode monitorar o syslog
mensagens para mapeamento do usuário. Filtros de syslog extensíveis controlam a análise de syslog
mensagens. Os filtros Syslog podem ser definidos pelo usuário, mas vários filtros predefinidos estão disponíveis,
incluindo aqueles para proxy Blue Coat, redes locais sem fio (WLANs) e Pulse
Política segura.
Para permitir que as organizações especifiquem regras de segurança com base em grupos de usuários e resolva o grupo
membros automaticamente, o User-ID integra-se aos servidores de diretório usando um sistema baseado em padrões
protocolo e uma configuração flexível. Após a integração com o servidor de diretório ser configurada,
o firewall recupera automaticamente as informações do usuário e do grupo de usuários e mantém as informações
atualizado para se ajustar automaticamente às mudanças na base de usuários ou na organização.
Depois que o User-ID coleta as informações do usuário, o firewall de próxima geração usa o LDAP para obter
informações do grupo para esse usuário. Além disso, como no caso de mapeamento de usuário,a API XML pode servir como
uma interface programática para uma capacidade flexível de mapeamento de grupo. Com o mapeamento de grupo, o User-ID pode
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 122/254
150 PALO ALTO NETWORKS, INC.®
expressar políticas de segurança em termos de grupos, permitindo que as políticas existentes sejam atualizadas dinamicamente conforme
O User-ID adiciona ou remove usuários de grupos.
O ID do usuário fornece apenas metade da imagem ao vincular endereços IP a usuários específicos. Servidores e
muitos outros dispositivos não podem usar um usuário para identificar seus requisitos de acesso de segurança. Dinâmico
grupos de endereços (DAGs) permitem que você crie políticas que se adaptam automaticamente ao servidor
adições, movimentações ou exclusões. Eles também permitem a flexibilidade de aplicar a política de segurança ao
dispositivo com base em sua função na rede.
Um DAG usa tags como um critério de filtragem para determinar seus membros. Você pode definir tags
estaticamente ou registrá-los dinamicamente. Você pode registrar dinamicamente o endereço IP e
tags associadas para um dispositivo no firewall usando a API XML ou o agente VM Monitoring em
o firewall; cada endereço IP registrado pode ter várias marcas. Dentro de 60 segundos da API
chamada, o firewall registra o endereço IP e as tags associadas e atualiza automaticamente o
informações de associação para os DAGs.
Página 163
Como os membros de um DAG são atualizados automaticamente, você pode usar grupos de endereços para
adaptar-se às mudanças em seu ambiente sem depender de um administrador de sistema para fazer políticas
mudanças e comprometê-los (veja a Figura 2-10).
Figura 2-10
Grupos de endereços dinâmicos (DAGs)
Visibilidade da atividade de um usuário
O poder do User-ID torna-se evidente quando o App-ID encontra um aplicativo estranho ou desconhecido
na rede. Um administrador pode usar o ACC ou o visualizador de log para identificar o
aplicativo, quem está usando o aplicativo, a largura de banda e o consumo da sessão, as fontes
e destinos do tráfego de aplicativos e quaisquer ameaças associadas.
A visibilidade da atividade do aplicativo no nível do usuário, não apenas no nível do endereço IP, permite
organizações para permitir de forma mais eficaz os aplicativos que atravessam a rede.
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 123/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição151
Os administradores podem alinhar o uso do aplicativo com os requisitos da unidade de negócios e, se apropriado,
Página 164
152 PALO ALTO NETWORKS, INC.®
podem optar por informar ao usuário que ele está violando a política ou podem levar mais
abordagem direta de bloquear totalmente o uso do aplicativo do usuário.
Controle de política com base no usuário
Os controles de política baseados no usuário podem ser criados com base no aplicativo, categoria e subcategoria,
tecnologia subjacente ou características do aplicativo. As políticas podem ser usadas para habilitar com segurança
aplicativos baseados em usuários ou grupos, em uma direção de saída ou de entrada.
As políticas baseadas no usuário podem incluir:
• Permitir que apenas o departamento de TI use ferramentas como SSH, Telnet e FTP em seus
portas padrão.
• Permitir que o grupo de serviços de suporte técnico use o Yahoo Messenger.
• Permitir o Facebook para todos os usuários, permitir que apenas o grupo de marketing use a postagem no Facebook,
e bloquear o uso de aplicativos do Facebook para todos os usuários.
Otimizador de Política
O Policy Optimizer pode ajudar as organizações a migrar de configurações de regras de firewall legadas para
regras baseadas em aplicativos por meio de App-ID. Esta capacidade fortalece a postura de segurança ao
usando App-ID para fechar quaisquer lacunas de segurança e minimizar erros de configuração - uma das principais causas de
violações. O Policy Optimizer analisa o uso do aplicativo e recomenda regras de política que reduzem
exposição e risco.
O Policy Optimizer identifica regras baseadas em portas para que possam ser convertidas em regras baseadas em aplicativos
as regras. A conversão de regras baseadas em portas para regras baseadas em aplicativos melhora a segurança geral
postura porque você pode colocar na lista de permissões os aplicativos que deseja permitir e, em seguida, negar todos os outros
formulários. O Policy Optimizer simplifica a priorização de quais regras baseadas em portas
para migrar primeiro, identifique regras baseadas em aplicativos que permitem aplicativos que você não usa e
analise cada uma das características de uso das regras, como contagem de ocorrências.
2.6.1.3 Identificação de conteúdo
A identificação de conteúdo infunde firewalls de última geração com recursos não possíveis no legado,
firewalls baseados em porta. A identificação do aplicativo elimina vetores de ameaça por meio do
controle de todos os tipos de aplicações. Esta capacidade reduz imediatamente a superfície de ataque do
rede, após o qual todo o tráfego permitido é analisado para explorações, malware, URLs perigosos e
arquivos ou conteúdos perigosos ou restritos. A identificação do conteúdo vai além de parar
ameaças conhecidas para identificar e controlar proativamente malware desconhecido, que é frequentemente usado como o
vanguarda de ataques de rede sofisticados.
Página 165
Prevenção de ameaças
As redes corporativas estão enfrentando um cenário de ameaças em rápida evolução, repleto de aplicativos modernos,
exploits, malware e estratégias de ataque que podem evitar os métodos tradicionais de detecção.
As ameaças são entregues por meio de aplicativos que ativam portas dinamicamente, usam portas não padrão,
29/03/2021 GUIA DE SOBREVIVÊNCIA DE SEGURANÇA CIBERNÉTICA
https://translate.googleusercontent.com/translate_f 124/254
GUIA DE SOBREVIVÊNCIA DE CIBERSEGURANÇA, quinta edição153
encapsular em outros aplicativos ou ocultar em proxies, SSL ou outros tipos de criptografia. Esses
técnicas podem impedir soluções de segurança tradicionais, como IPS e firewalls de sempre
inspecionar o tráfego, permitindo assim que as ameaças fluam fácil e repetidamente pela rede.
Além disso, as empresas estão expostas a malware direcionado e personalizado, que pode passar despercebido
por meio de soluções anti-malware tradicionais.
O Content-ID da Palo Alto Networks lida com esses desafios com prevenção de ameaças exclusiva
recursos não encontrados nas soluções de segurança tradicionais. Primeiro, o firewall de próxima geração
remove os métodos que as ameaças usam para se esconder da segurança por meio da análise completa de
todo o tráfego, em todas as portas, independentemente de qualquer técnica de evasão, tunelamento ou evasão que
são usados. Nenhuma solução de prevenção de ameaças será eficaz se não tiver visibilidade no
tráfego. A Palo Alto Networks garante essa visibilidade por meio da identificação e controle de todos
tráfego, usando as seguintes ferramentas e técnicas:
• Decodificadores de aplicativos. O Content-ID aproveita os mais de 100 aplicativos e protocolos
decodificadores no App-ID para procurar ameaças ocultas nos fluxos de dados do aplicativo. Esta ferramenta
permite que o firewall detecte e evite ameaças encapsuladas em
aplicativos que contornariam as soluções tradicionais de IPS ou proxy.
• Formato de assinatura de ameaça uniforme. Em vez de usar um conjunto separado de mecanismos de verificação
e assinaturas para cada tipo de ameaça, o Content-ID aproveita um mecanismo de ameaça uniforme
e formato de assinatura para detectar e bloquear uma ampla gama de atividades C2 de malware e
vulnerabilidade explora em uma única passagem.
• Proteção contra ataques de vulnerabilidade (IPS). Rotinas robustas para normalização de tráfego e
desfragmentação são unidas por protocolo-anomalia, comportamento-anomalia e heurística
mecanismos de detecção para fornecer proteção da mais ampla