Defendendo a Rede

Veja a seguir as melhores práticas para proteger uma rede:

• Desenvolver uma política de segurança escrita para a empresa.
• Eduque os funcionários sobre os riscos de engenharia social e desenvolva estratégias para validar identidades por telefone, por e-mail ou pessoalmente.
• Controle o acesso físico aos sistemas.
• Use senhas fortes e altere-as com frequência.
• Criptografe e proteja por senha dados confidenciais.
• Implemente hardware e software de segurança, como firewalls, IPSs, dispositivos de rede privada virtual (VPN), software antivírus e filtragem de conteúdo.
• Execute backups e teste os arquivos de backup regularmente.
• Desligue serviços e portas desnecessários.
• Mantenha os patches atualizados instalando-os semanalmente ou diariamente, se possível, para evitar ataques de estouro de buffer e escalonamento de privilégios.
• Execute auditorias de segurança para testar a rede.

Mitigando Ataques Comuns à Rede

Mitigação de Malware

Malware, incluindo vírus, worms e cavalos de Tróia, pode causar sérios problemas em redes e dispositivos finais. Os administradores de rede têm vários meios de mitigar esses ataques.

Nota: As técnicas de mitigação são frequentemente referidas na comunidade de segurança como “contramedidas”.

Uma maneira de mitigar ataques de vírus e cavalos de Tróia é o software antivírus. O software antivírus ajuda a impedir que os hosts sejam infectados e espalhem código malicioso. Isso requer muito mais tempo para limpar computadores infectados do que para manter atualizações de software antivírus e definições de antivírus nas mesmas máquinas.

O software antivírus é o produto de segurança mais amplamente implantado no mercado hoje. Várias empresas que criam software antivírus, como Symantec, McAfee e Trend Micro, estão no negócio de detectar e eliminar vírus há mais de uma década. Muitas corporações e instituições educacionais compram licenciamento por volume para seus usuários. Os usuários são capazes de fazer login em um site com sua conta e baixar o software antivírus em seus desktops, laptops ou servidores.

Os produtos antivírus têm opções de automação de atualização para que novas definições de vírus e novas atualizações de software possam ser baixadas automaticamente ou sob demanda. Esta prática é o requisito mais crítico para manter uma rede livre de vírus e deve ser formalizada em uma política de segurança de rede.

Os produtos antivírus são baseados em host. Esses produtos são instalados em computadores e servidores para detectar e eliminar vírus. No entanto, eles não impedem que vírus entrem na rede, portanto, um profissional de segurança de rede deve estar ciente dos principais vírus e acompanhar as atualizações de segurança em relação a vírus emergentes.

Outra maneira de mitigar ameaças de malware é evitar que arquivos de malware entrem na rede. Dispositivos de segurança no perímetro da rede podem identificar arquivos de malware conhecidos com base em seus indicadores de compromisso. Os arquivos podem ser removidos do fluxo de dados de entrada antes que eles possam causar um incidente. Infelizmente, os atores da ameaça estão cientes dessa contramedida e freqüentemente alteram seu malware o suficiente para evitar a detecção. Essas façanhas entrarão na rede e também evitarão software antivírus. Nenhuma técnica de mitigação pode ser 100% eficaz. Incidentes de segurança vão acontecer.

Mitigando Worms

Worms são mais baseados em rede do que vírus. A mitigação de worm requer diligência e coordenação por parte dos profissionais de segurança de rede.

Como mostrado na figura, a resposta a um ataque de vermes pode ser dividida em quatro fases: contenção, inoculação, quarentena e tratamento.

1. custos: A fase de contenção envolve limitar a propagação de uma infecção por vermes para áreas da rede que já estão afetadas. Isso requer compartimentação e segmentação da rede para abrandar ou parar o worm e evitar que hosts atualmente infectados segmentem e infectem outros sistemas. A contenção requer o uso de ACLs de saída e entrada em roteadores e firewalls em pontos de controle dentro da rede.

2. Inoculação: A fase de inoculação corre paralela ou subsequente à fase de contenção. Durante a fase de inoculação, todos os sistemas não infectados são corrigidos com o patch de fornecedor apropriado. O processo de inoculação priva ainda mais o worm de quaisquer alvos disponíveis.

3. Quarentena: A fase de quarentena envolve rastrear e identificar máquinas infectadas dentro das áreas contidas e desconectá-las, bloquear ou removê-las. Isto isola estes sistemas adequadamente para a fase de tratamento.

4. Tratamento: A fase de tratamento envolve a desinfecção ativa dos sistemas infectados. Isso pode envolver encerrar o processo do worm, remover arquivos modificados ou configurações do sistema introduzidos pelo worm e corrigir a vulnerabilidade que o worm usou para explorar o sistema. Alternativamente, em casos mais graves, o sistema pode precisar ser reinstalado para garantir que o worm e seus subprodutos sejam removidos.

Mitigando Ataques de Reconhecimento: Os ataques de reconhecimento são tipicamente o precursor de outros ataques que têm a intenção de obter acesso não autorizado a uma rede ou interromper a funcionalidade da rede. Um profissional de segurança de rede pode detectar quando um ataque de reconhecimento está em andamento recebendo notificações de alarmes pré-configurados. Estes alarmes são provocados quando determinados parâmetros são excedidos, tal como o número de pedidos ICMP por segundo. Uma variedade de tecnologias e dispositivos podem ser usados para monitorar esse tipo de atividade e gerar um alarme. A ferramenta de segurança adaptável (ASA) de Cisco fornece a prevenção da intrusão em um dispositivo autônomo. Além disso, o Cisco ISR apoia a prevenção de intrusão baseada em rede através da imagem de segurança do Cisco IOS.

Os ataques de reconhecimento podem ser mitigados de várias maneiras, incluindo o seguinte:

• Implementando a autenticação para garantir o acesso adequado.
• Usando criptografia para tornar os ataques de sniffer de pacotes inúteis.
• Usando ferramentas anti-sniffer para detectar ataques de sniffer de pacotes.
• Implementando uma infraestrutura comutada.
• Usando um firewall e IPS.

O software anti-sniffer e as ferramentas de hardware detectam mudanças no tempo de resposta dos hosts para determinar se os hosts estão processando mais tráfego do que suas próprias cargas de tráfego indicariam. Embora isso não elimine completamente a ameaça, como parte de um sistema geral de mitigação, pode reduzir o número de instâncias de ameaça.

A criptografia também é eficaz para mitigar ataques de sniffer de pacotes. Se o tráfego é criptografado, usar um sniffer de pacote é de pouca utilidade porque os dados capturados não são legíveis.

É impossível mitigar a varredura de portas, mas usar um sistema de prevenção de intrusões (IPS) e firewall pode limitar as informações que podem ser descobertas com um scanner de porta. As varreduras de ping podem ser paradas se o eco ICMP e a resposta de eco estiverem desligados nos roteadores de borda; contudo, quando esses serviços são desligados, os dados de diagnóstico de rede são perdidos. Além disso, as varreduras de porta podem ser executadas sem varreduras de ping completas. As varreduras simplesmente levam mais tempo porque os endereços IP inativos também são verificados.

A figura mostra métodos para mitigar ataques de reconhecimento. Um invasor é mostrado conectado entre duas redes. Há um grande X vermelho sobre o atacante.

Técnicas de mitigação de ataque de reconhecimento:

Mitigando ataques de acesso

Várias técnicas estão disponíveis para mitigar ataques de acesso. Estes incluem segurança de senha forte, princípio de confiança mínima, criptografia, aplicação de patches de sistema operacional e aplicativos.

Um número surpreendente de ataques de acesso é realizado através de simples adivinhação de senha ou ataques de dicionário de força bruta contra senhas. Para se defender contra isso, crie e imponha uma política de autenticação forte que inclua:

• Usar senhas fortes - Senhas fortes são pelo menos oito caracteres e contêm letras maiúsculas, letras minúsculas, números e caracteres especiais.
• Desativar contas após um número especificado de logins malsucedidos ter ocorrido - Esta prática ajuda a evitar tentativas contínuas de senha.

A rede também deve ser projetada usando o princípio da confiança mínima. Isso significa que os sistemas não devem usar um ao outro desnecessariamente. Por exemplo, se uma organização tiver um servidor confiável usado por dispositivos não confiáveis, como servidores Web, o servidor confiável não deve confiar nos dispositivos não confiáveis incondicionalmente.

A criptografia é um componente crítico de qualquer rede segura moderna. Recomenda-se o uso de criptografia para acesso remoto a uma rede. O tráfego do protocolo de roteamento também deve ser criptografado. Quanto mais o tráfego for criptografado, menos oportunidades que os hackers têm para interceptar dados com ataques man-in-the-middle.

O uso de protocolos de autenticação criptografados ou hash, juntamente com uma política de senha forte, reduz consideravelmente a probabilidade de ataques de acesso bem-sucedidos.

Por fim, eduque os funcionários sobre os riscos da engenharia social e desenvolva estratégias para validar identidades por telefone, e-mail ou pessoalmente. A autenticação multifator (MFA) tornou-se cada vez mais comum. Nesta abordagem, a autenticação requer dois ou mais meios independentes de verificação. Por exemplo, uma senha pode ser combinada com um código que é enviado por uma mensagem de texto. Software ou dispositivos separados podem ser usados para gerar tokens que são bons para apenas um uso. Esses valores de token, quando fornecidos com uma senha, fornecem uma camada adicional de segurança que impede o uso de senhas que foram adivinhadas ou roubadas por atores de ameaça.

Em geral, os ataques de acesso podem ser detectados através da revisão de logs, utilização da largura de banda e cargas de processo. A política de segurança de rede deve especificar que os logs são formalmente mantidos para todos os dispositivos e servidores de rede. Ao revisar os logs, o pessoal de segurança da rede pode determinar se ocorreu um número incomum de tentativas de login com falha.

Mitigação de Ataques DoS

Um dos primeiros sinais de um ataque DoS é um grande número de reclamações de usuários sobre recursos indisponíveis ou desempenho de rede excepcionalmente lento. Para minimizar o número de ataques, um pacote de software de utilização de rede deve estar sempre em execução. A análise do comportamento da rede pode detectar padrões incomuns de uso que indicam que um ataque DoS está ocorrendo. Um meio de detectar um comportamento incomum de rede deve ser exigido pela política de segurança de rede da organização. Um gráfico de utilização de rede mostrando atividade incomum também pode indicar um ataque DoS.

Os ataques DoS podem ser um componente de uma ofensiva maior. Os ataques DoS podem levar a problemas nos segmentos de rede dos computadores que estão sendo atacados. Por exemplo, a capacidade de pacote por segundo de um roteador entre a Internet e uma LAN pode ser excedida por um ataque, comprometendo não somente o sistema de destino, mas também os dispositivos de rede pelos quais o tráfego deve passar. Se o ataque for realizado em escala suficientemente grande, regiões geográficas inteiras de conectividade com a Internet podem ser comprometidas.

Historicamente, muitos ataques DoS foram provenientes de endereços falsificado. Os roteadores e switches Cisco apoiam um número de tecnologias antispoofing, tais como a segurança da porta, a espionagem do protocolo de configuração dinâmica do host (DHCP), o protetor da fonte IP, a inspeção do protocolo de resolução de endereço dinâmico (DAI), e as listas de controle de acesso (ACLs).

A cebola de segurança (security onion) e a alcachofra de segurança (security artichoke)

Existem duas analogias comuns que são usadas para descrever uma abordagem de defesa em profundidade.

Uma analogia comum usada para descrever uma abordagem de defesa em profundidade é chamada de “cebola de segurança”. Como ilustrado na figura, um ator de ameaça teria que descascar as defesas de uma rede camada por camada de uma maneira semelhante a descascar uma cebola. Somente depois de penetrar cada camada, o ator da ameaça alcançaria os dados ou o sistema de destino.

Observação: A cebola de segurança descrita nesta página é uma forma de visualizar a defesa em profundidade. Isso não deve ser confundido com o conjunto Security Onion de ferramentas de segurança de rede.

O cenário em mudança da rede, como a evolução das redes sem fronteiras, mudou essa analogia para a “alcachofra de segurança”, que beneficia o ator de ameaça.

Conforme ilustrado na figura, os atores da ameaça não precisam mais descascar cada camada. Eles só precisam remover certas “folhas de alcachofra”. O bônus é que cada “folha” da rede pode revelar dados confidenciais que não estão bem protegidos.

Por exemplo, é mais fácil para um agente de ameaça comprometer um dispositivo móvel do que comprometer um computador ou servidor interno protegido por camadas de defesa. Cada dispositivo móvel é uma folha. E folha após folha, tudo leva o hacker a mais dados. O coração da alcachofra é onde os dados mais confidenciais são encontrados. Cada folha fornece uma camada de proteção enquanto fornece simultaneamente um caminho para o ataque.

Nem todas as folhas precisam ser removidas para chegar ao coração da alcachofra. O hacker arranca a armadura de segurança ao longo do perímetro para chegar ao “coração” da empresa.

Enquanto os sistemas voltados para a Internet são geralmente muito bem protegidos e as proteções de limites são tipicamente sólidos, hackers persistentes, auxiliados por uma mistura de habilidade e sorte, eventualmente encontram uma lacuna nesse exterior hard-core através do qual eles podem entrar e ir onde quiserem.

Hashes

https://md5decrypt.net/

Como o Açúcar inflama o organismo?

Ontem falei sobre o chocolate e que ele deveria ser, no mínimo, 70% cacau para ter os benefícios. Isso porque os outros contém outras substâncias que podem ser prejudiciais ao seu organismo, dentre elas o açúcar.

Quem me acompanha sabe bem minha opinião sobre ele, mas não custa lembrar: Altamente calórico, sem nenhum valor nutricional, inflama seu corpo, coloca você cada vez mais perto de ter uma resistência insulínica, prejudica sua pele, aumenta o risco de depressão… a lista de malefícios simplesmente não acaba. E é pra tudo isso que você abre a porta do seu corpo quando consome açúcar pela mísera recompensa de um "bem estar" extremamente passageiro e viciante.

Nosso corpo reage à presença do açúcar no sangue e acaba tendo reações inflamatórias que acarretam mudanças prejudiciais à nossa saúde, como por exemplo:

• Ele inflama as artérias e as veias, aumentando o risco de varizes, de infarto e de derrame.
• Ele mexe com nosso desempenho sexual, prejudicando o fluxo sanguíneo, aumentando o risco de disfunção erétil nos homens e alterando o pH vaginal nas mulheres.
• Ele nos causa dor e prejudica nossas articulações.⠀As citocinas inflamatórias liberadas por ele na corrente sanguínea aumentam nossas dores e agravam a artrite.
• Ele faz mal aos nossos rins, prejudicando o fluxo sanguíneo, ele atrapalha os rins de fazer sua filtragem. O diabetes é uma das principais causas da insuficiência renal.
• Ele nos envelhece. A reação das proteínas com o açúcar no nosso sangue favorecem o envelhecimento precoce da nossa pele.

É muita coisa, né? Meu papel aqui é lembrar você todo dia da importância de se manter uma vida mais saudável, visando aquilo que lhe faz bem. E o açúcar refinado não é uma delas! Saiba mais em #DrBarakatAcucar

Post inspirado em @drjockers

Fonte: https://www.instagram.com/p/CRFbjwQnO_s/

Políticas de Segurança e Negócios

Uma política de segurança abrangente tem uma série de benefícios, incluindo os seguintes:

• Demonstra o compromisso de uma organização com a segurança
• Define as regras para o comportamento esperado
• Garante a consistência nas operações do sistema, aquisição e uso de software e hardware e manutenção
• Define as consequências legais das violações
• Dá ao pessoal de segurança o apoio da gestão

As políticas de segurança são usadas para informar os usuários, funcionários e gerentes sobre os requisitos de uma organização para proteger os ativos de tecnologia e informação. Uma política de segurança também especifica os mecanismos necessários para atender aos requisitos de segurança e fornece uma linha de base a partir da qual adquirir, configurar e auditar sistemas e redes de computadores para conformidade.

Diretivas que podem ser incluídas em uma diretiva de segurança:

• Política de identificação e autenticação: Especifica pessoas autorizadas que podem ter acesso a recursos de rede e procedimentos de verificação de identidade.
  
• Políticas de senha: Garante que as senhas atendam aos requisitos mínimos e sejam alteradas regularmente.
  
• Acceptable Use Policy (AUP): Identifica os aplicativos e usos de rede que são aceitáveis para a organização. Também podem identificar as ramificações, se esta política for violada.
  
• Política de acesso remoto: Identifica como os usuários remotos podem acessar uma rede e o que é acessível por meio de conectividade remota.
  
• Políticas de Manutenção de Rede: Especifica procedimentos de atualização de sistemas operacionais dos dispositivos de rede e de aplicativos de usuário final.
  
• Procedimentos de tratamento de incidentes: Descreve como os incidentes de segurança são tratados.

Um dos componentes de política de segurança mais comuns é um AUP. Isso também pode ser referido como uma política de uso apropriada. Este componente define o que os usuários têm ou não permissão para fazer nos vários componentes do sistema. Isso inclui o tipo de tráfego permitido na rede. A AUP deve ser a mais explícita possível, para evitar mal-entendidos. Por exemplo, um AUP pode listar sites específicos, grupos de notícias ou aplicativos de uso intensivo de largura de banda que são proibidos de serem acessados por computadores da empresa ou da rede da empresa. Cada funcionário deve ser obrigado a assinar uma AUP, e as AUPs assinadas devem ser mantidas durante a duração do emprego.

Políticas BYOD: Muitas organizações agora também devem oferecer suporte ao BYOD (Traga seu próprio dispositivo). Isso permite que os funcionários usem seus próprios dispositivos móveis para acessar sistemas, software, redes ou informações da empresa. O BYOD oferece vários benefícios importantes para as empresas, incluindo aumento da produtividade, redução dos custos operacionais e de TI, melhor mobilidade para os funcionários e maior atração quando se trata de contratar e reter funcionários.

No entanto, esses benefícios também trazem um maior risco de segurança das informações, pois o BYOD pode levar a violações de dados e maior responsabilidade para a organização. Uma política de segurança BYOD deve ser desenvolvida para realizar o seguinte:

• Especificar os objetivos do programa BYOD.
• Identificar quais funcionários podem trazer seus próprios dispositivos.
• Identificar quais dispositivos serão suportados.
• Identificar o nível de acesso que os funcionários são concedidos ao usar dispositivos pessoais.
• Descrever os direitos de acesso e as atividades permitidas ao pessoal de segurança no dispositivo.
• Identificar quais regulamentos devem ser cumpridos ao usar dispositivos de funcionários.
• Identificar as salvaguardas a serem implementadas se um dispositivo for comprometido.

As práticas recomendadas de segurança BYOD para ajudar a mitigar vulnerabilidades:

• Acesso protegido por senha: Use senhas exclusivas para cada dispositivo e conta.
  
• Controle manualmente a conectividade sem fio: Desative a conectividade Wi-Fi e Bluetooth quando não estiver em uso. Conecte-se apenas a redes confiáveis.
  
• Mantenha-se atualizado: Mantenha sempre o sistema operacional do dispositivo e outros softwares atualizados. O software atualizado geralmente contém patches de segurança para mitigar contra as ameaças ou explorações mais recentes.
  
• Dados de backup: Ative o backup do dispositivo caso ele seja perdido ou roubado.
  
• Ativar “Localizar meu dispositivo”: Assine um serviço de localizador de dispositivos com o recurso de apagamento remoto.
  
• Fornecer software antivírus: Fornecer software antivírus para dispositivos BYOD aprovados.
  
• Use um software gerenciamento de dispositivos móveis (MDM): O software MDM permite que as equipes de TI implementem configurações de segurança e configurações de software em todos os dispositivos que se conectam às redes da empresa.

Conformidade com regulamentações e padrões: Há também regulamentos externos em relação à segurança da rede. Os profissionais de segurança de rede devem estar familiarizados com as leis e códigos de ética que são vinculativos para os profissionais de Segurança de Sistemas de Informação (INFOSEC). Muitas organizações são obrigadas a desenvolver e implementar políticas de segurança. Os regulamentos de conformidade definem o que as organizações são responsáveis pelo fornecimento e a responsabilidade caso não cumpram. Os regulamentos de conformidade que uma organização é obrigada a seguir dependem do tipo de organização e dos dados que a organização manipula. Regulamentos específicos de conformidade serão discutidos mais tarde no curso.

Domínios de Segurança de Rede: É vital que os profissionais de segurança de rede compreendam as razões para a segurança da rede. Eles também devem estar familiarizados com os requisitos organizacionais de segurança de rede, como incorporados pelos 14 domínios de segurança de rede. Os domínios fornecem uma estrutura para discutir a segurança da rede e compreender as necessidades operacionais que devem ser abordadas por cada organização.

Existem 14 domínios de segurança de rede especificados pela International Organization for Standardization (ISO) /International Electrotechnical Commission (IEC). Descritos pela ISO/IEC 27001, esses 14 domínios servem para organizar, em alto nível, o vasto reino de informações e atividades sob o guarda-chuva da segurança da rede. Esses domínios têm alguns paralelos significativos com domínios definidos pela certificação Certified Information Systems Security Professional (CISSP).

Os 14 domínios têm como objetivo servir como uma base comum para o desenvolvimento de padrões de segurança organizacional e práticas eficazes de gerenciamento de segurança. Também ajudam a facilitar a comunicação entre as empresas. Estes 14 domínios fornecem uma separação conveniente dos elementos de segurança da rede. Embora não seja importante memorizar esses 14 domínios, é importante estar ciente de sua existência e declaração formal pela ISO. Na norma ISO 27001 estes são conhecidos como os 14 conjuntos de controle do Anexo A. Eles servirão como uma referência útil em seu trabalho como um profissional de segurança de rede.

1. Políticas de Segurança da Informação: Este anexo foi concebido para garantir que as políticas de segurança sejam criadas, revisadas e mantidas.
   
2. Organização da segurança da informação: Este é o modelo de governança estabelecido por uma empresa para a segurança da informação. Ele atribui responsabilidades para tarefas de segurança da informação dentro de uma organização.
   
3. Segurança de recursos humanos: Isso aborda as responsabilidades de segurança relacionadas a funcionários ingressando, movendo-se dentro e deixando uma organização.
   
4. Gerenciamento de ativos: Isso diz respeito à maneira como as organizações criam um inventário e esquema de classificação para ativos de informação.
   
5. Controle de acesso: Descreve a restrição dos direitos de acesso a redes, sistemas, aplicativos, funções e dados.
   
6. Criptografia: Isso diz respeito à criptografia de dados e ao gerenciamento de informações confidenciais para proteger a confidencialidade, a integridade e a disponibilidade dos dados.
   
7. Segurança física e ambiental: Isso descreve a proteção das instalações e equipamentos de computadores físicos dentro de uma organização.
   
8. Segurança de Operações: Isso descreve o gerenciamento de controles técnicos de segurança em sistemas e redes, incluindo defesas de malware, backup de dados, registro e monitoramento, gerenciamento de vulnerabilidades e considerações de auditoria. Este domínio também está preocupado com a integridade do software que é usado em operações comerciais.
   
9. Segurança de Comunicações: Isso diz respeito à segurança dos dados, uma vez que são comunicados em redes, tanto dentro de uma organização como entre e organização e terceiros, como clientes ou fornecedores.
   
10. Aquisição, Desenvolvimento e Manutenção do Sistema: Isso garante que a segurança das informações permaneça uma preocupação central nos processos de uma organização em todo o ciclo de vida, tanto em redes privadas quanto públicas.
    
11. Relacionamentos com fornecedores: Isso diz respeito à especificação de acordos contratuais que protegem os ativos de informação e tecnologia de uma organização que são acessíveis por terceiros que fornecem suprimentos e serviços à organização.
    
12. Gerenciamento de incidentes de segurança da informação: Descreve como antecipar e responder a violações de segurança da informação.
    
13. Gerenciamento de continuidade de negócios: Descreve a proteção, manutenção e recuperação de sistemas e processos essenciais para os negócios.
    
14. Conformidade: Descreve o processo de assegurar a conformidade com as políticas, normas e regulamentos de segurança da informação.

Políticas de Negócios: Políticas de negócios são as diretrizes que são desenvolvidas por uma organização para governar suas ações. As políticas definem padrões de comportamento correto para a empresa e seus funcionários. Na rede, as políticas definem as atividades permitidas na rede. Isso define uma linha de base de uso aceitável. Se um comportamento que viola a política de negócios for detectado na rede, é possível que tenha ocorrido uma violação de segurança. Uma organização pode ter várias diretivas orientadoras, conforme listado abaixo:

Políticas da empresa:

• Estas políticas estabelecem as regras de conduta e as responsabilidades dos trabalhadores e dos empregadores.
• As políticas protegem os direitos dos trabalhadores, bem como os interesses comerciais dos empregadores.
• Dependendo das necessidades da organização, várias políticas e procedimentos estabelecem regras relativas à conduta dos funcionários, assiduidade, código de vestimenta, privacidade e outras áreas relacionadas com os termos e condições de emprego.

Políticas de funcionários:

• Essas políticas são criadas e mantidas pela equipe de recursos humanos para identificar o salário dos funcionários, o cronograma de pagamento, os benefícios dos funcionários, o horário de trabalho, as férias e muito mais.
• Muitas vezes, eles são fornecidos a novos funcionários para revisar e assinar.

Políticas de segurança:

• Essas políticas identificam um conjunto de objetivos de segurança para uma empresa, definem as regras de comportamento para usuários e administradores e especificam os requisitos do sistema.
• Esses objetivos, regras e requisitos garantem coletivamente a segurança de uma rede e dos sistemas de computador em uma organização.
• Assim como um plano de continuidade, uma política de segurança é um documento em constante evolução com base em mudanças no cenário de ameaças, vulnerabilidades e requisitos de negócios e funcionários.

Algumas das Principais Certificações de Segurança de Rede

Centenas de milhares de postos de trabalho relacionados à segurança da rede não são preenchidos a cada ano. A demanda por profissionais de segurança de rede supera muito o número de candidatos qualificados. A obtenção de certificações de segurança de rede reconhecidas melhora consideravelmente suas qualificações para essas posições. Existem inúmeras certificações. As certificações para profissionais de segurança de rede são oferecidas pelas seguintes organizações:

• Certificação Global de Garantia de Informações (GIAC)
• Consórcio Internacional de Certificação de Segurança de Sistema de Informação (ISC) 2
• Associação de Auditoria e Controle de Sistemas de Informação (ISACA)
• Conselho Internacional de Consultores de Comércio Electrónico (EC-Council)
• Profissional de segurança sem fio certificado (CWSP)

A Cisco substituiu a certificação Cisco Certified Network Associate Security (210-260 IINS) com uma certificação nova da segurança CCNP. Esta certificação consiste em dois exames, um exame de núcleo de segurança e um exame de concentração. Apenas um exame de concentração é necessário. O exame de implementação e funcionamento das tecnologias de núcleo de segurança de Cisco (350-701 SCOR) serve como um gateway para certificações de segurança CCNP e CCIE. Ele também fornece certificação de núcleo de segurança. O exame principal abrange conceitos de segurança, ameaças e técnicas e tecnologias de mitigação. As especializações colocam o foco aprofundado em tecnologias específicas de segurança da Cisco. Os exames de concentração de segurança Cisco Certified Specialist são os seguintes:

• 300-710 SNCF - Segurança de rede Firepower
• SISE 300-715 - Implementando e configurando o Cisco Identity Services Engine
• 300-720 SESA - Protegendo o email com a ferramenta de segurança do email de Cisco
• 300-725 SWSA - Protegendo a Web com ferramenta de segurança da Web de Cisco
• 300-730 SVPN - Implementando soluções seguras com redes privadas virtuais
• 300-735 SAUTO - Automatização e programação das soluções de segurança da Cisco

Há muitas maneiras de se preparar para essas certificações, incluindo auto-estudo, educação exame privado, e ensino superior. A organização Learning at Cisco, junto com seus parceiros de aprendizagem, fornece informações e treinamento para a maioria dos exames de certificação Cisco.

Métodos de Evasão

Atores de ameaça aprenderam há muito tempo que “esconder é prosperar”. Isso significa que seus métodos de malware e ataque são mais eficazes quando não são detectados. Por esta razão, muitos ataques usam técnicas de evasão furtiva para disfarçar uma carga útil de ataque. Seu objetivo é evitar a detecção, evitando defesas de rede e host.

Alguns dos métodos de evasão usados por atores ameaçadores incluem:

Criptografia e encapsulamento: Essa técnica de evasão usa tunelamento para ocultar, ou criptografia para embaralhar, arquivos de malware. Isso torna difícil para muitas técnicas de detecção de segurança detectar e identificar o malware. Tunelamento pode significar ocultar dados roubados dentro de pacotes legítimos.

Esgotamento de recursos: Essa técnica de evasão torna o host de destino muito ocupado para usar corretamente técnicas de detecção de segurança.

Fragmentação do tráfego: Essa técnica de evasão divide uma carga maliciosa em pacotes menores para ignorar a detecção de segurança de rede. Depois que os pacotes fragmentados ignoram o sistema de detecção de segurança, o malware é remontado e pode começar a enviar dados confidenciais para fora da rede.

Interpretação errada no nível do protocolo: Essa técnica de evasão ocorre quando as defesas de rede não manipulam corretamente recursos de uma PDU como um valor de soma de verificação ou TTL. Isso pode enganar um firewall para ignorar pacotes que ele deve verificar.

Substituição de tráfego: Nesta técnica de evasão, o ator da ameaça tenta enganar um IPS ofuscando os dados na carga útil. Isso é feito codificando-o em um formato diferente. Por exemplo, o ator de ameaça poderia usar tráfego codificado em Unicode em vez de ASCII. O IPS não reconhece o verdadeiro significado dos dados, mas o sistema final de destino pode ler os dados.

Inserção de tráfego: Semelhante à substituição de tráfego, mas o agente de ameaça insere bytes extras de dados em uma sequência maliciosa de dados. As regras do IPS perdem os dados maliciosos, aceitando a sequência completa de dados.

Pivotando: Essa técnica pressupõe que o ator da ameaça comprometeu um host interno e deseja expandir seu acesso ainda mais para a rede comprometida. Um exemplo é um ator de ameaça que obteve acesso à senha de administrador em um host comprometido e está tentando fazer login em outro host usando as mesmas credenciais.

Rootkits: Um rootkit é uma ferramenta agressora complexa usada por atores experientes em ameaças. Ele se integra com os níveis mais baixos do sistema operacional. Quando um programa tenta listar arquivos, processos ou conexões de rede, o rootkit apresenta uma versão higienizada da saída, eliminando qualquer saída incriminadora. O objetivo do rootkit é ocultar completamente as atividades do atacante no sistema local.

Proxies: O tráfego de rede pode ser redirecionado através de sistemas intermediários para ocultar o destino final para dados roubados. Desta forma, comando e controle conhecidos não podem ser bloqueado por uma empresa porque o destino proxy parece benigno. Além disso, se os dados estiverem sendo roubados, o destino dos dados roubados pode ser distribuído entre muitos proxies, não chamando a atenção para o fato de que um único destino desconhecido está servindo como destino para grandes quantidades de tráfego de rede.

Novos métodos de ataque estão constantemente sendo desenvolvidos. O pessoal de segurança da rede deve estar ciente dos métodos de ataque mais recentes para detectá-los.

Ataques de DoS

Os ataques de DoS são um grande risco, porque interrompem a comunicação e causam perda significativa de tempo e dinheiro. Esses ataques são relativamente simples de conduzir, mesmo por um invasor não capacitado. Existem dois tipos principais de ataque de negação de serviço (DoS):

• Grande quantidade de tráfego - O agente de ameaças envia uma enorme quantidade de dados para avaliação que a rede, host ou aplicativo não pode manipular. Isso faz com que os tempos de transmissão e resposta diminuam. Também pode travar um dispositivo ou serviço.
• Pacotes maliciosamente formatados – O invasor envia um pacote formatado maliciosamente para um host ou aplicativo e o receptor não consegue manipulá-lo. Isso causa lentidão ou falha na execução do dispositivo receptor.

Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de negação de serviço (DoS), porém é originado por várias fontes coordenadas. Por exemplo, um agente de ameaça cria uma rede de hosts infectados, conhecidos como zumbis. O agente de ameaças usa um sistema de comando e controle (CnC) para enviar mensagens de controle aos zumbis. Os zumbis constantemente examinam e infectam mais hosts com malware bot. O malware bot é projetado para infectar um host, tornando-o um zumbi que pode se comunicar com o sistema CnC. Um grupo de zumbis é chamada de botnet. Quando pronto, o agente de ameaça instrui o sistema CnC a fazer com que o botnet de zumbis execute um ataque DDoS.

Componentes de ataques DDoS

Se os atores da ameaça podem comprometer muitos hosts, eles podem executar um ataque DoS distribuído (DDoS). Os ataques DDoS são semelhantes em intenção aos ataques DoS, exceto que um ataque DDoS aumenta em magnitude porque ele se origina de várias fontes coordenadas, como mostrado na figura. Um ataque DDoS pode usar centenas ou milhares de fontes, como em ataques DDoS baseados em IoT.

Os termos a seguir são usados para descrever componentes de um ataque DDoS:

zumbis

Isso se refere a um grupo de hosts comprometidos (ou seja, agentes). Esses hosts executam código malicioso conhecido como robôs (ou seja, bots). O malware zumbi tenta continuamente se auto-propagar como um worm.

bots

Os bots são malware projetado para infectar um host e se comunicar com um sistema manipulador. Os bots também podem registrar pressionamentos de teclas, coletar senhas, capturar e analisar pacotes e muito mais.

botnet

Isso se refere a um grupo de zumbis que foram infectados usando malware auto-propagado (ou seja, bots) e são controlados por manipuladores.

handlers

Isso se refere a um servidor primário de comando e controle (CnC ou C2) que controla grupos de zumbis. O originador de uma botnet pode usar o Internet Relay Chat (IRC) ou um servidor web no servidor C2 para controlar remotamente os zumbis.

botmaster

Este é o ator ameaça que está no controle da botnet e manipuladores.

Nota: Existe uma economia subterrânea onde os botnets podem ser comprados (e vendidos) por uma taxa nominal. Isso pode fornecer aos atores de ameaça botnets de hosts infectados prontos para lançar um ataque DDoS contra o alvo escolhido.

Ataques de Buffer Overflow

O objetivo de um ator de ameaça ao usar um ataque DoS de estouro de buffer é encontrar uma falha relacionada à memória do sistema em um servidor e explorá-la. Explorar a memória do buffer sobrecarregando-a com valores inesperados geralmente torna o sistema inoperável, criando um ataque DoS.

Por exemplo, um ator de ameaça insere entrada maior do que o esperado pelo aplicativo em execução em um servidor. O aplicativo aceita a grande quantidade de entrada e armazena na memória. O resultado é que ele pode consumir o buffer de memória associado e potencialmente substituir a memória adjacente, eventualmente corrompendo o sistema e fazendo com que ele falhe.

Um exemplo inicial do uso de pacotes mal formados foi o Ping of Death. Nesse ataque herdado, o ator de ameaça enviou um ping de morte, que era uma solicitação de eco em um pacote IP maior que o tamanho máximo de pacote de 65.535 bytes. O host receptor não seria capaz de lidar com um pacote desse tamanho e ele iria falhar.

Os ataques de estouro de buffer estão evoluindo continuamente. Por exemplo, uma vulnerabilidade de ataque remoto de negação de serviço foi descoberta recentemente no Microsoft Windows 10. Especificamente, um ator de ameaça criou código malicioso para acessar memória fora do escopo. Quando esse código é acessado pelo processo AHCACHE.SYS do Windows, ele tenta acionar uma falha do sistema, negando serviço ao usuário. Pesquise na Internet no “blog TALOS-2016-0191” para acessar o site de inteligência de ameaças Cisco Talos e ler uma descrição de tal ataque.

Observação: Estima-se que um terço dos ataques mal-intencionados sejam o resultado de estouros de buffer.

Práticas recomendadas de proteção de engenharia social

As empresas devem educar seus usuários sobre os riscos da engenharia social e desenvolver estratégias para validar identidades por telefone, via email ou pessoalmente.

A figura mostra práticas recomendadas que devem ser seguidas por todos os usuários.

Fortalecimento do elo mais fraco

A cibersegurança é tão forte quanto seu elo mais fraco. Como computadores e outros dispositivos conectados à Internet se tornaram uma parte essencial de nossas vidas, eles não parecem mais novos ou diferentes. As pessoas se tornaram muito casuais no uso desses dispositivos e raramente pensam em segurança de rede. O elo mais fraco na segurança cibernética pode ser o pessoal dentro de uma organização, e a engenharia social é uma grande ameaça à segurança. Por isso, uma das medidas de segurança mais eficazes que uma organização pode tomar é treinar seu pessoal e criar uma “cultura consciente da segurança”.

Methods for Understanding and Reducing Social Engineering Attacks: 
https://www.sans.org/white-papers/36972/

Ferramentas de Segurança e Tipos de Ataque

O hacking ético envolve o uso de muitos tipos diferentes de ferramentas para testar a rede e os dispositivos finais. Para validar a segurança de uma rede e seus sistemas, muitas ferramentas de teste de penetração de rede foram desenvolvidas. No entanto, muitas dessas ferramentas também podem ser usadas por atores ameaçadores para exploração.

Atores de ameaças também criaram várias ferramentas de hacking. Essas ferramentas são escritas explicitamente por motivos nefastos. O pessoal de segurança cibernética também deve saber como usar essas ferramentas ao realizar testes de penetração na rede.

Explore as categorias de ferramentas comuns de teste de penetração de rede. Observe como algumas ferramentas são usadas pelos white hats e black hats. Lembre-se de que a lista não é exaustiva, pois novas ferramentas são continuamente desenvolvidas.

Nota: Muitas dessas ferramentas são baseadas em UNIX ou Linux; portanto, um profissional de segurança deve ter uma sólida experiência em UNIX e Linux.

• crackers da senha: As senhas são a ameaça de segurança mais vulnerável. As ferramentas de quebra de senha são freqüentemente chamadas de ferramentas de recuperação de senha e podem ser usadas para quebrar ou recuperar a senha. Isso é feito removendo a senha original, depois de ignorar a criptografia de dados, ou pela descoberta direta da senha. Os crackers de senhas repetidamente fazem suposições para decifrar a senha e acessar o sistema. Exemplos de ferramentas de quebra de senha incluem John the Ripper, Ophcrack, L0phtCrack, THC Hydra, RainbowCrack e Medusa.
  
  
• ferramentas de hacking sem fio: As redes sem fio são mais suscetíveis a ameaças à segurança da rede. As ferramentas de hackers sem fio são usadas para invadir intencionalmente uma rede sem fio para detectar vulnerabilidades de segurança. Exemplos de ferramentas de hacking sem fio incluem Aircrack-ng, Kismet, InSSIDer, KisMAC, Firesheep e NetStumbler.
  
  
• digitalização de rede e ferramentas de hacking: As ferramentas de verificação de rede são usadas para investigar dispositivos, servidores e hosts de rede em busca de portas TCP ou UDP abertas. Exemplos de ferramentas de digitalização incluem Nmap, SuperScan, Angry IP Scanner e NetScanTools.
  
  
• ferramentas de elaboração de pacotes: Ferramentas de criação de pacotes são usadas para sondar e testar a robustez de um firewall usando pacotes forjados especialmente criados. Exemplos de tais ferramentas incluem Hping, Scapy, Socat, Yersinia, Netcat, Nping e Nemesis.
  
  
• sniffer de pacotes: As ferramentas de farejadores de pacotes são usadas para capturar e analisar pacotes em LANs Ethernet ou WLANs tradicionais. As ferramentas incluem Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy e SSLstrip.
  
  
• detectores de rootkit: Um detector de rootkit é um verificador de integridade de diretório e arquivo usado por white hats para detectar root kits instalados. Exemplos de ferramentas incluem AIDE, Netfilter e PF: OpenBSD Packet Filter.
  
  
• fuzzers para pesquisar vulnerabilidades: Fuzzers são ferramentas usadas por agentes de ameaças ao tentar descobrir vulnerabilidades de segurança de um sistema de computador. Exemplos de difusores incluem Skipfish, Wapiti e W3af.
  
  
• ferramentas forenses: Hackers White hat usam ferramentas forenses para farejar qualquer vestígio de evidência existente em um sistema de computador específico. Exemplos de ferramentas incluem Sleuth Kit, Helix, Maltego e Encase.
  
  
• depuradores: Ferramentas de depuração são usadas por Black Hats para fazer engenharia reversa de arquivos binários ao escrever exploits. Eles também são usados por white hats ao analisar malware. As ferramentas de depuração incluem GDB, WinDbg, IDA Pro, and Immunity Debugger.
  
  
• hackeando sistemas operacionais: Os sistemas operacionais de hacking são sistemas operacionais especialmente projetados, pré-carregados com ferramentas e tecnologias otimizadas para hackers. Exemplos de sistemas operacionais de hacking especialmente projetados incluem Kali Linux, SELinux, Knoppix, Parrot OS e BackBox Linux.
  
  
• ferramentas de criptografia: Essas ferramentas salvaguardam o conteúdo dos dados de uma organização quando são armazenados ou transmitidos. As ferramentas de criptografia usam esquemas de algoritmo para codificar os dados e evitar o acesso não autorizado aos dados. Exemplos dessas ferramentas incluem VeraCrypt, CipherShed, Open SSH, OpenSSL, OpenVPN e Stunnel.
  
  
• ferramentas de exploração de vulnerabilidade: Essas ferramentas identificam se um host remoto é vulnerável a um ataque de segurança. Exemplos de ferramentas de exploração de vulnerabilidade incluem Metasploit, Core Impact, Sqlmap, Social Engineer Tool Kit e Netsparker.
  
  
• scanner de vulnerabilidades: Essas ferramentas examinam uma rede ou sistema para identificar portas abertas. Eles também podem ser usados para verificar vulnerabilidades conhecidas e verificar VMs, dispositivos BYOD e bancos de dados do cliente Exemplos dessas ferramentas incluem Nipper, Securia PSI, Core Impact, Nessus, SAINT e Open VAS.

Os atores da ameaça podem usar as ferramentas mencionadas anteriormente ou uma combinação de ferramentas para criar vários ataques. A tabela exibe tipos comuns de ataques. No entanto, a lista de ataques não é exaustiva, pois novas maneiras de atacar redes são continuamente descobertas.

É importante entender que os atores de ameaças usam uma variedade de ferramentas de segurança para realizar esses ataques.

• Ataque de escuta: Um ataque de espionagem ocorre quando um agente de ameaça captura e escuta o tráfego da rede. Esse ataque também é chamado de sniffing ou snooping.
  
  
• Ataque de modificação de dados: Ataques de modificação de dados ocorrem quando um agente de ameaça capturou o tráfego da empresa e alterou os dados nos pacotes sem o conhecimento do remetente ou receptor.
  
  
• Ataque de Falsificação de Endereços IP: Um ataque de falsificação de endereço IP ocorre quando um ator de ameaça constrói um pacote IP que parece se originar de um endereço válido dentro da intranet corporativa.
  
  
• Ataques baseados em senha: Ataques baseados em senha ocorrem quando um ator de ameaça obtém as credenciais de uma conta de usuário válida. Em seguida, os atores de ameaças usam essa conta para obter listas de outros usuários e informações de rede. Eles também podem alterar as configurações de servidor e rede e modificar, redirecionar ou excluir dados.
  
  
• Ataque de negação de serviço (DoS): Um ataque de DoS impede o uso normal de um computador ou rede por usuários válidos. Depois de obter acesso a uma rede, um ataque DoS pode travar aplicativos ou serviços de rede. Um ataque de DoS pode inundar um computador ou toda a rede com tráfego até que um desligamento ocorra devido à sobrecarga. Um ataque de DoS também pode bloquear o tráfego, o que resulta na perda de acesso aos recursos da rede por usuários autorizados.
  
  
• Ataque man-in-the-middle (MiTM): Um ataque MiTM ocorre quando os agentes da ameaça se posicionam entre a origem e o destino. Agora eles podem monitorar, capturar e controlar ativamente a comunicação de forma transparente.
  
  
• Ataque de chave comprometida: Um ataque de chave comprometida ocorre quando um ator de ameaça obtém uma chave secreta. Isto é referido como uma chave comprometida. Uma chave comprometida pode ser usada para obter acesso a uma comunicação segura sem que o remetente ou o destinatário esteja ciente do ataque.
  
  
• Ataque Sniffer: Um sniffer é um aplicativo ou dispositivo que pode ler, monitorar e capturar trocas de dados de rede e ler pacotes de rede. Se os pacotes não estiverem criptografados, um sniffer fornece uma visão completa dos dados dentro do pacote. Até mesmo pacotes encapsulados podem ser quebrados abertos e lidos, a menos que sejam criptografados e que o ator de ameaça não tenha acesso à chave.

Ataques de Reconhecimento: Reconhecimento é coleta de informações. É análogo a um ladrão que inspeciona um bairro indo de porta em porta fingindo vender alguma coisa. O que o ladrão está realmente fazendo é procurando casas vulneráveis, como residências desocupadas, residências com portas ou janelas fáceis de abrir e residências sem sistemas de segurança ou câmeras de segurança. Os atores de ameaças usam ataques de reconhecimento (ou recon) para fazer descobertas e mapeamentos não autorizados de sistemas, serviços ou vulnerabilidades. Os ataques Recon precedem ataques de acesso ou ataques DoS. Algumas das técnicas usadas pelos atores de ameaças mal-intencionadas para realizar ataques de reconhecimento estão descritas abaixo:

• Executar uma consulta de informações de um alvo: O agente de ameaça está procurando informações iniciais sobre um alvo. Várias ferramentas podem ser usadas, incluindo a pesquisa no Google, o site das organizações, whois e muito mais.
  
  
• Iniciar uma varredura de ping da rede de destino: A consulta de informações geralmente revela o endereço de rede de destino. O agente de ameaça agora pode iniciar uma varredura de ping para determinar quais endereços IP estão ativos.
  
  
• Iniciar uma verificação de porta nos endereços IP ativos: Isso é usado para determinar quais portas ou serviços estão disponíveis. Exemplos de scanners de portas incluem Nmap, SuperScan, Angry IP Scanner e NetScanTools.
  
  
• Executar o scanner de vulnerabilidades: Isso é para consultar as portas identificadas para determinar o tipo e a versão do aplicativo e do sistema operacional que está sendo executado no host. Exemplos de ferramentas incluem Nipper, Secuna PSI, Core Impact, Nessus v6, SAINT e Open VAS.
  
  
• Executar ferramentas de exploração: O agente de ameaças agora tenta descobrir serviços vulneráveis que podem ser explorados. Existe uma variedade de ferramentas de exploração de vulnerabilidades, incluindo Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit e Netsparker.

Ataques de Acesso: Os ataques de acesso exploram vulnerabilidades conhecidas em serviços de autenticação, serviços de FTP e serviços da Web. O objetivo desse tipo de ataque é obter acesso a contas da web, bancos de dados confidenciais e outras informações confidenciais. Os atores de ameaças usam ataques de acesso a dispositivos de rede e computadores para recuperar dados, obter acesso ou escalar privilégios de acesso ao status de administrador.

• Ataques de senha: Em um ataque de senha, o agente de ameaça tenta descobrir senhas críticas do sistema usando vários métodos. Os ataques de senha são muito comuns e podem ser iniciados usando uma variedade de ferramentas de quebra de senha.
• Ataques de falsificação (spoofing): Nos ataques de falsificação, o dispositivo do agente de ameaças tenta se passar por outro dispositivo falsificando os dados. Ataques comuns incluem falsificação IP (IP spoofing), falsificação MAC (MAC spoofing), e falsificação DHCP (DHCP spoofing). Esses ataques de falsificação serão discutidos em mais detalhes posteriormente neste módulo

Outros ataques de acesso incluem:

• Exploração de confiança: Em um ataque de exploração de confiança, um agente de ameaça usa privilégios não autorizados para obter acesso a um sistema, possivelmente comprometendo o alvo. Clique em Reproduzir na figura para visualizar um exemplo de exploração de confiança.
  
  
  
  
  
• Redirecionamento de porta: Em um ataque de redirecionamento de porta, um agente de ameaça usa um sistema comprometido como base para ataques contra outros alvos. O exemplo na figura mostra um agente de ameaça usando SSH (porta 22) para conectar-se a um host A comprometido. O host A é confiável pelo host B e, portanto, o agente de ameaça pode usar o Telnet (porta 23) para acessá-lo.
  
  
  
  
  
• Ataque man in the middle: Em um ataque man-in-the-middle, o agente de ameaça é posicionado entre duas entidades legítimas para ler ou modificar os dados que passam entre as duas partes. A figura mostra um exemplo de ataque do tipo man-in-the-middle.
  
  
  
  
  
• Ataque de saturação do buffer: Em um ataque de estouro de buffer, o agente de ameaça explora a memória do buffer e a sobrecarrega com valores inesperados. Isso geralmente torna o sistema inoperante, criando um ataque de DoS. A figura mostra que o agente de ameaça está enviando muitos pacotes para a vítima na tentativa de sobrecarregar o buffer da vítima.
  
  
  

Ataques de engenharia social: Engenharia social é um ataque de acesso que tenta manipular indivíduos para realizar ações ou divulgar informações confidenciais. Algumas técnicas de engenharia social são realizadas pessoalmente, enquanto outras podem usar o telefone ou a Internet. Os engenheiros sociais frequentemente dependem da boa vontade das pessoas para ajuda. Eles também atacam as fraquezas das pessoas. Por exemplo, um agente de ameaças pode chamar um funcionário autorizado com um problema urgente, que requer acesso imediato à rede. O agente de ameaças pode recorrer à vaidade do funcionário, valer-se de autoridade usando técnicas que citam nomes ou apelar para a ganância do funcionário. Informações sobre técnicas de engenharia social são mostradas abaixo:

• Pretexting: Um ator de ameaça finge precisar de dados pessoais ou financeiros para confirmar a identidade do destinatário.
  
  
• Phishing: Um agente de ameaças envia e-mails fraudulentos, disfarçados de fontes legítimas e confiáveis, para induzir o destinatário a instalar malware em seu dispositivo ou compartilhar informações pessoais ou financeiras.
  
  
• Spear phishing: Um agente de ameaça cria um ataque de phishing direcionado, personalizado para um indivíduo ou organização específico.
  
  
• Spam: Também conhecido como lixo eletrônico, este é um e-mail não solicitado que geralmente contém links prejudiciais, malware ou conteúdo enganoso.
  
  
• Algo por Algo: Às vezes chamado de Algo por algo, é quando um ator da ameaça solicita informações pessoais de uma parte em troca de algo como um presente.
  
  
• Iscas: Um agente de ameaça deixa uma unidade flash infectada por malware em um local público. Uma vítima encontra a unidade e a insere inconscientemente em seu laptop, instalando involuntariamente malware.
  
  
• Representação: Nesse tipo de ataque, um ator de ameaça finge ser outra pessoa para ganhar a confiança da vítima.
  
  
• Tailgating: É aqui que um agente de ameaças segue rapidamente uma pessoa autorizada para um local seguro para obter acesso a uma área segura.
  
  
• Navegação bisbilhoteira: É aqui que o agente de ameaça olha discretamente por cima do ombro de alguém para roubar suas senhas ou outras informações.
  
  
• Busca de informações na lixeira: É aqui que um ator de ameaças vasculha latas de lixo para descobrir documentos confidenciais.

O Social Engineer Toolkit (SET) foi projetado para ajudar hackers whitehat e outros profissionais de segurança de rede a criar ataques de engenharia social para testar suas próprias redes. É um conjunto de ferramentas baseadas em menu que ajudam a lançar ataques de engenharia social. O SET é apenas para fins educacionais. Está disponível gratuitamente na Internet.

https://www.trustedsec.com/tools/the-social-engineer-toolkit-set/

Plataformas de segurança de dados

As plataformas de segurança de dados (DSP) são uma solução de segurança integrada que combina ferramentas tradicionalmente independentes em um conjunto de ferramentas que são feitas para trabalhar juntas. As ferramentas de segurança que protegem e monitoram redes geralmente são feitas por diferentes fornecedores. Pode ser difícil integrar essas ferramentas de tal forma que uma visão única da segurança da rede possa ser alcançada. Recursos significativos podem ser necessários para ter diferentes dispositivos e softwares sob uma única solução de controle. Além disso, a integração de dados de tais ferramentas diversas em uma visão abrangente de monitoramento da rede pode ser muito difícil de criar e manter.

Um desses DSP é a plataforma Helix da FireEye. FireEye Helix é uma plataforma de operações de segurança baseada em nuvem que permite às organizações integrar muitas funcionalidades de segurança em uma única plataforma. O Helix fornece gerenciamento de eventos, análise de comportamento de rede, detecção avançada de ameaças e orquestração, automação e resposta de segurança de incidentes (SOAR) para resposta a ameaças à medida que são detectadas. Helix também se baseia em inteligência contra ameaças FireEye Mandiant, resposta a incidentes e experiência em segurança.

https://fireeye.dev/docs/about/fireeye/

https://www.splunk.com/en_us/products/cyber-security.html

Outro DSP integrado é Cisco SecureX. SecureX vai um passo mais longe com sua forte integração com o portfólio Cisco Secure. O portfólio Cisco Secure consiste em um amplo conjunto de tecnologias que funcionam como uma equipe - fornecendo interoperabilidade com a infraestrutura de segurança, incluindo tecnologias de terceiros. Isso resulta em visibilidade unificada, automação e defesas mais fortes. A plataforma Cisco SecureX trabalha com diversos produtos que se combinam para proteger sua rede, usuários e endpoints, borda da nuvem e aplicativos. A funcionalidade SecureX é incorporada em um portfólio grande e diversificado de produtos de segurança da Cisco, incluindo firewalls de próxima geração, VPN, análise de rede, mecanismo de serviço de identidade, proteção avançada contra malware (AMP) e muitos outros sistemas que trabalham para proteger todos os aspectos de uma rede. O SecureX também integra uma variedade de ferramentas de segurança de terceiros.

https://www.cisco.com/site/br/pt/products/security/securex-platform/index.html

Termos e Conceitos sobre segurança de rede

Para entender melhor qualquer discussão sobre segurança de rede, é importante conhecer os seguintes termos:

Ameaça:
Um perigo potencial para um ativo, como dados ou a própria rede.

Vulnerabilidade:
Uma fraqueza em um sistema ou em seu design que pode ser explorada por uma ameaça.

Superfície de ataque:
Uma superfície de ataque é a soma total das vulnerabilidades em um determinado sistema que são acessíveis a um invasor. A superfície de ataque descreve diferentes pontos em que um invasor pode entrar em um sistema e onde ele pode obter dados do sistema. Por exemplo, o sistema operacional e o navegador da Web podem precisar de patches de segurança. Cada um deles é vulnerável a ataques e está exposto na rede ou na internet. Juntos, eles criam uma superfície de ataque que o ator ameaça pode explorar.

Exploit:
O mecanismo que é usado para alavancar uma vulnerabilidade para comprometer um ativo. As explorações podem ser remotas ou locais. Uma exploração remota é aquela que funciona através da rede sem qualquer acesso prévio ao sistema de destino. O invasor não precisa de uma conta no sistema final para explorar a vulnerabilidade. Em uma exploração local, o ator de ameaça tem algum tipo de acesso administrativo ou de usuário ao sistema final. Uma exploração local não significa necessariamente que o invasor tenha acesso físico ao sistema final.

Risco:
A probabilidade de uma determinada ameaça explorar uma vulnerabilidade específica de um ativo e resultar em uma consequência indesejável.

A gestão de riscos é o processo que equilibra os custos operacionais de provisão de medidas de proteção com os ganhos obtidos através da proteção do ativo. Existem quatro maneiras comuns de gerenciar o risco, como mostrado abaixo.

Estratégia de gestão de riscos

• Aceitação de riscos: Isso ocorre quando o custo das opções de gerenciamento de risco supera o custo do próprio risco. O risco é aceito, e nenhuma ação é tomada.
• Prevenção de riscos: Isto significa evitar qualquer exposição ao risco eliminando a atividade ou dispositivo que apresenta o risco. Ao eliminar uma atividade para evitar riscos, todos os benefícios possíveis da atividade também são perdidos.
• Redução de risco: Isto reduz a exposição ao risco ou reduz o impacto do risco, tomando medidas para diminuir o risco. É a estratégia de mitigação de riscos mais utilizada. Essa estratégia requer uma avaliação cuidadosa dos custos de perda, da estratégia de mitigação e dos benefícios obtidos com a operação ou atividade que está em risco.
• Transferência de risco: Parte ou todo o risco é transferido para um terceiro disposto, como uma companhia de seguros.

Outros termos de segurança de rede comumente usados incluem:

• Contramedida — As ações que são tomadas para proteger ativos, atenuando uma ameaça ou reduzindo o risco.
• Impacto - O dano potencial à organização causado pela ameaça.

Observação: uma exploração local requer acesso interno à rede, como um usuário com uma conta na rede. Uma exploração remota não requer uma conta na rede para explorar a vulnerabilidade dessa rede.

Algumas das Principais Agências, Centrais e Comunidades de Cibersegurança

Para proteger uma rede com eficácia, os profissionais de segurança devem se manter informados sobre as ameaças e vulnerabilidades conforme elas evoluem. Existem muitas organizações de segurança que fornecem inteligência de rede. Eles fornecem recursos, workshops e conferências para ajudar os profissionais de segurança. Essas organizações geralmente possuem as informações mais recentes sobre ameaças e vulnerabilidades.

Lista de algumas organizações importantes de segurança de rede:

SANS: Os recursos do SysAdmin, Audit, Network, Security (SANS) Institute são amplamente gratuitos mediante solicitação e incluem:

• O Internet Storm Center - o popular sistema de alerta antecipado da internet
• NewsBites, o resumo semanal de artigos de notícias sobre segurança de computadores.
• @RISK, o resumo semanal de vetores de ataque recém-descobertos, vulnerabilidades com exploits ativos e explicações de como os ataques recentes funcionaram
• Alertas de segurança rápidos
• Sala de Leitura - mais de 1.200 trabalhos de pesquisa originais premiados.
• O SANS também desenvolve cursos de segurança.

Mitre: A Mitre Corporation mantém uma lista de vulnerabilidades e exposições comuns (CVE) usadas por organizações de segurança proeminentes, facilitando o compartilhamento de dados. O CVE serve como um dicionário de nomes comuns (ou seja, identificadores CVE) para vulnerabilidades de segurança cibernética conhecidas.

FIRST: O Forum of Incident Response and Security Teams (FIRST) é uma empresa de segurança que une uma variedade de equipes de resposta a incidentes de segurança do computador provenientes de organizações governamentais, comerciais e educacionais, com o objetivo de promover a cooperação e a coordenação de compartilhamento de informações, prevenção de incidente e reação rápida.

SecurityNewsWire: Um portal de notícias de segurança que agrega as últimas notícias relacionadas a alertas, explorações e vulnerabilidades.

(ISC)2: O Consórcio Internacional de Certificação de Segurança de Sistemas de Informação (ISC2) fornece produtos educacionais neutros de fornecedores e serviços de carreira para mais de 75.000 profissionais da indústria em mais de 135 países.

CIS: O Center for Internet Security (CIS) é um ponto focal para prevenção, proteção, resposta e recuperação de ameaças cibernéticas para governos estaduais, locais, tribais e territoriais (SLTT) por meio do Centro de Análise e Compartilhamento de Informações Multiestaduais (MS-ISAC ) O MS-ISAC oferece alertas e alertas de ameaças cibernéticas 24 horas por dia, 7 dias por semana, identificação de vulnerabilidades e mitigação e resposta a incidentes.

Para permanecer eficaz, um profissional de segurança de rede deve:

Mantenha-se informado sobre as ameaças mais recentes - Isso inclui assinar feeds em tempo real sobre ameaças, consultar sites relacionados à segurança rotineiramente, acompanhar blogs e podcasts de segurança e muito mais.

Continuar a atualizar as habilidades - Isso inclui participar de treinamentos, workshops e conferências relacionados à segurança.

Nota: A segurança de rede tem uma curva de aprendizado muito acentuada e exige um compromisso com o desenvolvimento profissional contínuo.

• https://www.sans.org
• https://attack.mitre.org
• https://cve.mitre.org
• https://www.first.org
• https://www.securitymagazine.com/
• https://www.isc2.org/
• https://www.cisecurity.org/

Outros:

• https://cert.br
• https://www.gov.br/cisc/pt-br
• https://www.cisa.gov/ 
• https://staysafeonline.org/
• https://www.enisa.europa.eu/
• https://www.isaca.org/