Conceitos Introdutórios de Segurança Cibernética

Questions and Answers

Qual dos seguintes representa a definição mais precisa de uma 'ameaça' no contexto de segurança cibernética?

• Um software malicioso que explora vulnerabilidades em sistemas.
• Um ato deliberado de exploração de sistemas para ganho financeiro.
• Uma fraqueza específica em um ativo de TI ou um controle de segurança.
• Uma causa potencial de um incidente de segurança indesejado. (correct)

Em termos de segurança da informação, qual das alternativas define corretamente o que é um 'ativo'?

• Qualquer recurso, lógico ou físico, de uma organização que necessita de proteção. (correct)
• Um método de ataque utilizado por criminosos cibernéticos para roubar dados.
• Qualquer software utilizado para proteger uma rede contra intrusões.
• Um conjunto de políticas de segurança implementadas para proteger dados.

Qual das opções a seguir descreve melhor a relação entre vulnerabilidade, ameaça e ataque em segurança cibernética?

• Uma vulnerabilidade é a causa de todas as ameaças e ataques.
• Um ataque é uma vulnerabilidade mitigada por uma ameaça.
• Uma ameaça explora vulnerabilidades em ativos, resultando em um ataque. (correct)
• Um ataque cria vulnerabilidades que são exploradas por ameaças.

Qual dos seguintes grupos é mais provável de ser motivado por ganhos financeiros derivados de suas atividades cibernéticas?

Criminosos cibernéticos. (B)

Qual dos seguintes termos descreve melhor a soma total de todos os pontos de entrada potenciais através dos quais um atacante pode tentar entrar em um sistema ou rede?

Superfície de ataque. (C)

Dentro da tríade da segurança da informação, qual propriedade garante que a informação não seja acessível a entidades não autorizadas?

Confidencialidade. (D)

Se um invasor modifica dados em um banco de dados sem autorização, qual princípio da segurança da informação é diretamente comprometido?

Integridade. (D)

Qual propriedade de segurança da informação garante que um sistema esteja operacional e acessível quando necessário?

Disponibilidade. (D)

Qual dos seguintes conceitos de segurança da informação permite rastrear ações até um indivíduo específico?

Responsabilização (Accountability). (C)

Assinale a alternativa que melhor define o conceito de 'não-repúdio' em segurança da informação.

Prova da relação entre um evento ou ação e a entidade que a originou. (A)

Qual das seguintes opções representa um sistema de detecção de intrusão (IDS)?

Um sistema que monitora o tráfego de rede e sistemas para identificar atividades suspeitas. (C)

Qual é a principal razão pela qual as organizações precisam de Sistemas de Detecção de Intrusão (IDS), mesmo com outras medidas de segurança em vigor?

Porque nenhum sistema de segurança é 100% eficaz e novas ameaças surgem constantemente. (D)

Qual das seguintes opções descreve melhor o papel dos 'sensores' em um Sistema de Detecção de Intrusão (IDS)?

Capturar dados brutos do tráfego de rede ou atividades do sistema. (C)

O que distingue um Sistema de Detecção de Intrusão baseado em Host (HIDS) de um Sistema de Detecção de Intrusão baseado em Rede (NIDS)?

HIDS monitora um único dispositivo em busca de atividades suspeitas, enquanto NIDS monitora o tráfego em toda a rede. (A)

Em um IDS, qual técnica de detecção compara os dados coletados com um banco de dados de assinaturas de ataques conhecidos?

Detecção baseada em assinaturas. (B)

Qual técnica de detecção de intrusão é mais eficaz na identificação de ataques desconhecidos, mas também pode gerar mais falsos positivos?

Baseada em anomalias. (B)

Qual dos seguintes desafios é mais crítico ao implementar um Sistema de Detecção de Intrusão (IDS) em uma rede moderna?

Monitorar redes de alta velocidade e lidar com tráfego criptografado. (C)

Qual dos seguintes incidentes cibernéticos históricos envolveu um malware que causou danos físicos a equipamentos industriais?

Stuxnet (2010). (B)

Qual tipo de ameaça cibernética envolve a utilização de e-mails ou sites falsos para enganar os usuários e obter informações confidenciais?

Phishing. (C)

Qual é a principal diferença entre phishing e spear phishing?

Phishing é direcionado a grandes grupos, enquanto spear phishing é focado em indivíduos específicos. (D)

Qual tipo de ataque cibernético envolve a criptografia de dados de um sistema, seguido por uma exigência de pagamento para restaurar o acesso aos dados?

Ransomware. (A)

O que são ataques DDoS (Distributed Denial of Service) e qual é o seu principal objetivo?

Ataques coordenados de múltiplas fontes para sobrecarregar e interromper serviços e redes. (A)

Qual das seguintes opções descreve melhor o termo 'engenharia social' no contexto de segurança cibernética?

A manipulação psicológica de pessoas para que realizem ações que comprometam a segurança. (A)

Qual dos seguintes termos descreve o método ou caminho usado por um agente malicioso para atingir o alvo?

Vetor de ameaça. (A)

Qual das seguintes opções descreve o conceito de 'violação de dados' (data breach)?

Um incidente em que dados protegidos são acessados ou roubados por indivíduos não autorizados. (C)

Qual tipo de vulnerabilidade resulta de erros no código de um software, como um buffer overflow?

Vulnerabilidade de software. (B)

O que é o CVE (Common Vulnerabilities and Exposures)?

Uma lista padronizada de vulnerabilidades de segurança, cada uma identificada por um número único. (A)

Qual é a função do CVSS (Common Vulnerability Scoring System)?

Calcular um score para classificar a severidade das vulnerabilidades com base em métricas técnicas. (C)

Qual dos seguintes é um programa ou código desenvolvido para explorar vulnerabilidades de sistemas e obter acesso não autorizado?

Exploit. (C)

Em termos de segurança cibernética, qual é o papel de um 'Red Team'?

Simular ataques para testar e identificar fraquezas na segurança. (D)

O que distingue um hacker 'Black Hat' de um 'White Hat'?

Black Hats exploram vulnerabilidades sem permissão, geralmente com intenções maliciosas, enquanto White Hats realizam testes com autorização. (B)

Qual termo descreve um atacante com pouco conhecimento técnico que usa ferramentas prontas para realizar ataques?

Script Kiddie (Amador). (A)

Qual é o propósito principal da fase de 'reconhecimento e sondagem' em um ataque cibernético?

Coletar informações para identificar vulnerabilidades. (D)

Qual é o objetivo da fase de 'esconder rastros' em um ataque cibernético?

Evitar detecção e investigação. (B)

Qual é a diferença fundamental entre 'direito' e 'ética' no contexto da segurança da informação?

Direito são regras obrigatórias aplicadas pelo Estado, enquanto ética orienta comportamentos socialmente aceitáveis sem coerção estatal. (B)

Qual das seguintes opções descreve o conceito de 'devido cuidado' (due care) no contexto da responsabilidade organizacional em segurança da informação?

Agir de forma legal e ética. (D)

Qual das seguintes alternativas melhor descreve o conceito de 'devida diligência' (due diligence) em segurança da informação?

Manter e revisar práticas de segurança para garantir sua eficácia contínua. (D)

Nos Estados Unidos, qual lei é fundamental para lidar com crimes informáticos?

CFA (Computer Fraud and Abuse Act). (D)

Qual é a importância de um código de ética para profissionais de TI e segurança da informação?

Define diretrizes e boas práticas para orientar o comportamento ético e profissional. (C)

Flashcards

Ameaça

Causa potencial de um incidente de segurança indesejado.

Ataque

Tentativa de explorar um ativo, visando danificá-lo ou roubá-lo.

Vulnerabilidade

Uma fraqueza em um sistema ou controle que pode ser explorada.

Ativo

Recurso da organização que precisa de proteção, seja ele físico ou digital.

Controle ou Contramedida

Mecanismo de segurança que visa impedir ataques e reduzir riscos.

Evento de Segurança

Ocorrência que indica uma possível falha na segurança da informação.

Incidente

Série de eventos que comprometem as operações e a segurança da informação.

Agente de Ameaça (Atacante)

Pessoa ou grupo que causa impacto negativo nos ativos de TI.

Exploit

Software que explora vulnerabilidades.

Superfície de Ataque

Soma da exposição aos riscos de segurança, incluindo vulnerabilidades.

Confidencialidade

Assegura que a informação não esteja acessível a entidades não autorizadas.

Integridade

Assegura que a informação não seja modificada sem autorização.

Disponibilidade

Garante que um ativo de informação esteja acessível quando necessário.

Accountability (Responsabilização)

Identificação do autor de uma ação.

Autenticidade

Assegura que uma entidade é quem ela afirma ser.

Confiabilidade

Comportamento e resultados consistentes com o esperado.

Não-repúdio

Prova da relação entre um evento/ação e sua entidade de origem.

Violação de Dados

Incidente em que dados sensíveis são acessados ou roubados.

IDS (Intrusion Detection System)

Sistema que monitora atividades em redes ou sistemas para detectar comportamentos suspeitos.

Intrusão

Acesso, uso ou ataque não autorizado em redes ou hosts.

Detecção de Intrusão

Processo de monitorar e analisar eventos para identificar incidentes de segurança.

HIDS (Host-based Intrusion Detection System)

Monitora eventos específicos de um único dispositivo (host).

NIDS (Network-based Intrusion Detection System)

Monitora o tráfego de rede em busca de intrusões.

IDS Baseado em Assinaturas

Compara dados coletados com padrões de ataques conhecidos.

IDS Baseado em Anomalias

Define um perfil de comportamento normal e detecta desvios.

Ameaças Cibernéticas

Tentativas de danificar, roubar ou interromper sistemas digitais.

Malware

Software malicioso para causar danos ou roubar dados.

Phishing

Técnica de fraude para capturar dados confidenciais.

Spear Phishing

Phishing direcionado a indivíduos específicos.

Whaling

Phishing voltado para executivos de alto perfil.

Ransomware

Malware que criptografa dados e exige resgate.

Ataques DDoS

Ataques para interromper serviços e redes.

Ameaças Internas

Riscos originados por membros internos da organização.

Command and Control (C2)

Infraestrutura para controlar dispositivos comprometidos.

Engenharia Social

Manipulação psicológica para induzir ações inseguras.

Vetor de Ameaça

Método usado por um agente malicioso para atingir um alvo.

CVE (Common Vulnerabilities and Exposures)

Lista padronizada de vulnerabilidades de segurança.

CVSS (Common Vulnerability Scoring System)

Sistema que calcula a severidade das vulnerabilidades.

Exploit

Programa para explorar vulnerabilidades de sistemas.

Blue Team

Equipe que defende sistemas contra ataques.

Red Team

Equipe que simula ataques para testar a segurança.

Study Notes

Conceitos Iniciais de Segurança Cibernética

• Ameaça é uma causa potencial de um incidente de segurança indesejado.
• Ataque é a tentativa de destruir, expor, alterar, desativar ou roubar um ativo.
• Vulnerabilidade é uma fraqueza em um ativo ou controle que pode ser explorada.
• Ativo é um recurso organizacional que está sendo protegido, seja lógico ou físico.
• Controle ou contramedida são mecanismos de segurança que impedem ataques e reduzem riscos.
• Evento de segurança é uma ocorrência indicando possível falha de segurança da informação.
• Incidente é uma série de eventos não desejados que comprometem operações e ameaçam a segurança da informação.
• Agente de ameaça (atacante) é uma pessoa ou grupo que impacta negativamente ativos de TI.
• Exploit é um software que explora vulnerabilidades.
• Criminosos cibernéticos buscam benefícios financeiros com atividades ilegais online.
• Insiders podem causar danos por ações maliciosas ou negligência.
• Estados Nação realizam ou patrocinam ações no espaço cibernético.
• Hacktivistas atuam contra decisões políticas, usando táticas como pichações de sites.
• Terrorismo cibernético recruta membros e levanta fundos online.
• Amadores (Script Kiddies) usam ferramentas de hacking sem grande conhecimento técnico.
• Superfície de ataque é a exposição total aos riscos de segurança, incluindo vulnerabilidades conhecidas e desconhecidas em infraestrutura, software e pessoas.
• A tríade da segurança da informação é composta por confidencialidade, integridade e disponibilidade.
• Confidencialidade assegura que a informação não esteja disponível para entidades não autorizadas.
• Integridade assegura que a informação não foi modificada ou excluída sem autorização.
• Disponibilidade garante que um ativo de informação esteja acessível quando necessário.
• Accountability (Responsabilização) é a identificação do autor de uma ação.
• Autenticidade assegura que uma entidade é quem ela afirma ser.
• Confiabilidade garante comportamento e resultados consistentes com o esperado.
• Não-repúdio fornece prova da relação entre um evento/ação e sua entidade de origem.

O Valor da Informação

• O custo global do crime cibernético pode ultrapassar US$10 trilhões, incluindo perda de propriedade intelectual e danos à reputação.
• O custo médio de uma violação de dados é de US$4,45 milhões.
• A monetização de dados roubados é facilitada pelo mercado negro e moedas virtuais.
• Uma violação de dados ocorre quando informações confidenciais são acessadas, roubadas ou utilizadas por indivíduos não autorizados.

Sistemas de Detecção de Intrusão (IDS)

• IDS monitora atividades em redes e sistemas para identificar comportamentos suspeitos ou acessos não autorizados.
• Mesmo com firewalls e atualizações, nenhum sistema é completamente seguro, justificando a necessidade de IDS.
• Intrusão é o acesso, uso ou ataque não autorizado a redes ou hosts.
• Detecção de Intrusão monitora e analisa eventos ou tráfego para identificar incidentes de segurança.
• Componentes de um IDS incluem:
  • Sistema Monitorado: O ambiente a ser protegido.
  • Sensores: Capturam dados brutos do tráfego ou atividades.
  • Detector: Analisa os dados contra uma base de conhecimento de padrões de ataques.
  • Unidade de Resposta: Aciona respostas automáticas (em IDPS).
  • Dispositivo de Configuração: Permite a personalização dos parâmetros de detecção.
  • Estação de Gerenciamento: Consolida alertas e facilita a administração do sistema.

Tipos de IDS

• HIDS (Host-based Intrusion Detection System) monitora eventos em um único dispositivo.
• NIDS (Network-based Intrusion Detection System) monitora o tráfego em segmentos de rede.
• IDS Híbrido combina HIDS e NIDS para uma visão abrangente.
• Wireless IDS monitora redes sem fio.
• IDS Baseado em Assinaturas compara dados com padrões de ataques conhecidos.
• IDS Baseado em Anomalias detecta desvios de um perfil de comportamento normal.
• IDS Baseado em Análise Stateful do Protocolo (SPA) analisa o estado de protocolos.
• Exemplos de IDS:
  • Snort (NIDS baseado em assinaturas).
  • OSSEC (HIDS para monitorar eventos em hosts).
  • Prelude-IDS (sistema híbrido).
  • Snort-Wireless (IDS para redes sem fio).
• Desafios do IDS incluem monitoramento de redes de alta velocidade, tráfego criptografado e redução de falsos positivos.

Ameaças Cibernéticas

• Ameaças cibernéticas são tentativas de danificar, roubar ou interromper sistemas e informações digitais.
• Incidentes históricos incluem o vírus Creeper (1971), o Worm de Morris (1988), o ataque à Estônia (2007), o Stuxnet (2010) e o WannaCry (2017).
• Malware é software malicioso que causa danos ou roubo de dados.
• Phishing é uma fraude por e-mail ou sites falsos para capturar dados confidenciais.
• Spear Phishing é phishing direcionado com informações personalizadas.
• Whaling é spear phishing voltado para executivos de alto perfil.
• Ransomware criptografa dados e exige resgate.
• Ataques DDoS interrompem serviços e redes por meio de ataques coordenados de múltiplas fontes.
• Ameaças internas são riscos originados por colaboradores ou membros internos da organização.
• Command and Control (C2) é a infraestrutura que atacantes usam para coordenar dispositivos comprometidos.
• Engenharia Social é a manipulação psicológica para induzir ações que comprometam a segurança.

Ameaças e Vulnerabilidades

• Ameaça é qualquer circunstância que possa violar a segurança e causar prejuízo.
• Vetor de Ameaça é o método usado para atingir o alvo.
• Uma violação de dados ocorre quando dados protegidos são acessados ou roubados por indivíduos não autorizados.
• Vulnerabilidades são fraquezas em sistemas, softwares ou redes que podem ser exploradas.
• Categorias de vulnerabilidades incluem erros de software, configurações de rede inadequadas, erros humanos e configurações inadequadas.
• CVE (Common Vulnerabilities and Exposures) é uma lista padronizada de vulnerabilidades.
• CNA (CVE Numbering Authority) gerencia IDs no sistema CVE.
• US-CERT monitora e responde a incidentes de segurança e apoia o CVE.
• NVD (National Vulnerability Database) agrega informações do CVE.
• CVSS (Common Vulnerability Scoring System) classifica a severidade das vulnerabilidades com base em métricas divididas em Base, Temporal e Ambiental.

Anatomia dos Ataques Cibernéticos

• Compreender o alvo e as motivações dos atacantes é crucial para defesas eficazes.
• Exploit é um programa para explorar vulnerabilidades e obter acesso não autorizado.
• Blue Team defende sistemas e redes contra ataques.
• Red Team simula ataques para testar a segurança.
• Tipos de atacantes:
  • Black Hat (hackers maliciosos).
  • White Hat (profissionais de segurança com autorização).
  • Gray Hat (opera em uma zona cinzenta legal).
  • Script Kiddie (amadores com ferramentas prontas).
• Propósitos dos ataques incluem prejudicar a disponibilidade, alterar dados, roubar informações ou usar sistemas comprometidos para novos ataques.
  • Ataque não estruturado carece de planejamento e sofisticação, sendo realizado por agentes com habilidades limitadas e objetivos de autopromoção
  • Ataque estruturado é bem-planejado, executado por agentes com alta capacidade técnica, utilizando ferramentas e seguindo etapas definidas.
• Fases de um ataque cibernético:
  • Reconhecimento: Coleta de informações sobre o alvo.
  • Obtendo Acesso: Exploração de vulnerabilidades para acesso inicial.
  • Mantendo Acesso: Estabelecimento de backdoors.
  • Escondendo Rastros: Remoção de evidências.

Questões Legais, Éticas e Profissionais em Segurança da Informação

• Profissionais de segurança devem estar cientes do ambiente jurídico e ético.
• Direito são regras aplicadas pelo Estado; ética orienta comportamentos socialmente aceitáveis, sem coerção estatal.
• Responsabilidade organizacional envolve devido cuidado, devida diligência, restituição e consideração da jurisdição.
• Políticas internas estabelecem comportamentos aceitos; a ignorância da lei não é defesa.
• Leis dos EUA incluem CFA (Computer Fraud and Abuse Act), Lei Nacional de Proteção da Infraestrutura de Informação, HIPAA, Gramm-Leach-Bliley Act, Sarbanes-Oxley, FOIA e PCI DSS.
• Leis internacionais incluem a Lei de Uso Indevido de Computador (Reino Unido), Regulamentos de Privacidade e Comunicações Eletrônicas (2003), Convenção do Conselho da Europa sobre o Cibercrime, Acordo TRIPS (da OMC) e DMCA.
• Não existe um código de ética obrigatório, mas organizações como ACM, (ISC)², SANS, ISACA e ISSA definem diretrizes.
• Agências nos EUA como DHS, US-CERT, Serviço Secreto e NSA desempenham papéis críticos na segurança cibernética.