knowt logo

Prova 1

Introdução

Internet:

  • Preocupação e problemas com segurança

  • Dados circulando por vários equipamentos e redes

  • Falta de controle

Hackers:

  • Fama

  • Status

  • Curiosidade

  • Desafio

Crackers:

  • Dinheiro

  • Espionagem

  • Política

Segurança da informação:

  • Garantia de segurança:

    • * Verificar e Administrar → Auditoria → Risco → Definição de Política → Implementação → *

  • Representa proteção de dados e infos

  • Objetivo é preservar valores de empresas e pessoas

  • 3 pilares:

    • Confidencialidade: Restringe o acesso à informação apenas às entidades autorizadas, impedindo a interpretação por não autorizados, mesmo que o dado seja visível.

      • Medida de proteção: Criptografia.

    • Disponibilidade: Garante que a informação esteja sempre disponível para os usuários autorizados pelo proprietário.

      • Medida de proteção: Backup \ Hot site.

    • Integridade: Garante que a informação mantenha suas características originais, controlando mudanças e preservando seu ciclo de vida (corrente, intermediária e permanente).

      • Medida de proteção: Uso de hash

  • 2 pilares extras:

    • Autenticidade: propriedade que garante que as informações sejam provenientes de uma fonte confiável.

      • Medida de proteção: JWT / Certificado digital

    • Irretratabilidade/não repúdio: propriedade que garante tanto o emissor e destinatário não podem negar.

      • Medida de proteção: Certificado digital.

Falhas de segurança da informação:

  • Interceptação

    • Vazamento de informações ou roubo de senhas → cópia de arquivos ou dados

    • Quebra da confidencialidade → cifra de dados e mecanismos de criptografia

  • Interrupção

    • Não é possível estabelecer comunicação com destino

    • Quebra da disponibilidade → Hot Site ou backup do serviço

  • Modificação

    • Intercepta modifica e envia novamente → modifica valores / pagamentos

    • Quebra da confidencialidade e integridade → mecanismos de criptografia

  • Fabricação

    • Uma parte não autorizada envia ou insere alguma informação → gera um pagamento falso

    • Quebra da autenticidade → mecanismos de criptografia e certificado digital

Criptografia:

  • Auxiliar para garantir:

    • Integridade

    • Autenticidade

    • Não repúdio

    • Confidencialidade

  • Tipos:

    • Simétricos:

      • Mesma chave para abrir e fechar

    • Assimétricos:

      • 1 chave pública e 1 privada

      • Fecha com uma (pública - livremente divulgada) e abre com a outra (privada - mantida em segredo)

Segurança criptografia:

  • Criptoanálise:

    • Arte de tentar descobrir o texto cifrado e/ou a lógica utilizada

    • Não significa descobrir o significado das mensagens

    • Foco em achar uma vulnerabilidade para explorar depois

Políticas de Segurança da Informação

Pontos importantes para o gerenciamento da segurança:

  • Vulnerabilidade​

  • Ameaça​

  • Risco​

  • Exposição

  • Agente cria ameaça para explorar vulnerabilidade gerando risco de danificar um ativo gerando exposição

​ISO série 2700:

  • 27001:

    • Requisitos para a organização estruturar um sistema de gestão de segurança da informação

    • Deve aplicar processo de diretriz com objetivo de mitigar e gerir adequadamente o risco

    • No mínimo:

      • Critérios de aceitação​

      • Critérios de desempenho das avaliações dos riscos​

      • Analise critica para manter os sistemas de gestão da segurança da informação​

      • Critérios de melhoria continua

  • 27002:

    • Gestão e operação da Segurança da Informação

    • Referência para as empresas implantarem os sistemas de gestão

    • Código de prática para segurança da informação:

      • Compreender os requisitos de segurança da informação da organização​

      • Implementar e operar controles para gerenciar os riscos​

      • Monitorar e revisar o desempenho e a eficácia ​

      • Melhoria contínua baseada em medições objetivas

  • 27005:

    • Diretrizes para o processo de Gestão de Riscos de Segurança da Informação

LGPD:

  • Lei Geral de Proteção de Dados Pessoais

  • Princípios:

    Princípios LGPD

Política de Segurança da Informação (PSI):

  • Estrutura básica documento PSI:

    • Objetivos:

      • Objetivo do documento

      • O que se quer comunicar

    • Escopo:

      • Indicação de ambientes físicos e lógicos

      • Tipos de usuários

      • Pra quem se aplica

    • Definições:

      • Siglas

      • Termos técnicos

      • Abreviaturas

      • Termos específicos

    • Regras:

      • Regras da organização

    • Responsabilidades:

      • Quem é responsável pelo documentos, treinamentos e ações para aplicação dos acordos

    • Cumprimento:

      • Penalidades para o não cumprimento

Gestão de risco:

  • Identificar perdas e impactos causados pelo comprometimento ou roubo das informações

  • Gestão de risco → tem como propósito identificar, analisar e atuar para a redução do risco ​

  • Risco → Probabilidade de uma ameaça explorar uma vulnerabilidade

  • Processo de análise de risco:

    • Identificar as ameaças

    • Estimar probabilidades

    • Classificar a importância das operações

    • Estimar custo x benefício na condução da redução do risco

    • Documentar resultados e plano de ação​

Ataque X Defesa

  • Tentativa de acesso a um recurso sem autorização

Intrusão:

  • 3 etapas:

    • Conhecer: coletar informações do alvo, endereços de e-mails, identificação de pessoas, etc

    • Analisar: extração de informações, como varredura e identificação de IP, serviços, sistema operacional, versões de serviços etc.

    • Explorar: tentativa de ganhar acesso ao alvo, como utilizar exploits, realizar ataques para quebras de senhas, engenharia social etc

  • Tipos de reconhecimento:

    • Legal: Google, Footprint, visitações, conversar com equipe, etc

    • Questionável: escaneamento passivo em portas, ler nomes em correspondência, ler papeis no lixo antes de descartar, etc

    • Ilegal: farejadores, keylogger, interceptar pacotes, etc

Ferramentas:

  • Análise e exploração:

    • nslookup

    • ping

    • dig

  • Port scanners: varrem o endereço alvo e identificam portas acessíveis (TCP / UDP).

  • Scanner de vulnerabilidade: encontrar falhas utilizando critérios para qualificar e quantificar seu impacto

Engenharia social:

  • Ato de fraude por parte de quem ataca

  • Enganar indivíduos de boa-fé

  • Tipicamente antiético

  • As vezes é usada por hackers éticos

Ataques:

  • Técnicas:

    • ARP spoofing:

      • Falsificar o ARP na LAN

      • Ligar o endereço MAC com o endereço IP de outro hospedeiro

    • MAC Flooding:

      • Comprometer a segurança da rede de switches

      • Quando sobrecarrega → passa a funcionar como Hub

      • Gera lentidão

    • DDoS:

      • Distributed Denial of Service

      • Sobrecarregar a vítima

      • Impede respostas a possíveis requisições legitimas

Defesa:

  • Ferramentas:

    • Firewall:

      • Hardware ou software

      • Controlar e restringir o trafego entre as redes as quais ele está conectado

      • Controle nas E/S através de filtros de pacotes

      • Só atua no trafego que passe por ela

      • Conhecer bem a rede para definir regras

        • Filtro de pacote:

          • Camada de rede e de transporte

          • Analisando só os cabeçalhos

          • Base em ACL

          • Tipos:

            • Não é proibido então pode (lista negra)

            • Não é permitido então proibido (lista branca)

        • Proxy:

          • Camada de rede, transporte e aplicação

          • Analisa cabeçalho e conteúdos

      • Tipos:

        • Stateful:

          • Rastreia o estado operacional e características

        • Web Application Firewall:

          • Protege a aplicação

          • Evita Cross-site Scripting (XSS) e SQL Injection

    • Sistema de detecção de invasão (IDS):

      • Equipamento ou aplicação

      • Monitora a rede procurando atividades maliciosas ou violações de policies

      • Age passivamente

      • Reporta pro ADM ou coleta por um management de eventos de segurança

      • Métodos:

        • Signature-based: busca de padrões específicos, como sequências de bytes

        • Anomaly-based: detectar ataques desconhecidos, com o rápido crescimento de malwares.

      • Network IDS (NIDS):

        • Variação do IDS

        • Sistema de Rede de Detecção de Intrusão

        • Analisa o fluxo de dados na rede buscando padrões suspeitos

      • Host IDS (HIDS):

        • Variação do IDS

        • Sistema Hospedeiro de Detecção de Intrusão

        • Examina ações dos hospedeiros (arquivos que são acessados, aplicativos utilizados, ou informações de logs)

        • Poucos falsos positivos

    • Sistema de prevenção de invasão (IPS):

      • Mesmas checagens do IDS

      • Age ativamente

      • Quando detecta, faz uma das seguintes:

        • Termina a sessão TCP

        • Bloqueia o IP

        • Conta quem estava acessando a aplicação

        • Reprograma o firewall para prevenir ataques futuros

    • Honeypots:

      • Iscas digitais para atrair ataques

    • Honeynets:

      • Redes inteiras criadas como armadilhas

    • Rede DMZ:

      Rede DMZ

Criptografia

Garantia da confidencialidade:

  • Esteganografia:

    • Esconder a existência de uma mensagem dentro de outra

    • Técnica simples de camuflagem

  • Criptografia:

    • Oculta o significado da mensagem

    • Tipos:

      • Simétrica:

        • Mais rápida

        • Indicada para grandes volumes

        • Algoritmos:

          • DES:

            • Chave 56 bits

            • Quebrado em 1977

            • Obsoleto desde 2004

          • 3DES:

            • DES cifrado 3 vezes

            • 168 bits

            • Muito lento

          • AES:

            • Mais utilizado atualmente

            • Bloco fixo de 128 bits

            • Chave de 128, 192 ou 256 bits

            • Padrão do governo americano em 1997

            • Implementação tanto em hardware quanto em software

      • Assimétrica:

        • Algoritmo assimétrico:

          Algoritmo assimétrico

        • Algoritmos:

          • Encriptação/decriptação:

            • O emissor encripta uma mensagem com a chave pública do destinatário

          • Assinatura digital:

            • O emissor “assina” uma mensagem com sua chave privada

            • Assinatura é feita por um algoritmo criptográfico (Hash) aplicado à mensagem​

          • Troca de chave:

            • 2 lados cooperam para trocar uma chave de sessão
              Várias técnicas diferentes são possíveis, envolvendo chave privada de uma ou de ambas as partes​

    • Difusão:

      • Cada dígito do texto claro afete o valor de muitos do texto cifrado

      • Ingrediente básico para qualquer sistema criptográfico

      • Impedir criptoanálise baseada em estatística

    • Confusão:

      • Relação entre estatísticas do texto cifrado e valor da chave de encriptação o mais complexo possível

      • Ingrediente básico para qualquer sistema criptográfico

      • Impedir criptoanálise baseada em estatística

  • Certificado digital:

    • Qualquer participante pode ler um certificado para determinar o nome e a chave pública do proprietário do certificado

    • Qualquer participante pode verificar se o certificado foi originado pela autoridade certificadora, e não é uma falsificação​

    • Somente a autoridade certificadora pode criar e atualizar certificados​

    • Qualquer participante pode verificar se o certificado está atualizado

    • X.509:

      • Padrão de certificado amplamente utilizado

      • Define o formato dos certificados de chave pública

Prova 1

Introdução

Internet:

  • Preocupação e problemas com segurança

  • Dados circulando por vários equipamentos e redes

  • Falta de controle

Hackers:

  • Fama

  • Status

  • Curiosidade

  • Desafio

Crackers:

  • Dinheiro

  • Espionagem

  • Política

Segurança da informação:

  • Garantia de segurança:

    • * Verificar e Administrar → Auditoria → Risco → Definição de Política → Implementação → *

  • Representa proteção de dados e infos

  • Objetivo é preservar valores de empresas e pessoas

  • 3 pilares:

    • Confidencialidade: Restringe o acesso à informação apenas às entidades autorizadas, impedindo a interpretação por não autorizados, mesmo que o dado seja visível.

      • Medida de proteção: Criptografia.

    • Disponibilidade: Garante que a informação esteja sempre disponível para os usuários autorizados pelo proprietário.

      • Medida de proteção: Backup \ Hot site.

    • Integridade: Garante que a informação mantenha suas características originais, controlando mudanças e preservando seu ciclo de vida (corrente, intermediária e permanente).

      • Medida de proteção: Uso de hash

  • 2 pilares extras:

    • Autenticidade: propriedade que garante que as informações sejam provenientes de uma fonte confiável.

      • Medida de proteção: JWT / Certificado digital

    • Irretratabilidade/não repúdio: propriedade que garante tanto o emissor e destinatário não podem negar.

      • Medida de proteção: Certificado digital.

Falhas de segurança da informação:

  • Interceptação

    • Vazamento de informações ou roubo de senhas → cópia de arquivos ou dados

    • Quebra da confidencialidade → cifra de dados e mecanismos de criptografia

  • Interrupção

    • Não é possível estabelecer comunicação com destino

    • Quebra da disponibilidade → Hot Site ou backup do serviço

  • Modificação

    • Intercepta modifica e envia novamente → modifica valores / pagamentos

    • Quebra da confidencialidade e integridade → mecanismos de criptografia

  • Fabricação

    • Uma parte não autorizada envia ou insere alguma informação → gera um pagamento falso

    • Quebra da autenticidade → mecanismos de criptografia e certificado digital

Criptografia:

  • Auxiliar para garantir:

    • Integridade

    • Autenticidade

    • Não repúdio

    • Confidencialidade

  • Tipos:

    • Simétricos:

      • Mesma chave para abrir e fechar

    • Assimétricos:

      • 1 chave pública e 1 privada

      • Fecha com uma (pública - livremente divulgada) e abre com a outra (privada - mantida em segredo)

Segurança criptografia:

  • Criptoanálise:

    • Arte de tentar descobrir o texto cifrado e/ou a lógica utilizada

    • Não significa descobrir o significado das mensagens

    • Foco em achar uma vulnerabilidade para explorar depois

Políticas de Segurança da Informação

Pontos importantes para o gerenciamento da segurança:

  • Vulnerabilidade​

  • Ameaça​

  • Risco​

  • Exposição

  • Agente cria ameaça para explorar vulnerabilidade gerando risco de danificar um ativo gerando exposição

​ISO série 2700:

  • 27001:

    • Requisitos para a organização estruturar um sistema de gestão de segurança da informação

    • Deve aplicar processo de diretriz com objetivo de mitigar e gerir adequadamente o risco

    • No mínimo:

      • Critérios de aceitação​

      • Critérios de desempenho das avaliações dos riscos​

      • Analise critica para manter os sistemas de gestão da segurança da informação​

      • Critérios de melhoria continua

  • 27002:

    • Gestão e operação da Segurança da Informação

    • Referência para as empresas implantarem os sistemas de gestão

    • Código de prática para segurança da informação:

      • Compreender os requisitos de segurança da informação da organização​

      • Implementar e operar controles para gerenciar os riscos​

      • Monitorar e revisar o desempenho e a eficácia ​

      • Melhoria contínua baseada em medições objetivas

  • 27005:

    • Diretrizes para o processo de Gestão de Riscos de Segurança da Informação

LGPD:

  • Lei Geral de Proteção de Dados Pessoais

  • Princípios:

    Princípios LGPD

Política de Segurança da Informação (PSI):

  • Estrutura básica documento PSI:

    • Objetivos:

      • Objetivo do documento

      • O que se quer comunicar

    • Escopo:

      • Indicação de ambientes físicos e lógicos

      • Tipos de usuários

      • Pra quem se aplica

    • Definições:

      • Siglas

      • Termos técnicos

      • Abreviaturas

      • Termos específicos

    • Regras:

      • Regras da organização

    • Responsabilidades:

      • Quem é responsável pelo documentos, treinamentos e ações para aplicação dos acordos

    • Cumprimento:

      • Penalidades para o não cumprimento

Gestão de risco:

  • Identificar perdas e impactos causados pelo comprometimento ou roubo das informações

  • Gestão de risco → tem como propósito identificar, analisar e atuar para a redução do risco ​

  • Risco → Probabilidade de uma ameaça explorar uma vulnerabilidade

  • Processo de análise de risco:

    • Identificar as ameaças

    • Estimar probabilidades

    • Classificar a importância das operações

    • Estimar custo x benefício na condução da redução do risco

    • Documentar resultados e plano de ação​

Ataque X Defesa

  • Tentativa de acesso a um recurso sem autorização

Intrusão:

  • 3 etapas:

    • Conhecer: coletar informações do alvo, endereços de e-mails, identificação de pessoas, etc

    • Analisar: extração de informações, como varredura e identificação de IP, serviços, sistema operacional, versões de serviços etc.

    • Explorar: tentativa de ganhar acesso ao alvo, como utilizar exploits, realizar ataques para quebras de senhas, engenharia social etc

  • Tipos de reconhecimento:

    • Legal: Google, Footprint, visitações, conversar com equipe, etc

    • Questionável: escaneamento passivo em portas, ler nomes em correspondência, ler papeis no lixo antes de descartar, etc

    • Ilegal: farejadores, keylogger, interceptar pacotes, etc

Ferramentas:

  • Análise e exploração:

    • nslookup

    • ping

    • dig

  • Port scanners: varrem o endereço alvo e identificam portas acessíveis (TCP / UDP).

  • Scanner de vulnerabilidade: encontrar falhas utilizando critérios para qualificar e quantificar seu impacto

Engenharia social:

  • Ato de fraude por parte de quem ataca

  • Enganar indivíduos de boa-fé

  • Tipicamente antiético

  • As vezes é usada por hackers éticos

Ataques:

  • Técnicas:

    • ARP spoofing:

      • Falsificar o ARP na LAN

      • Ligar o endereço MAC com o endereço IP de outro hospedeiro

    • MAC Flooding:

      • Comprometer a segurança da rede de switches

      • Quando sobrecarrega → passa a funcionar como Hub

      • Gera lentidão

    • DDoS:

      • Distributed Denial of Service

      • Sobrecarregar a vítima

      • Impede respostas a possíveis requisições legitimas

Defesa:

  • Ferramentas:

    • Firewall:

      • Hardware ou software

      • Controlar e restringir o trafego entre as redes as quais ele está conectado

      • Controle nas E/S através de filtros de pacotes

      • Só atua no trafego que passe por ela

      • Conhecer bem a rede para definir regras

        • Filtro de pacote:

          • Camada de rede e de transporte

          • Analisando só os cabeçalhos

          • Base em ACL

          • Tipos:

            • Não é proibido então pode (lista negra)

            • Não é permitido então proibido (lista branca)

        • Proxy:

          • Camada de rede, transporte e aplicação

          • Analisa cabeçalho e conteúdos

      • Tipos:

        • Stateful:

          • Rastreia o estado operacional e características

        • Web Application Firewall:

          • Protege a aplicação

          • Evita Cross-site Scripting (XSS) e SQL Injection

    • Sistema de detecção de invasão (IDS):

      • Equipamento ou aplicação

      • Monitora a rede procurando atividades maliciosas ou violações de policies

      • Age passivamente

      • Reporta pro ADM ou coleta por um management de eventos de segurança

      • Métodos:

        • Signature-based: busca de padrões específicos, como sequências de bytes

        • Anomaly-based: detectar ataques desconhecidos, com o rápido crescimento de malwares.

      • Network IDS (NIDS):

        • Variação do IDS

        • Sistema de Rede de Detecção de Intrusão

        • Analisa o fluxo de dados na rede buscando padrões suspeitos

      • Host IDS (HIDS):

        • Variação do IDS

        • Sistema Hospedeiro de Detecção de Intrusão

        • Examina ações dos hospedeiros (arquivos que são acessados, aplicativos utilizados, ou informações de logs)

        • Poucos falsos positivos

    • Sistema de prevenção de invasão (IPS):

      • Mesmas checagens do IDS

      • Age ativamente

      • Quando detecta, faz uma das seguintes:

        • Termina a sessão TCP

        • Bloqueia o IP

        • Conta quem estava acessando a aplicação

        • Reprograma o firewall para prevenir ataques futuros

    • Honeypots:

      • Iscas digitais para atrair ataques

    • Honeynets:

      • Redes inteiras criadas como armadilhas

    • Rede DMZ:

      Rede DMZ

Criptografia

Garantia da confidencialidade:

  • Esteganografia:

    • Esconder a existência de uma mensagem dentro de outra

    • Técnica simples de camuflagem

  • Criptografia:

    • Oculta o significado da mensagem

    • Tipos:

      • Simétrica:

        • Mais rápida

        • Indicada para grandes volumes

        • Algoritmos:

          • DES:

            • Chave 56 bits

            • Quebrado em 1977

            • Obsoleto desde 2004

          • 3DES:

            • DES cifrado 3 vezes

            • 168 bits

            • Muito lento

          • AES:

            • Mais utilizado atualmente

            • Bloco fixo de 128 bits

            • Chave de 128, 192 ou 256 bits

            • Padrão do governo americano em 1997

            • Implementação tanto em hardware quanto em software

      • Assimétrica:

        • Algoritmo assimétrico:

          Algoritmo assimétrico

        • Algoritmos:

          • Encriptação/decriptação:

            • O emissor encripta uma mensagem com a chave pública do destinatário

          • Assinatura digital:

            • O emissor “assina” uma mensagem com sua chave privada

            • Assinatura é feita por um algoritmo criptográfico (Hash) aplicado à mensagem​

          • Troca de chave:

            • 2 lados cooperam para trocar uma chave de sessão
              Várias técnicas diferentes são possíveis, envolvendo chave privada de uma ou de ambas as partes​

    • Difusão:

      • Cada dígito do texto claro afete o valor de muitos do texto cifrado

      • Ingrediente básico para qualquer sistema criptográfico

      • Impedir criptoanálise baseada em estatística

    • Confusão:

      • Relação entre estatísticas do texto cifrado e valor da chave de encriptação o mais complexo possível

      • Ingrediente básico para qualquer sistema criptográfico

      • Impedir criptoanálise baseada em estatística

  • Certificado digital:

    • Qualquer participante pode ler um certificado para determinar o nome e a chave pública do proprietário do certificado

    • Qualquer participante pode verificar se o certificado foi originado pela autoridade certificadora, e não é uma falsificação​

    • Somente a autoridade certificadora pode criar e atualizar certificados​

    • Qualquer participante pode verificar se o certificado está atualizado

    • X.509:

      • Padrão de certificado amplamente utilizado

      • Define o formato dos certificados de chave pública

robot