Capítulo 7: Proteção de um domínio

de segurança cibernética
A proteção do seu domínio é um processo contínuo para proteger a infraestrutura da rede da organização. Requer que os
indivíduos permaneçam constantemente vigilantes com relação a ameaças e tomem medidas para evitar qualquer exposição ao
risco. Este capítulo discute as tecnologias, processos e procedimentos que os profissionais de segurança cibernética usam para
defender sistemas, dispositivos e dados que compõem a infraestrutura da rede.

Uma rede segura é tão forte quanto o seu elo mais fraco. É importante proteger os dispositivos finais que residem na rede. A
segurança de endpoints inclui proteção dos dispositivos de infraestrutura da rede na LAN (Local Area Network, rede de área
local) e sistemas finais, como estações de trabalho, servidores, telefones IP e access points.

A codificação dos dispositivos é uma tarefa crítica para a proteção da rede. Envolve a implementação de métodos comprovados
para proteger, fisicamente, os dispositivos de rede. Alguns desses métodos envolvem a proteção do acesso administrativo, a
manutenção de senhas e a implementação de comunicações seguras.

Software de sistema operacional

O sistema operacional desempenha um papel crítico na operação de um computador e é alvo de muitos ataques. A segurança do
sistema operacional tem um efeito em cascata sobre a segurança geral de um computador.

Um administrador codifica um sistema operacional ao modificar a configuração padrão para torná-lo mais seguro em relação a
ameaças externas. Esse processo inclui a remoção de programas e serviços desnecessários. Outro requisito crítico de codificação
de sistemas operacionais é a aplicação de patches e atualizações de segurança. Patches e atualizações de segurança são correções
que as empresas liberam, em uma tentativa de reduzir a vulnerabilidade e corrigir falhas em seus produtos.

Uma organização deve ter uma abordagem sistemática para endereçamento de atualizações do sistema:

 Estabelecendo procedimentos de monitoramento de informações relacionadas à segurança

 Avaliando as atualizações para aplicabilidade

 Planejamento da instalação de atualizações e patches de aplicativos

 Instalação de atualizações usando um plano documentado

Outro requisito fundamental de proteção dos sistemas operacionais é identificar possíveis vulnerabilidades. Isso pode ser feito por
meio do estabelecimento de uma linha de base. Estabelecer uma linha de base permite que o administrador faça uma comparação
de como um sistema está sendo executado versus suas expectativas geradas pela de linha de base.

O MBSA (Microsoft Baseline Security Analyzer, Analisador de segurança de parâmetro Microsoft) avalia as atualizações de
segurança ausentes e problemas de configuração de segurança no Microsoft Windows. O MBSA verifica senhas em branco,
simples ou inexistentes, configurações de firewall, status de conta de convidado, detalhes da conta de administrador, a auditoria de
eventos de segurança, serviços desnecessários, compartilhamentos de rede e configurações do registro. Depois da codificação do
sistema operacional, o administrador cria as políticas e procedimentos para manter um alto nível de segurança.
Antimalware
Malware inclui vírus, worms, cavalos de Troia, keyloggers, spyware, e adware. Todos eles invadem a privacidade, roubam
informações, danificam o sistema ou excluem e corrompem os dados.

É importante proteger os computadores e dispositivos móveis com software antimalware de qualidade. Estão disponíveis os
seguintes tipos de programas antimalware:

 Proteção antivírus - Programa que monitora, continuamente, por vírus. Quando detecta um vírus, o programa avisa o
usuário e ele tenta colocar em quarentena ou excluir o vírus, como mostrado na Figura 1.

 Proteção contra adware – O programa procura continuamente por programas que exibem publicidade em um
computador.

 Proteção contra phishing – O programa bloqueia endereços IP de sites de phishing conhecidos na web e avisa o usuário
sobre sites suspeitos.

 Proteção contra spyware – Programa que varre o computador em busca de keyloggers e ouros tipos de spyware.

 Fontes confiáveis / não confiáveis – O programa avisa o usuário sobre programas ou sites não seguros que tentam se
instalar, antes de um usuário visitá-los.

Pode ser necessário usar vários programas diferentes e fazer várias varreduras para remover completamente todos os softwares
mal-intencionados. Execute apenas um programa de proteção contra malware por vez.

Várias empresas de segurança confiáveis, como McAfee, Symantec e Kaspersky, oferecem proteção completa contra malware
para computadores e dispositivos móveis.

Desconfie de produtos antivírus falsos mal-intencionados que podem aparecer durante a navegação na Internet. A maioria desses
produtos antivírus falso exibe um anúncio ou um pop-up que parece como uma janela de aviso real do Windows, como mostra a
Figura 2. Geralmente, elas afirmam que o malware está infectando o computador e solicita ao usuário que o limpe. Clicar em
qualquer lugar na janela pode iniciar o download e a instalação do malware.

Software não aprovado ou não compatível não é apenas um software que é instalado de forma não intencional em um computador.
Também pode vir de usuários que queriam instalá-lo. Pode não ser mal-intencionado, mas ainda pode violar a política de
segurança. Esse tipo de sistema não compatível pode interferir no software da empresa ou nos serviços de rede. Os usuários
devem remover software não aprovado imediatamente.

Gerenciamento de patches
Os patches são atualizações de código que os fabricantes fornecem para evitar que um vírus ou um worm recém-descoberto façam
um ataque bem-sucedido. De tempos em tempos, os fabricantes combinam patches e atualizações em uma aplicação completa de
atualização chamada de service pack. Muitos ataques devastadores de vírus poderiam ter sido muito menos graves, se mais
usuários tivessem baixado e instalado o service pack mais recente.

O Windows verifica, regularmente, o site Windows Update, por atualizações de alta prioridade e que podem ajudar a proteger o
computador contra as mais recentes ameaças de segurança. Essas atualizações incluem atualizações de segurança, atualizações
críticas e service packs. Dependendo da configuração escolhida, o Windows baixa e instala, automaticamente, todas as
atualizações de alta prioridade que o computador precisa ou notifica o usuário conforme essas atualizações estiverem disponíveis.

Algumas organizações podem querer testar um patch antes de implantá-lo em toda a organização. A organização usaria um
serviço para gerenciar patches localmente, em vez de usar o serviço de atualização on-line do fornecedor. Os benefícios de usar
um serviço de atualização automática de patch incluem o seguinte:

 Os administradores podem aprovar ou recusar atualizações

 Os administradores podem forçar a atualização de sistemas para uma data específica

 Os administradores podem obter relatórios sobre a atualização necessária para cada sistema

 Cada computador não tem que se conectar ao serviço do fornecedor para baixar os patches. Um sistema obtém a
atualização de um servidor local

 Os usuários não podem desativar ou contornar as atualizações

Um serviço de patches automáticos fornece aos administradores um ambiente mais controlado.

Firewalls baseados em host e sistemas

de detecção de invasão
Uma solução baseada em host é uma aplicação de software que é executada em um computador local para protegê-lo. O software
funciona com o sistema operacional para ajudar a evitar ataques.

Firewalls baseados em host

Um firewall de software é um programa que é executado em um computador para permitir ou negar tráfego entre o computador e
outros computadores conectados. O firewall por software aplica um conjunto de regras a transmissões de dados por meio da
inspeção e filtragem de pacotes de dados. O Firewall do Windows é um exemplo de firewall de software. O sistema operacional
Windows o instala por padrão durante a instalação.

O usuário pode controlar o tipo de dados enviados de e para o computador abrindo ou bloqueando as portas selecionadas. Os
firewalls bloqueiam conexões de rede de entrada e de saída, a menos que sejam definidas exceções para abrir e fechar as portas
necessárias para um programa.

Na Figura 1, o usuário seleciona regras de entrada para configurar os tipos de tráfego permitido no sistema. Configurar regras de
entrada ajudará a proteger o sistema contra tráfego indesejado.

Sistemas de detecção de invasão do host

Um sistema de detecção de invasão do host (HIDS) é um software que é executado em um computador que monitora atividades
suspeitas. Cada sistema de servidor ou de desktop que exibe proteção precisará ter o software instalado, conforme mostrado na
Figura 2. O HIDS monitora chamadas do sistema e o acesso ao sistema de arquivos para garantir que as solicitações não sejam o
resultado de uma atividade maliciosa. Ele também pode monitorar as configurações do registro do sistema. O registro mantém
informações de configuração sobre o computador.

O HIDS armazena todos os dados de registro localmente. Ele também pode afetar o desempenho do sistema, pois é intensivo em
recursos. Um sistema de detecção de invasão do host (HIDS) não pode monitorar nenhum tráfego de rede que não chegue ao
sistema do host, mas monitora o sistema operacional e processos críticos do sistema específicos desse host.

Comunicações seguras
Ao se conectar à rede local e compartilhar arquivos, a comunicação entre computadores permanece dentro dessa rede. Os dados
permanecem seguros porque são mantidos fora de outras redes e fora da Internet. Para comunicar e compartilhar recursos por uma
rede que não seja segura, os usuários empregam uma rede privada virtual (VPN).

A VPN é uma rede privada que conecta usuários ou sites remotos por uma rede pública, como a Internet. O tipo mais comum de
VPN acessa uma rede privada corporativa. A VPN usa conexões seguras dedicadas, roteadas pela Internet, da rede corporativa
privada para o usuário remoto. Quando conectados à rede privada corporativa, os usuários se tornam parte dela e têm acesso a
todos os serviços e recursos, como se estivessem fisicamente conectados à LAN corporativa.

Os usuários de acesso remoto devem ter o cliente VPN instalado em seus computadores para formar uma conexão segura com a
rede privada corporativa. O software do cliente VPN criptografa os dados antes de enviá-los pela Internet para o gateway VPN na
rede privada corporativa. Os gateways VPN estabelecem, gerenciam e controlam conexões VPN, também conhecidas como túneis
VPN.

Os sistemas operacionais incluem um cliente VPN que o usuário configura para uma conexão VPN.

WEP
Um dos componentes mais importantes da computação moderna são os dispositivos móveis. A maioria dos dispositivos
encontrados nas redes atuais são laptops, tablets, smartphones e outros dispositivos sem fio. Dispositivos móveis transmitem
dados usando sinais de rádio que qualquer dispositivo com antena compatível pode receber. Por esse motivo, o setor de
computadores desenvolveu um conjunto de padrões, produtos e dispositivos de segurança sem fio ou móveis. Esses padrões
criptografam as informações transmitidas via ondas aéreas pelos dispositivos móveis.

WEP (Wired Equivalent Privacy, Privacidade equivalente por cabo) é um dos primeiros padrões de segurança Wi-Fi amplamente
usado. O padrão WEP fornece autenticação e proteções por criptografia. Os padrões WEP são obsoletos, mas muitos dispositivos
ainda suportam WEP para compatibilidade com versões anteriores. O padrão WEP se tornou um padrão de segurança Wi-Fi em
1999, quando a comunicação sem fio estava apenas engatinhando. Apesar de revisões no padrão e de um tamanho de chave maior,
o WEP tinha inúmeras falhas de segurança. Os criminosos virtuais podem quebrar senhas WEP em minutos, usando software
gratuito disponível. Apesar das melhorias, o WEP permanece altamente vulnerável e os usuários devem atualizar os sistemas que
dependem do WEP.

WPA/WPA2
A próxima grande melhoria na segurança sem fio foi a introdução de WPA e WPA2. O WPA (Wi-Fi Protected Access, Acesso
protegido por WiFi) foi a resposta do setor de computadores para a fraqueza do padrão WEP. A configuração mais comum de
WPA é WPA-PSK (Pre-Shared Key, Chave pré-compartilhada). As chaves usadas pelo WPA são 256 bits, um aumento
significativo sobre as chaves de 64 bits e 128 bits usadas no sistema WEP.

O padrão WPA forneceu várias melhorias de segurança. Primeiro, o WPA fornecia verificações de integridade da mensagem
(Message Integrity Checks - MIC) que poderiam detectar se um invasor tinha capturado e alterado os dados transmitidos entre o
ponto de acesso sem fio e um cliente sem fio. Outra melhoria importante de segurança foi o protocolo TKIP (Temporal Key
Integrity Protocol, Protocolo de integridade da chave temporal). O padrão TKIP proporcionou a capacidade de tratar, proteger e
alterar melhor as chaves de criptografia. O AES (Advanced Encryption Standard, Padrão de criptografia avançada) substituiu o
TKIP por um melhor gerenciamento de chaves e proteção de criptografia..
O WPA, assim como seu antecessor, o WEP, incluiu várias vulnerabilidades amplamente reconhecidas. Como resultado, o
lançamento do padrão WPA2 (Wi-Fi Protected Access II, Acesso protegido por Wi-Fi II) aconteceu em 2006. Uma das melhorias
de segurança mais significativas do WPA para o WPA2 foi o uso obrigatório de algoritmos AES e a introdução do Modo de cifra
do contador com protocolo de código de autenticação de mensagem de encadeamento de bloco (CCM) como um substituto para
TKIP.

Autenticação mútua
Uma das grandes vulnerabilidades das redes sem fio é o uso de access points não autorizados. Access points são os dispositivos
que se comunicam com os dispositivos sem fio e os conectam de volta à rede cabeada. Qualquer dispositivo que tenha uma
interface transmissora sem fio e cabeada ligada a uma rede pode, possivelmente, agir como access point não autorizado. O access
point não autorizado pode imitar um access point autorizado. O resultado é que os dispositivos sem fio na rede sem fio
estabelecem comunicação com o access point não autorizado, em vez de com o access point autorizado.

O impostor pode receber solicitações de conexão, copiar os dados na solicitação e encaminhar os dados para o access point
autorizado da rede. Esse tipo de ataque man in the middle é muito difícil de detectar e pode resultar em credenciais de logon
roubadas e dados transmitidos. Para evitar access points não autorizados, o setor de computadores desenvolveu a autenticação
mútua. A autenticação mútua, também chamada de autenticação bidirecional, é um processo ou tecnologia em que as duas
entidades de um link de comunicação se autenticam. Em um ambiente de rede sem fio, o cliente faz a autenticação no access point
e o access point autentica o cliente. Essa melhoria permitiu aos clientes detectar access points não autorizados, antes de se
conectarem a esse dispositivo.

Controle de acesso de arquivos

As permissões são regras que você configura para limitar o acesso de um indivíduo ou de um grupo de usuários a uma pasta ou a
um arquivo. A figura lista as permissões disponíveis para arquivos e pastas.

Princípio de Menos Privilégio

Os usuários devem ser limitados apenas aos recursos que precisam em um sistema computacional ou em uma rede. Por exemplo,
não devem poder acessar todos os arquivos de um servidor se só precisarem acessar uma única pasta. Pode ser mais fácil fornecer
acesso de usuários à unidade inteira, mas é mais seguro limitar o acesso somente à pasta que o usuário precisa para realizar seu
trabalho. Esse é o princípio de menos privilégio. Limitar o acesso aos recursos também evita que os programas mal-intencionados
acessem esses recursos, se o computador do usuário ficar infectado.

Restringindo Permissões de Usuário

Se um administrador negar permissões a um indivíduo ou a um grupo para um compartilhamento de rede, essa negação substituirá
todas as outras configurações de permissões. Por exemplo, se o administrador negar a alguém permissão para um
compartilhamento de rede, o usuário não poderá acessar esse compartilhamento, mesmo se o usuário for o administrador ou fizer
parte do grupo administrador. A política de segurança local deve descrever quais recursos e o tipo de acesso são permitidos para
cada usuário e grupo.

Quando um usuário altera as permissões de uma pasta, tem a opção de aplicar as mesmas permissões para todas as subpastas. Isso
se chama propagação de permissões. A propagação de permissões é uma maneira fácil de aplicar permissões rapidamente a vários
arquivos e pastas. Depois que as permissões da pasta pai tiverem sido definidas, as pastas e os arquivos criados dentro da pasta pai
herdam as permissões da pasta pai.

Além disso, o local dos dados e a ação realizada nos dados determinam a propagação das permissões:

 Os dados movidos para o mesmo volume manterão as permissões originais

 Os dados copiados para o mesmo volume herdarão novas permissões

 Os dados movidos para um volume diferente herdarão novas permissões

 Os dados copiados para um volume diferente herdarão novas permissões

Criptografia de arquivo
A criptografia é uma ferramenta usada para proteger os dados. A criptografia transforma os dados usando um algoritmo
complicado para torná-los ilegíveis. Uma chave especial transforma as informações ilegíveis novamente em dados legíveis.
Programas são usados para criptografar arquivos, pastas e, até mesmo, unidades inteiras.

O EFS (Encrypting File System, Sistema de Criptografia de Arquivos) é uma característica do Windows que pode criptografar
dados. A implementação do Windows EFS leva-o diretamente para uma conta de usuário específica. Apenas o usuário que
criptografou os dados poderá acessar os arquivos ou pastas criptografados.

Um usuário também pode escolher criptografar um disco rígido inteiro no Windows, usando um recurso chamado BitLocker. Para
usar BitLocker, pelo menos dois volumes devem estar presentes em um disco rígido.

Antes de usar o BitLocker, o usuário precisa ativar o TPM (Trusted Platform Module, Módulo de plataforma confiável) na BIOS.
O TPM é um chip especializado instalado na placa-mãe. O TPM armazena informações específicas do sistema host, como chaves
de criptografia, certificados digitais e senhas. Os aplicativos, como o BitLocker, que usam criptografia, podem usar o chip de
TPM. Clique em Administração do TPM para visualizar os detalhes do TPM, como mostrado na Figura.

O BitLocker To Go criptografa unidades removíveis. O BitLocker To Go não usa um chip de TPM, mas ainda fornece criptografia
dos dados e exige uma senha.

Sistema e backups de dados

Uma organização pode perder dados se criminosos virtuais roubá-los, se houver falha do equipamento ou ocorrer um desastre. Por
isso, é importante realizar, regularmente, um backup dos dados.

Um backup dos dados armazena uma cópia das informações de um computador na mídia de backup removível. O operador
armazena a mídia de backup em um local seguro. Fazer backup de dados é uma das formas mais eficazes de proteção contra perda
de dados. Se houver falha no hardware do computador, o usuário pode restaurar os dados do backup, depois que o sistema estiver
funcional.

A política de segurança da organização deve incluir backups dos dados. Os usuários devem realizar backups dos dados
regularmente. Os backups de dados são, normalmente, armazenados em outro local, para proteger a mídia de backup, se algo
acontecer com a instalação principal.

Estas são algumas considerações para backup de dados:

 Frequência - Os backups podem levar muito tempo. Às vezes é mais fácil fazer um backup completo mensal ou
semanal, e depois backups parciais frequentes de todos os dados que tiverem mudado, desde o último backup
completo. No entanto, ter muitos backup parciais aumenta o tempo necessário para restaurar os dados.

 Armazenamento - Para segurança adicional, os backups devem ser transportados para um local de armazenamento
externo aprovado em uma rotação diária, semanal ou mensal, conforme estipulado pela política de segurança.

 Segurança-Proteja os backups com senhas. Em seguida, o operador digita a senha, antes de restaurar os dados na mídia
de backup.

 Validação - Valide sempre os backups para garantir a integridade dos dados.

Triagem e bloqueio de conteúdo

O software de controle de conteúdo restringe o conteúdo que um usuário pode acessar usando um navegador da Web na Internet.
O software de controle de conteúdo pode bloquear sites que contenham certos tipos de material, como pornografia ou conteúdo
controverso político ou religioso. Um pai pode implementar o software de controle de conteúdo no computador usado pelo filho.
Escolas e bibliotecas também implementam o software para impedir o acesso a conteúdos considerados inadequados.

Um administrador pode implementar os seguintes tipos de filtros:

  Filtros baseados em navegador por meio de uma extensão de navegador de terceiros

 Filtros de e-mail por meio de um filtro baseado em cliente ou servidor

 Filtros de cliente instalados em um computador específico

 Filtros de conteúdo baseados no roteador que bloqueiam a entrada do tráfego na rede

 Filtros de conteúdo baseados em dispositivo semelhante ao baseado em roteador

 Filtragem de conteúdo baseado na nuvem

Os mecanismo de pesquisa, como o Google, oferecem a opção de ligar um filtro de segurança para excluir links inapropriados nos
resultados da pesquisa.

Clique aqui para ver uma comparação dos fornecedores de software de controle de conteúdo.

Clonagem de disco e Deep Freeze

Muitos aplicativos de terceiros estão disponíveis para restaurar um sistema para um estado padrão. Isso permite que o
administrador proteja o sistema operacional e os arquivos de configuração para um sistema.

A clonagem de disco copia o conteúdo do disco rígido do computador em um arquivo de imagem. Por exemplo, um administrador
cria as partições necessárias em um sistema, formata a partição e, em seguida, instala o sistema operacional. Ele instala todos os
softwares de aplicativo necessários e configura todo o hardware. Em seguida, o administrador usa um software de clonagem de
disco para criar o arquivo de imagem O administrador pode usar a imagem clonada da seguinte forma:

 Para limpar automaticamente um sistema e restaurar uma imagem principal limpa

 Para implantar novos computadores dentro da organização

 Para fornecer um backup completo do sistema

Clique aqui para ver uma comparação de softwares de clonagem de disco.

Deep Freeze "congela" a partição do disco rígido. Quando um usuário reinicia o sistema, o sistema é revertido para sua
configuração congelada. O sistema não salva as alterações que o usuário faz, portanto, todos os aplicativos instalados ou arquivos
salvos são perdidos quando o sistema é reiniciado.

Se o administrador precisar alterar a configuração do sistema, deverá, primeiro, "descongelar" a partição protegida, desativando o
Deep Freeze. Depois de fazer as alterações, deverá reativar o programa. O administrador pode configurar o Deep Freeze para
reiniciar depois que um usuário fizer logoff, desligar depois de um período de inatividade ou desligar em um horário agendado.

Esses produtos não oferecem proteção em tempo real. Um sistema permanece vulnerável, até que o usuário ou um evento
agendado reinicie o sistema. Um sistema infectado com código malicioso fica como novo, assim que o sistema é reiniciado.

Cabos e bloqueios de segurança

Existem vários métodos de proteger fisicamente o hardware:

 Use bloqueios de cabos nos equipamentos, como mostra a Figura 1.

 Mantenha as salas de telecomunicações trancadas.

 Use gaiolas de segurança ao redor do equipamento.

Muitos dispositivos portáteis e monitores de computadores caros têm um slot de segurança de suporte especial em aço construído
para usar em conjunto com fechaduras de cabo de aço.
O tipo mais comum de trava da porta é uma trava de entrada com uma chave padrão. Ele não trava automaticamente quando a
porta se fecha. Além disso, um indivíduo pode colocar um cartão de plástico fino, como um cartão de crédito, entre a fechadura e
a porta, para forçar a porta a abrir. Fechaduras em edifícios comerciais são diferentes das fechaduras residenciais. Para segurança
adicional, uma trava deadbolt oferece segurança extra. Qualquer fechadura que requeira uma chave, porém, apresenta uma
vulnerabilidade, se as chaves forem perdidas, roubadas ou duplicadas.

Uma trava de cifra, mostrada na Figura 2, usa botões que um usuário pressiona em uma determinada sequência, para abrir a porta.
É possível programar uma trava de cifra. Isso significa que o código de um usuário só pode funcionar durante certos dias ou em
determinados momentos. Por exemplo, uma trava de cifra só pode permitir o acesso de Bob à sala do servidor entre as 7 horas e as
18 horas de segunda à sexta. Travas de cifra também podem manter um registro de quando a porta se abriu e do código usado para
abri-la.

Temporizadores de logoff
Um funcionário se levanta e deixa o seu computador para fazer uma pausa. Se o funcionário não tomar nenhuma medida para
proteger sua estação de trabalho, qualquer informação nesse sistema estará vulnerável a um usuário não autorizado. Uma
organização pode tomar as seguintes medidas para impedir o acesso não autorizado:

Limite de Tempo de inatividade e Bloqueio de Tela

Os funcionários podem ou não podem fazer logoff do computador quando saem do local de trabalho. Portanto, é uma prática
recomendada de segurança configurar um temporizador de inatividade que fará, automaticamente, o logoff do usuário e bloqueará
a tela, depois de um período especificado. O usuário deve fazer login novamente para desbloquear a tela.

Horário de Login

Em algumas situações, uma organização pode querer que os funcionários façam logon durante horas específicas, como das 7 horas
às 18 horas. O sistema bloqueia logons durante as horas que estão fora do horário de logon permitido.

Rastreamento de GPS
O GPS (Global Positioning System, Sistema de posicionamento Global) usa satélites e computadores para determinar a
localização de um dispositivo. A tecnologia GPS é um recurso padrão em smartphones que fornece o rastreamento da posição em
tempo real. O rastreamento por GPS pode identificar um local em até 100 metros. Essa tecnologia está disponível para rastrear as
crianças, idosos, animais de estimação e veículos. Usar o GPS para localizar um telefone celular sem a permissão do usuário,
porém, é uma invasão de privacidade e é ilegal.

Muitos aplicativos de celular usam rastreamento por GPS para rastrear a localização do telefone. Por exemplo, o Facebook
permite aos usuários fazer check-in em um local, que, em seguida, fica visível para as pessoas em suas redes.

Inventário e etiquetas RFID

A RFID (Radio Frequency Identification, Identificação por radiofrequência) usa ondas de rádio para identificar e rastrear objetos.
Os sistemas de inventário de RFID usam tags fixadas em todos os itens que uma empresa quer rastrear. Os identificadores contêm
um circuito integrado que se conecta a uma antena. As etiquetas RFID são pequenas e exigem muito pouca energia e, portanto,
não precisam de uma bateria para armazenar informações a serem trocadas com um leitor. A RFID pode ajudar a automatizar o
rastreio de ativos ou o bloqueio/desbloqueio sem fio ou, ainda, a configurar dispositivos eletrônicos.

Os sistemas RFID operam em frequências diferentes. Sistemas de baixa frequência têm um intervalo de leitura mais curto e taxas
de leitura de dados mais lentas, mas não são tão sensíveis à interferência de ondas de rádio causadas por líquidos e metais
presentes. Frequências mais altas têm uma taxa de transferência de dados mais rápida e intervalos de leitura mais longos, mas são
mais sensíveis à interferência de ondas de rádio.

Gerenciamento de acesso remoto

Acesso remoto refere-se a qualquer combinação de hardware e software que permite aos usuários acessar remotamente uma rede
local interna.
Com o sistema operacional Windows, os técnicos podem usar o desktop remoto e a assistência remota para reparar e atualizar
computadores. O desktop remoto, como mostrado na figura , permite que os técnicos visualizem e controlem um computador de
um local remoto. A Assistência Remota permite que os técnicos ajudem os clientes com problemas de um local remoto. A
assistência remota também permite que o cliente visualize o reparo ou atualização em tempo real na tela.

O processo de instalação do Windows não ativa o desktop remoto por padrão. Ativar esse recurso abre a porta 3389 e pode
resultar em uma vulnerabilidade, se um usuário não precisar desse serviço.

Telnet, SSH e SCP

O Secure Shell (SSH) é um protocolo que fornece uma conexão de gerenciamento seguro (criptografado) a um dispositivo remoto.
O SSH deve substituir o Telnet nas conexões de gerenciamento. O Telnet é um protocolo mais antigo que usa transmissão de texto
não criptografado, não protegido, tanto para autenticação de logon (nome de usuário e senha) quanto para dados transmitidos entre
os dispositivos de comunicação. O SSH fornece segurança para conexões remotas, proporcionando criptografia forte quando um
dispositivo é autenticado (nome de usuário e senha) e também para a transmissão dos dados entre os dispositivos de comunicação.
O SSH usa a porta TCP 22. Já o Telnet usa a porta 23.

Na Figura 1, os criminosos virtuais monitoram pacotes usando o Wireshark. Na Figura 2, os criminosos virtuais capturam o nome
de usuário e a senha do administrador a partir da sessão Telnet de texto simples.

A figura 3 mostra a visão do Wireshark de uma sessão de SSH. Os criminosos virtuais rastreiam a sessão usando o endereço IP do
dispositivo do administrador, mas na Figura 4, a sessão criptografa o nome de usuário e a senha.

A SCP (Secure Copy, cópia segura), transfere, com segurança, arquivos de computador entre dois sistemas remotos. O SCP usa o
SSH para a transferência de dados (incluindo o elemento de autenticação), para que o SCP garanta a autenticidade e a
confidencialidade dos dados em trânsito.

Proteção de portas e serviços

Os criminosos virtuais exploram os serviços em execução em um sistema, porque eles sabem que a maioria dos dispositivos
executam mais serviços ou programas do que precisam. Um administrador deve olhar para cada serviço para verificar a sua
necessidade e avaliar o risco. Remova todos os serviços desnecessários.

Um método simples aplicado por muitos administradores para proteger a rede contra acesso não autorizado consiste em desativar
todas as portas não utilizadas em um switch. Por exemplo, se um switch tem 24 portas e há três conexões Fast Ethernet em uso, é
boa prática desativar as 21 portas não utilizadas.

O processo de ativação e desativação de portas pode consumir muito tempo, mas aumenta a segurança na rede e compensa o
esforço

Contas privilegiadas
Os criminosos virtuais exploram as contas com privilégios, pois são as contas mais poderosas da organização. Contas com
privilégios têm as credenciais para acessar sistemas e fornecem acesso elevado e irrestrito. Os administradores usam essas contas
para implantar e gerenciar sistemas operacionais, aplicativos e dispositivos de rede. A figura resume os tipos de contas com
privilégios.

A organização deve adotar as seguintes melhores práticas para proteger as contas com privilégios:

 Identificar e reduzir o número de contas com privilégios

 Aplicar o princípio de menor privilégio

 Estabelecer um processo de extinção dos direitos, quando os funcionários saem ou mudam de emprego

 Eliminar contas compartilhadas com senhas que não expiram

 Armazenar a senha de forma segura

  Eliminar as credenciais compartilhadas por vários administradores

 Alterar automaticamente as senhas de contas com privilégio a cada 30 ou 60 dias

 Registro de sessões com privilégios

 Implementar um processo para alterar senhas incorporadas para scripts e contas de serviço

 Registrar todas as atividades do usuário

 Gerar alertas para comportamento incomum

 Desativar contas inativas com privilégios

 Use a autenticação de vários fatores para todos os acessos administrativos

 Implementar um gateway entre o usuário final e os recursos ativos sensíveis para limitar a exposição da rede ao
malware

Bloquear contas com privilégios é fundamental para a segurança da organização. Proteger essas contas deve ser um processo
contínuo. Uma organização deve avaliar esse processo para realizar os ajustes necessários para melhorar a segurança.

Políticas de grupo
Na maioria das redes que usam computadores Windows, um administrador configura o Active Directory com domínios em um
Windows Server. Computadores Windows são membros de um domínio. O administrador configura uma política de segurança de
domínio que se aplica a todos os computadores que participam do domínio. As diretivas de contas são configuradas
automaticamente, quando um usuário faz login no Windows.
Quando um computador não faz parte de um domínio do Active Directory, o usuário configura políticas por meio da Política de
Segurança Local do Windows Em todas as versões do Windows exceto na Home Edition, digite secpol. msc no comando
Executar para abrir a ferramenta de Política de Segurança Local.

Um administrador configura políticas de conta de usuário, como políticas de senha e políticas de bloqueio, expandindo o menu
Políticas de conta > Política de senha. Com as configurações mostradas na Figura 1, os usuários devem alterar suas senhas a cada
90 dias e usar essa nova senha por pelo menos um (1) dia. As senhas devem conter oito (8) caracteres e três das quatro categorias
a seguir: letras maiúsculas, letras minúsculas, números e símbolos. Por último, o usuário pode reutilizar uma senha somente
depois de 24 senhas exclusivas.

Uma política de bloqueio de conta bloqueia um computador por uma período configurado quando ocorrem muitas tentativas de
logon incorretas. Por exemplo, a política mostrada na Figura 2 permite que o usuário digite o nome de usuário e/ou senha errados
cinco vezes. Depois de cinco tentativas, a conta é bloqueada por 30 minutos. Depois de 30 minutos, o número de tentativas é
redefinido para zero e o usuário pode tentar entrar novamente.

Mais configurações de segurança estão disponíveis ao expandir a pasta Políticas locais. Uma política de auditoria cria um arquivo
de log de segurança usado para rastrear os eventos listados na Figura 3.

Ativar logs e alertas

Um log registra todos os eventos que ocorrem. Entradas de log compõem um arquivo de log e uma entrada de log contém todas as
informações relacionadas a um evento específico. Registros relacionados à segurança de computador têm tido cada vez mais
importância.

Por exemplo, um log de auditoria rastreia as tentativas de autenticação do usuário e um log de acesso fornece todos os detalhes
sobre as solicitações para arquivos específicos de um sistema. O monitoramento dos logs do sistema pode determinar como um
ataque ocorreu e se as defesas implantadas foram bem-sucedidas.

Com o aumento do número de arquivos de log gerados para fins de segurança do computador, a empresa deve considerar um
processo de gerenciamento de logs. O gerenciamento de logs determina o processo para gerar, transmitir, armazenar, analisar e
eliminar dados do log de segurança do computador.

Logs do sistema operacional

Os logs do sistema operacional registram eventos que ocorrem por causa de ações operacionais executadas pelo sistema
operacional. Eventos do sistema incluem o seguinte:

 Solicitações do cliente e respostas do servidor, como autenticações de usuário bem-sucedidas

 Informações de uso que contêm o número e o tamanho das transações em um determinado período de tempo

Logs de aplicativos de segurança

As empresas usam software de segurança pela rede ou pelo sistema para detectar atividade mal-intencionada. Esse software gera
um log de segurança para fornecer dados de segurança do computador. Os logs são úteis para a realização de análise de auditoria e
para a identificação de tendências e de problemas no longo prazo. Os logs também permitem que uma empresa forneça
documentação que mostre que está em conformidade com as leis e os requisitos regulatórios.

Alimentação
Uma questão crítica na proteção de sistemas de informação são os sistemas de energia elétrica e as considerações sobre energia.
Um fornecimento contínuo de energia elétrica é fundamental nas enormes instalações de armazenamento de dados e de servidores
atuais. Aqui estão algumas regras gerais na construção de sistemas eficazes de alimentação elétrica:

 Data centers devem estar em uma fonte de alimentação diferente do resto do edifício
  Fontes de alimentação redundantes: dois ou mais feeds (fontes de alimentação) provenientes de duas ou mais
subestações elétricas

 Condições de alimentação

 Backup de sistemas de energia são, muitas vezes, necessários

 Uma UPS deve estar disponível para sistemas de desligamento normais

Uma organização deve proteger-se de vários problemas, ao projetar seus sistemas de fornecimento de energia elétrica.

Excesso de energia

 Pico: alta tensão momentânea

 Sobrecarga: alta tensão prolongada

Perda de energia

 Falha: perda momentânea de energia

 Blackout - Perda completa de energia

Degradação de energia

 Sag/dip: baixa tensão momentânea

 Queda de energia: baixa tensão prolongada

 Corrente de Inrush (Pico de Corrente): sobrecarga inicial de energia

Aquecimento, ventilação e ar-

condicionado (HVAC)
Sistemas HVAC são críticos para a segurança de pessoas e sistemas de informação nas instalações da empresa. Ao projetar
instalações modernas de TI, esses sistemas desempenham um papel muito importante na segurança geral. Sistemas HVAC
controlam o meio ambiente (temperatura, umidade, fluxo de ar e filtragem do ar) e devem ser planejados e operados juntamente
com outros componentes do data center, como hardware de computação, cabeamento, armazenamento de dados, proteção contra
incêndio, sistemas de segurança física e energia. Quase todos os dispositivos de hardware de computador físicos vêm com
requisitos ambientais que incluem temperatura aceitável e faixas de umidade. Os requisitos ambientais estão em um documento de
especificações do produto ou em um guia de planejamento físico. É fundamental manter esses requisitos ambientais para evitar
falhas de sistema e prolongar a vida dos sistemas de TI. Sistemas HVAC comerciais e outros sistemas de gerenciamento de
edifício agora se conectam à Internet para monitoramento e controle remotos. Eventos recentes mostraram que esses sistemas
(geralmente chamados “sistemas inteligentes”) também criam grandes implicações de segurança.

Um dos riscos associados a sistemas inteligentes é que os indivíduos que acessam e gerenciam o sistema trabalham para um
empreiteiro ou um fornecedor terceirizado. Como os técnicos de HVAC precisam conseguir encontrar informações rapidamente,
dados vitais tendem ser armazenados em diferentes lugares, tornando-os acessíveis para um número ainda maior de pessoas. Essa
situação permite que uma ampla gama de indivíduos, inclusive associados de empreiteiros, obtenham acesso às credenciais de um
sistema HVAC. A interrupção desses sistemas pode representar um risco considerável para a segurança da informação da
empresa.

Monitoramento de hardware
O monitoramento de hardware geralmente é encontrado em grandes parques de servidores (Server farm). Um parque de servidores
(server farm) é uma instalação que abriga centenas ou milhares de servidores para empresas. A Google tem vários parques de
servidores em todo o mundo para fornecer ótimos serviços. Mesmo as menores empresas estão construindo parques de servidores
locais para abrigar o número crescente de servidores necessários para a realização de seus negócios. Sistemas de monitoramento
de hardware são usados para monitorar a saúde desses sistemas e para minimizar o tempo de inatividade do servidor e do
aplicativo. Sistemas de monitoramento de hardware modernos usam portas USB e portas de rede para transmitir a condição de
temperatura da CPU, status da fonte de alimentação, velocidade e temperatura do ventilador, status da memória, espaço em disco
e status da placa de rede. Sistemas de monitoramento de hardware permitem que um técnico monitore centenas ou milhares de
sistemas em um único terminal. Como o número de parques de servidores continua a crescer, os sistemas de monitoramento de
hardware se tornaram uma contramedida de segurança essencial.

Centros de operação
O NOC (Network Operation Center, Centro de operação de rede) é um ou mais locais que contêm as ferramentas que fornecem
aos administradores um status detalhado da rede da empresa. O NOC é a base da solução de problemas de rede, monitoramento de
desempenho, distribuição e atualizações de software e gerenciamento de dispositivo.

O SOC (Security Operation Center, Centro de operação de segurança) é um site dedicado que monitora, avalia e defende os
sistemas de informação da empresa, como sites, aplicações, bancos de dados, data centers, redes, servidores e sistemas de
usuários. Um SOC é uma equipe de analistas de segurança que detecta, analisa, responde, relata e previne incidentes de segurança
cibernética.

Essas duas entidades usam uma estrutura de camadas hierárquicas para processar eventos. A primeira camada trata todos os
eventos e escalona qualquer evento que não puder processar para a segunda camada. A equipe da camada 2 analisa o evento em
detalhes para tentar resolvê-lo. Se não conseguirem, eles escalonam o evento para a Camada 3, os especialistas no assunto.

Para medir a eficácia geral de um centro de operação, uma empresa irá realizar exercícios e treinos realistas. Um exercício de
simulação tabletop é um procedimento estruturado por uma equipe para simular um evento e avalia a eficácia do centro de
operação. Uma medida mais eficaz é simular uma invasão completa, sem nenhum aviso. Isso envolve o uso de uma equipe
vermelha (Red Team), um grupo de indivíduos independentes que desafia os processos dentro de uma empresa, para avaliar a
eficácia da empresa. Por exemplo, a equipe vermelha deve atacar um sistema de missão crítica e incluir o reconhecimento e
ataque, escalonamento de privilégios e acesso remoto.

Switches, roteadores e dispositivos de

rede
Os dispositivos de rede são enviados sem senhas ou com senhas padrão. Altere as senhas padrão, antes de conectar qualquer
dispositivo à rede. Documente as alterações nos dispositivos de rede e registre as alterações. Por fim, examine todos os logs de
configuração.

As seções a seguir abordam várias medidas que um administrador pode tomar para proteger vários dispositivos de rede.

Switches

Switches de rede são o coração da rede de comunicação de dados moderna. A principal ameaça aos switches de rede são roubo,
acesso remoto e invasão, ataques contra os protocolos de rede, como ARP/STP ou ataques contra o desempenho e a
disponibilidade. Várias contramedidas e controles podem proteger switches de rede, incluindo a melhoria da segurança física,
configuração avançada e a implementação de atualizações e patches adequados do sistema, conforme necessário. Outro controle
eficaz é a implementação da segurança de porta. Um administrador deve proteger todas as portas do switch (interfaces), antes de
implantar o switch para uso em produção. Uma maneira de proteger as portas consiste em implementar um recurso chamado
segurança de portas. A segurança de portas limita o número de endereços MAC válidos permitidos em uma porta. O switch
permite o acesso a dispositivos com endereços MAC legítimos, enquanto nega outros endereços MAC.

VLANs

As VLANs fornecem uma forma de agrupar dispositivos em uma LAN e em switches individuais. As VLANs usam conexões
lógicas em vez de físicas. Portas individuais de um switch podem ser atribuídas a uma VLAN específica. Outras portas podem ser
usadas para interconectar fisicamente os switches e permitir o tráfego de várias VLANs entre os switches. Essas portas são
chamadas Trunks (troncos).

Por exemplo, o departamento de RH pode precisar proteger dados confidenciais. As VLANs permitem que um administrador
segmente redes com base em fatores como função, equipe de projeto ou aplicação, sem considerar o local físico do usuário ou do
dispositivo, conforme mostrado na Figura 1. Os dispositivos em uma VLAN atuam como se estivessem em sua própria rede
independente, mesmo que compartilhem uma infraestrutura comum com outras VLANs. Uma VLAN pode separar grupos que
têm dados confidenciais do resto da rede, diminuindo as chances de violações de informações confidenciais. Troncos permitem
que indivíduos na VLAN do RH estejam conectados fisicamente a vários switches diferentes.

Existem muitos tipos diferentes de ataques e vulnerabilidades de VLANs. Eles podem incluir atacar a VLAN e os protocolos de
transporte. Os detalhes desses ataques estão além do escopo deste curso. Os hackers podem atacar também a disponibilidade e o
desempenho da VLAN. Contramedidas comuns incluem o monitoramento de alterações e do desempenho da VLAN,
configurações avançadas e aplicações regulares de patches e atualizações do sistema no IOS.

Firewalls

Firewalls são soluções de hardware ou software que aplicam políticas de segurança de rede. Um firewall filtra a entrada de
pacotes não autorizados ou possivelmente perigosos na rede (Figura 2). Um firewall simples fornece recursos básicos de filtragem
de tráfego usando ACLs (Access Control Lists, Listas de controle de acesso). Administradores usam ACLs parar interromper o
tráfego ou permitir somente o tráfego autorizado em suas redes. Uma ACL é uma lista sequencial de instruções de permissão ou
de negação que se aplica a endereços ou protocolos. As ACLs são uma forma poderosa de controle de tráfego dentro e fora da
rede. Os firewalls mantêm ataques fora de uma rede privada e são um alvo comum de hackers para derrotar as proteções de
firewall. A principal ameaça aos firewalls são roubo, acesso remoto e hacker, ataques contra as ACLs ou ataques contra o
desempenho e a disponibilidade. Várias contramedidas e controles podem proteger firewalls, incluindo a melhoria da segurança
física, configuração avançada, acesso e autenticação remotos e atualizações e patches adequados do sistema são necessários.

Roteadores

Os roteadores formam o backbone da Internet e das comunicações entre redes diferentes. Os roteadores se comunicam para
identificar o melhor caminho possível para entregar o tráfego em redes diferentes. Os roteadores usam protocolos de roteamento
para tomar a decisão de roteamento. Os roteadores também podem integrar outros serviços, como recursos de switching e firewall.
Essas operações fazem dos roteadores os alvos preferenciais. A principal ameaça aos switches de rede são roubo, acesso remoto e
invasão, ataques contra os protocolos de roteamento, como RIP/OSPF ou ataques contra o desempenho e a disponibilidade. Várias
contramedidas e controles podem proteger roteadores de rede, inclusive a melhoria da segurança física, definições de
configurações avançadas, uso de protocolos de roteamento seguros com autenticação e atualizações e patches adequados do
sistema, conforme necessário.

Dispositivos móveis e sem fio

Dispositivos móveis e sem fio se tornaram o tipo predominante de dispositivos na maioria das redes modernas. Eles fornecem
mobilidade e conveniência, mas também representam uma série de vulnerabilidades. Essas vulnerabilidades incluem roubo,
invasão e acesso remoto não autorizado, sniffing, ataques man in the middle e ataques contra o desempenho e a disponibilidade. A
melhor forma de proteger uma rede sem fio é usar autenticação e criptografia. O padrão sem fio original, 801.11, introduziu dois
tipos de autenticação, como mostrado na figura:

 Autenticação de sistema aberto – Qualquer dispositivo sem fio pode se conectar à rede sem fio. Use esse método em
situações em que a segurança não seja uma preocupação.

 Autenticação de chave compartilhada – Fornece mecanismos para autenticar e criptografar dados entre um cliente sem
fio e um AP ou um roteador sem fio.

Estas são as três técnicas de autenticação de chave compartilhada para WLANs:

 WEP (Wired Equivalent Privacy - Privacidade Equivalente à de Redes com Fios) – Era a especificação 802.11 original que
protegia as WLANs. Entretanto, como a chave de criptografia nunca muda durante a troca de pacotes, é fácil de invadir.

 WPA (Wi-Fi Protected Access - Acesso Protegido a Wi-FI) – Este padrão usa WEP, mas protege os dados com um
algoritmo de criptografia muito mais forte: o TKIP (Temporal Key Integrity Protocol - Protocolo de Integridade de Chave
Temporal). O TKIP muda a chave para cada pacote, dificultando o trabalho dos hackers.

 IEEE 802.11i/WPA2 – O IEEE 802.11i é o padrão do setor em vigor para proteger WLANs. O 802.11i e o WPA2 usam o
AES (Advanced Encryption Standard, Padrão de criptografia avançada) para criptografia, que atualmente é o protocolo
de criptografia mais forte.
Desde 2006, qualquer dispositivo que utiliza o logo Wi-Fi Certified é um WPA2 certificado. Portanto, as WLANs modernas
devem usar sempre o padrão 802.11i/WPA2. Outras contramedidas incluem melhoria na segurança física e atualizações e
aplicações de patches do sistema regularmente nos dispositivos.

Serviços de rede e de roteamento

Os criminosos usam serviços de rede vulneráveis para atacar um dispositivo ou usá-lo como parte do ataque. Para verificar os
serviços de rede não protegidos, verifique se um dispositivo tem portas abertas usando um scanner de porta. Um scanner de porta
é um aplicativo que verifica se um dispositivo tem portas abertas, enviando uma mensagem para cada porta e esperando uma
resposta. A resposta indica como a porta é usada. Os criminosos virtuais também irão usar scanners de porta pelo mesmo motivo.
Proteger os serviços de rede garante que somente as portas necessárias estejam expostas e disponíveis.

Protocolo de Controle Dinâmico de Host (DHCP)

O DHCP usa um servidor para atribuir um endereço IP e outras informações de configuração automaticamente aos dispositivos de
rede. Na realidade, o dispositivo está obtendo uma permissão do servidor DHCP para usar a rede. Os invasores podem direcionar
os servidores DHCP para negar o acesso a dispositivos na rede. A Figura 1 fornece uma lista de verificação de segurança para
DHCP.

Sistema de Nomes de Domínio (DNS)

O DNS resolve um endereço de URL (Uniform Resource Locator, Localizador de recursos uniformes) ou de site
(http://www.cisco.com) para o endereço IP do site. Quando os usuários digitam um endereço da Web na barra de endereços eles
dependem de servidores DNS para resolver o endereço IP real desse destino. Os invasores podem direcionar os servidores DNS
para negar o acesso aos recursos da rede ou redirecionar o tráfego para sites falsos. Clique na Figura 2 para visualizar uma lista de
verificação de segurança para o DNS. Use serviço e autenticação seguros entre servidores DNS para protegê-los contra esses
ataques.

protocolo ICMP

Dispositivos de rede usam ICMP para enviar mensagens de erro como quando um serviço solicitado não está disponível ou se o
host não pode acessar o roteador. O comando ping é um utilitário de rede que usa o ICMP para testar a acessibilidade de um host
em uma rede. O ping envia mensagens ICMP para o host e aguarda uma resposta. Os criminosos virtuais podem alterar o uso de
ICMP para as finalidades erradas listadas na Figura 3. Ataques de negação de serviço usam ICMP e, por isso, tantas redes filtram
determinadas solicitações ICMP para impedir esses ataques.
Protocolo de Informação de Roteamento (RIP)

O RIP limita o número de saltos permitidos em um caminho em uma rede do dispositivo de origem para o destino. O número
máximo de saltos permitidos para o RIP é 15. O RIP é um protocolo de roteamento usado para trocar informações de roteamento
sobre quais redes cada roteador pode acessar e a que distância estão essas redes. O RIP calcula a melhor rota, com base na
contagem de saltos. A Figura 4 lista as vulnerabilidades do RIP e as defesas contra ataques ao RIP. Os hackers podem direcionar
roteadores e o protocolo RIP. Ataques em serviços de roteamento podem afetar o desempenho e a disponibilidade. Alguns ataques
podem resultar, até mesmo, em redirecionamento de tráfego. Use os serviços seguros com autenticação e implemente patches e
atualizações de sistema para proteger serviços de roteamento como o RIP.

Network Time Protocol (NTP)

É importante ter o horário correto nas redes. Carimbos de data e hora corretos são necessários para rastrear com precisão os
eventos da rede, como as violações de segurança. Além disso, a sincronização do relógio é fundamental para a interpretação
correta dos eventos nos arquivos de dados syslog, bem como para os certificados digitais.

O NTP (Network Time Protocol, Protocolo de tempo de rede) é um protocolo que sincroniza os relógios de sistemas de
computadores em redes de dados. O NTP permite que os dispositivos de rede sincronizem as configurações de hora com um
servidor NTP. A Figura 5 lista os vários métodos usados para fornecer horário seguro para a rede. Os criminosos virtuais atacam
servidores de tempo para interromper a comunicação segura que depende de certificados digitais e esconder informações do
ataque, como carimbos de data e hora.

Equipamento VoIP
Voz sobre IP (VoIP) usa redes como a Internet para fazer e receber chamadas de telefone. O equipamento necessário para VoIP
inclui uma conexão com a Internet e um telefone. Várias opções estão disponíveis como configuração do telefone:

 Um telefone tradicional, com um adaptador (o adaptador atua como uma interface de hardware entre um telefone
tradicional, analógico e uma linha digital VoIP)
  Um telefone ativado para VoIP

 Software VoIP instalado em um computador

A maioria dos serviços de VoIP do consumidor usam a Internet para chamadas de telefone. Muitas organizações, no entanto, usam
suas redes privadas porque elas fornecem mais segurança e melhor qualidade de serviço. A segurança de VoIP só é confiável se
houver uma segurança de rede subjacente. Os criminosos virtuais direcionam esses sistemas para obter acesso a serviços de
telefone gratuitos, espionar telefonemas, ou para afetar o desempenho e a disponibilidade.

Implemente as seguintes contramedidas para proteger o VoIP:

 Criptografe os pacotes de mensagens de voz para proteger contra espionagem.

 Use o SSH para proteger gateways e switches.

 Altere todas as senhas padrão.

 Use um sistema de detecção de invasão para detectar ataques, como envenenamento ARP.

 Use autenticação forte para mitigar o spoofing de registro (os criminosos virtuais roteiam todas as chamadas recebidas
da vítima para eles), representação de proxy (engana a vítima para se comunicar com um proxy falso configurado pelos
criminosos virtuais) e sequestro de chamadas (a chamada é interceptada e reencaminhada para um caminho diferente,
antes de chegar ao destino).

 Implemente firewalls que reconhecem VoIP para monitorar os streams e filtrar sinais anormais.

Quando a rede cair, as comunicações de voz também cairão.

Câmeras
Uma câmera de Internet envia e recebe dados por uma LAN e/ou Internet. Um usuário pode visualizar remotamente um vídeo em
tempo real usando um navegador da Web em uma ampla variedade de dispositivos, incluindo sistemas de computador, laptops,
tablets e smartphones.

As câmeras têm várias formas, incluindo a câmera de segurança tradicional. Outras opções incluem câmeras de Internet
discretamente escondidas em rádios-relógio, livros ou leitores de DVD.

Câmeras de Internet transmitem vídeo digital em uma conexão de dados. A câmera se conecta diretamente à rede e tem tudo o que
é necessário para transferir as imagens pela rede. A figura lista as melhores práticas para sistemas de câmera.
Equipamentos de videoconferência
A videoconferência permite que dois ou mais locais se comuniquem simultaneamente usando tecnologias de telecomunicações.
Essas tecnologias aproveitam os novos padrões de vídeo de alta definição. Produtos como o Cisco TelePresence permitem que um
grupo de pessoas em um local façam conferência com um grupo de pessoas de outros locais em tempo real. A videoconferência
agora é parte das operações diárias normais em setores como o médico. Médicos podem analisar os sintomas dos pacientes e
consultar especialistas para identificar possíveis tratamentos.

Muitas farmácias locais empregam assistentes de médico que podem conversar ao vivo com os médicos usando videoconferência
para agendar visitas ou respostas de emergência. Muitas empresas de fabricação estão usando teleconferência para ajudar
engenheiros e técnicos a realizarem operações complexas ou tarefas de manutenção. Equipamentos de videoconferência podem
ser extremamente caros e são alvos de alto valor para ladrões e criminosos virtuais. Clique aqui para assistir a um vídeo
demonstrando o poder dos sistemas de videoconferência. Os criminosos virtuais têm como alvo esses sistemas para espionar
chamadas de vídeo ou para afetar o desempenho e a disponibilidade.

Rede e sensores de IoT

Um dos setores mais rápidos da tecnologia da informação é o uso de sensores e dispositivos inteligentes. O setor de informática
identifica esse setor como a Internet das Coisas (IoT). Empresas e consumidores usam dispositivos de IoT para automação de
processos, monitoramento de condições ambientais e sistema de alerta ao usuário sobre condições adversas. A maioria dos
dispositivos IoT se conectam a uma rede via tecnologia sem fio e incluem câmeras, fechaduras, sensores de proximidade, luzes e
outros tipos de sensores usados para coletar informações sobre o ambiente ou o status de um dispositivo. Vários fabricantes de
dispositivos usam IoT para informar os usuários que precisam substituir peças, que componentes estão falhando ou que
suprimentos estão acabando.

As empresas usam esses dispositivos para controlar inventário, veículos e pessoal. Os dispositivos IoT contêm sensores
geoespaciais. Um usuário pode localizar, monitorar e controlar globalmente as variáveis ambientais, como temperatura, umidade e
iluminação. O setor de IoT constitui um enorme desafio para profissionais de segurança da informação, pois muitos dispositivos
IoT capturam e transmitem informações confidenciais. Os criminosos virtuais têm como alvo esses sistemas para interceptar
dados ou para afetar o desempenho e a disponibilidade.
Proteções e barricadas
Barreiras físicas são a primeira coisa que vem à mente quando se pensa em segurança física. A camada mais externa de segurança
e essas soluções são as mais visíveis publicamente. Um sistema de segurança de perímetro normalmente consiste nos seguintes
componentes:

 Sistema de cerca de perímetro

 Sistema de portão de segurança

 Bollards (um poste curto usado para proteger contra invasões de veículo, conforme mostrado na Figura 2)

 Barreiras de entrada de veículo

 Abrigos de proteção

Uma cerca é uma barreira que protege áreas seguras e designa os limites da propriedade. Todas as barreiras devem atender a
requisitos específicos do projeto e a especificações da fábrica. Áreas de alta segurança geralmente requerem uma “proteção
superior”, como arame farpado ou fio de arame farpado. Ao projetar o perímetro, os sistemas de cerca usam as seguintes regras:

 Um metro (3 a 4 pés) só irá deter invasores casuais

 Dois metros (6 a 7 pés) é muito alto para invasores casuais subirem

 Dois metros e meio (8 pés) oferecerá atraso limitado para um invasor determinado

As proteções superiores fornecem um impedimento adicional e podem atrasar o invasor cortando-o gravemente. No entanto, os
invasores podem usar um cobertor ou um colchão para aliviar essa ameaça. Regulamentos locais podem restringir o tipo de
sistema de cerca que uma empresa pode usar.

Cercas exigem uma manutenção regular. Animais podem fazer tocas sob a cerca ou a terra pode ser levada pela água, deixando a
cerca instável, proporcionando fácil acesso para um invasor. Inspecione os sistemas de cerca regularmente. Não estacione nenhum
veículo perto de cercas. Um veículo estacionado perto da cerca pode ajudar o invasor a pular ou danificar a cerca. Clique aqui para
obter recomendações adicionais de cerca.

Biometria
A biometria descreve os métodos automatizados de reconhecimento de um indivíduo com base em uma característica fisiológica
ou comportamental. Sistemas de autenticação de biometria incluem medições da face, impressão digital, geometria da mão, íris,
retina, assinatura e voz. Tecnologias de biometria podem ser a base da identificação altamente segura e de soluções de verificação
pessoal. A popularidade e o uso de sistemas de biometria aumentou devido ao aumento do número de falhas de segurança e de
fraudes nas transações. A biometria oferece transações financeiras confidenciais e privacidade de dados pessoais. Por exemplo, a
Apple usa a tecnologia de impressão digital em seus smartphones. A impressão digital do usuário desbloqueia o dispositivo e
acessa vários aplicativos, como aplicativos de bancos ou de pagamentos on-line.

Ao comparar sistemas de biometria, há vários fatores importantes a considerar, incluindo a precisão, a velocidade ou a taxa de
transferência, a aceitabilidade pelos usuários, a singularidade do órgão biométrico e ação, resistência à falsificação, confiabilidade,
requisitos de armazenamento de dados, tempo de inscrição e invasão da varredura. O fator mais importante é a precisão. A
precisão é expressa em taxas e tipos de erro.

A primeira taxa de erro é erros de tipo I ou rejeições falsas. Um erro de tipo I rejeita uma pessoa que se registra e é um usuário
autorizado. Em controle de acesso, se o requisito é manter os bandidos afastados, rejeição falsa é o erro menos importante. No
entanto, em muitas aplicações biométricas, rejeições falsas podem ter um impacto muito negativo no negócio. Por exemplo, um
banco ou uma loja de varejo precisa autenticar o saldo da conta e a identidade do cliente. Rejeição falsa significa que a transação
ou a venda está perdida e o cliente fica chateado. A maioria dos banqueiros e varejistas estão dispostos a permitir algumas
aceitações falsas, desde que haja um mínimo de rejeições falsas.
A taxa de aceitação é indicada como uma percentagem e é a taxa na qual um sistema aceita indivíduos que cancelaram a inscrição
ou impostores como usuários autênticos. Aceitação falsa é um erro de tipo II. Erros de tipo II permitem a entrada de invasores e,
portanto, são considerados o erro mais importante em um sistema de controle de acesso de biometria.

O método mais utilizado para medir a precisão da autenticação de biometria é a CER (Crossover Error Rate, Taxa de erro de
Crossover). A CER é a taxa em que a taxa de rejeições falsas e a taxa de aceitações falsas são iguais, como mostrado na figura.

Logs de acesso e crachás

Um crachá de acesso permite que um indivíduo obtenha acesso a uma área com pontos de entrada automáticos. Um ponto de
entrada pode ser uma porta, uma catraca, um portão ou outra barreira. Crachás de acesso usam várias tecnologias, como uma faixa
magnética, código de barras ou biometria.

Um leitor de cartão lê um número contido no crachá de acesso. O sistema envia o número para um computador que toma decisões
de controle de acesso com base nas credenciais fornecidas. O sistema registra a transação para recuperação posterior. Os relatórios
revelam quem entrou, quando entrou e em quais pontos de entrada.

Guardas e escoltas
Todos os controles de acesso físicos, incluindo sistemas de impedimento e de detecção dependem, em última análise, de pessoal
para intervir e parar o ataque ou a invasão real. Nas instalações com sistema de informação altamente seguro, guardas controlam o
acesso a áreas confidenciais da empresa. O benefício do uso de guardas é que eles podem se adaptar mais do que sistemas
automatizados. Guardas podem aprender e distinguir muitas condições e situações diferentes e tomar decisões imediatamente.
Guardas de segurança são a melhor solução para controle de acesso quando a situação exige uma resposta instantânea e
apropriada. No entanto, guardas não são sempre a melhor solução. Há inúmeras desvantagens ao uso de guardas de segurança,
incluindo o custo e a capacidade de monitorar e registrar alto volume de tráfego. O uso de guardas também introduz o erro
humano à essa mistura.

Vigilância eletrônica e por vídeo

A vigilância eletrônica e por vídeo complementam ou, em alguns casos, substituem, os guardas de segurança. A vantagem da
vigilância por vídeo e eletrônica é a capacidade de monitorar áreas mesmo que nenhum guarda ou pessoal esteja presente, a
capacidade de gravar e registrar vídeos e dados de vigilância por longos períodos e a capacidade de incorporar a detecção e
notificação de movimento.

A vigilância eletrônica e por vídeo também pode ser mais precisa na captura de eventos, mesmo depois que eles tiverem ocorrido.
Outra grande vantagem é que a vigilância eletrônica e por vídeo fornece pontos de vista não facilmente visualizados com guardas.
Também pode ser muito mais econômico usar câmeras para monitorar todo o perímetro de uma instalação. Em um ambiente
altamente seguro, uma empresa deve colocar vigilância eletrônica e por vídeo em todas as entradas, saídas, locais de
carregamento, escadas e áreas de coleta de refugo. Na maioria dos casos, a vigilância eletrônica e por vídeo complementa os
guardas de segurança.

Vigilância sem fio e RFID

O gerenciamento e a localização de ativos de sistemas de informação importantes são um desafio importante para a maioria das
empresas. O crescimento do número de dispositivos móveis e de dispositivos IoT tem tornado esse trabalho ainda mais difícil. O
tempo gasto à procura de equipamento crítico pode levar a atrasos ou tempo de inatividade caros. O uso de tags do recurso RFID
(Radio Frequency Identification, Identificação por radiofrequência) pode ser de grande valor para o pessoal da segurança. Uma
organização pode colocar os leitores de RFID nos batentes das portas de áreas seguras para que não fiquem visíveis.

O benefício de tags do recurso RFID é que elas podem rastrear qualquer ativo que fisicamente deixa uma área segura. Os novos
sistemas de tags do recurso RFID podem ler várias tags ao mesmo tempo. Sistemas RFID não precisam estar na linha de visão
para ler as tags. Outra vantagem do RFID é a capacidade de ler as tags que não estão visíveis. Ao contrário de códigos de barras e
tags legíveis humanas que devem ser fisicamente localizados e visíveis para ler, etiquetas RFID não precisam estar visíveis para
serem lidas. Por exemplo, colocar a tag em um PC embaixo de uma mesa exigiria que o pessoal rastejasse debaixo da mesa para
localizar e visualizar fisicamente ao usar um processo manual ou de código de barras. Usar uma etiqueta RFID permitiria que o
pessoal lesse a etiqueta sem nem mesmo precisar vê-la.

Capítulo 7: Proteção de um domínio

de segurança cibernética
Este capítulo discute as tecnologias, processos e procedimentos que os profissionais de segurança cibernética usam para defender
os sistemas, dispositivos e dados que compõem a infraestrutura da rede.

A codificação do host inclui proteger o sistema operacional, implementar soluções antivírus e usar soluções baseadas em host,
como firewalls e sistemas de detecção de invasão.

A codificação do servidor inclui o gerenciamento do acesso remoto, a proteção de contas privilegiadas e o monitoramento de
serviços.

A proteção de dados inclui controle de acesso ao arquivo e implementação de medidas de segurança para garantir a
confidencialidade, integridade e disponibilidade de dados.

A codificação do dispositivo também envolve a implementação de métodos comprovados de proteção física de dispositivos de
rede. Proteger seu domínio de segurança cibernética é um processo contínuo para proteger a infraestrutura de rede da empresa e
requer constante vigilância ao monitorar ameaças.