Saltar para o conteúdo

Curso Livre de Segurança de Sistemas/Tecnologias e Soluções de Proteção

Fonte: Wikiversidade

Frameworks de Segurança

[editar | editar código-fonte]

Os frameworks de segurança são constituídas por um conjunto de práticas e padrões ou sequência de processos que se implementadas podem aumentar o nível de segurança. Também as posturas de segurança poderiam ser validadas ou certificadas perante uma determina norma padrão de segurança. Com estes frameworks o intuito é construir "programas" de segurança da informação para gerenciar riscos e reduzir vulnerabilidades.

De modo geral, os frameworks reúnem uma grande quantidade informações que auxilia no momento da criação do processo de uma infraestrutura de segurança. Os frameworks podem sem classificados para qualquer organização/empresa, ou especificamente para um determinado setor. Deste modo, há diversos tipos de frameworks existentes para o gerenciamento da segurança, sendo eles:

NIST Cybersecurity Framework, NIST SP 800-53, NIST SP 800-171

[editar | editar código-fonte]

São padrões emitidos pelo órgão chamado NIST que podem ser replicadas em organizações federais do governo quanto em empresas privadas.

NIST SP 800-53

[editar | editar código-fonte]

A publicação NIST SP 800-53 fornece um catálogo de controle de segurança e privacidade para sistemas e organizações de informações federais, e um processo para selecionar controles para proteger as operações organizacionais (incluindo missão, funções, imagem e reputação), ativos organizacionais, indivíduos, outras organizações e a nação de um conjunto diversificado de ameaças, incluindo ataques cibernéticos hostis, desastres naturais, falhas estruturais e erros humanos (intencionais e não intencionais).[1]

Os controles de segurança e privacidade são personalizáveis e implementados como parte de um processo de toda a organização que gerencia a segurança das informações e o risco de sua privacidade. Os controles atendem a um conjunto diversificado de requisitos de segurança e privacidade em todo o governo federal e infraestrutura crítica, derivados de legislação, ordens executivas, políticas, diretivas, regulamentos, padrões e / ou necessidades de missão / negócios. A publicação também descreve como desenvolver conjuntos especializados de controles, ou sobreposições, adaptados para tipos específicos de missões/Funções de negócios, tecnologias ou ambientes de operação. [2]

O catálogo de controles de segurança aborda a segurança de uma perspectiva de funcionalidade (a força das funções e mecanismos de segurança fornecidos) e de uma perspectiva de garantia (as medidas de confiança na capacidade de segurança implementada). Abordar a funcionalidade e a garantia de segurança ajuda a garantir que os produtos componentes de tecnologia da informação e os sistemas de informação construídos a partir desses produtos usando sistema de som e princípios de engenharia de segurança sejam suficientemente confiáveis. adaptado para tipos específicos de missões / funções de negócios, tecnologias ou ambientes de operação. Finalmente, o catálogo de controles de segurança aborda a segurança de uma perspectiva de funcionalidade (a força das funções e mecanismos de segurança fornecidos) e de uma perspectiva de garantia (as medidas de confiança na capacidade de segurança implementada). [3]

Abordar a funcionalidade e a garantia de segurança ajuda a garantir que os produtos componentes de tecnologia da informação e os sistemas de informação construídos a partir desses produtos usando sistema de som e princípios de engenharia de segurança sejam suficientemente confiáveis. o catálogo de controles de segurança aborda a segurança de uma perspectiva de funcionalidade (a força das funções e mecanismos de segurança fornecidos) e de uma perspectiva de garantia (as medidas de confiança na capacidade de segurança implementada). Abordar a funcionalidade e a garantia de segurança ajuda a garantir que os produtos componentes de tecnologia da informação e os sistemas de informação construídos a partir desses produtos usando sistema de som e princípios de engenharia de segurança sejam suficientemente confiáveis. o catálogo de controles de segurança aborda a segurança de uma perspectiva de funcionalidade (a força das funções e mecanismos de segurança fornecidos) e de uma perspectiva de garantia (as medidas de confiança na capacidade de segurança implementada). Abordar a funcionalidade e a garantia de segurança ajuda a garantir que os produtos componentes de tecnologia da informação e os sistemas de informação construídos a partir desses produtos usando sistema de som e princípios de engenharia de segurança sejam suficientemente confiáveis.[4]

NIST SP 800-171

[editar | editar código-fonte]

A proteção das Informações Não Classificadas Controladas (CUI) residentes em sistemas e organizações não federais é de suma importância para as agências federais e pode impactar diretamente a capacidade do governo federal de conduzir com sucesso suas missões e funções essenciais. Esta publicação fornece às agências os requisitos de segurança recomendados para proteger a confidencialidade do CUI quando as informações residem em sistemas e organizações não federais; quando a organização não federal não está coletando ou mantendo informações em nome de uma agência federal ou usando ou operando um sistema em nome de uma agência; e onde não há requisitos de salvaguarda específicos para proteger a confidencialidade do CUI prescrito pela lei autorizadora, regulamento ou política governamental para a categoria de CUI listada no Registro de CUI. Os requisitos se aplicam a todos os componentes de sistemas e organizações não federais que processam, armazenam e / ou transmitem CUI, ou que fornecem proteção para tais componentes. Os requisitos de segurança são destinados ao uso por agências federais em veículos contratuais ou outros acordos estabelecidos entre essas agências e organizações não federais.[5]

É o Padrão de Segurança de Dados da Indústria de Pagamento com Cartão, sua criação tem como objetivo a proteção das informações pessoais do titular do cartão com intuito de diminuir roubo de dados e fraudes, construindo uma rede segura para as transações

Padrão para área de saúde nos EUA, mais em Específico a HIPAA (Lei de Portabilidade e Responsabilidade de Seguro Saúde), ela é um conjunto de normas que as organizações de saúde devem seguir para proteger as informações, e teve maior visibilidade quando justamente essas informações sofreram ataques, a HIPAA ajuda muitas instituições a atenderem os preceitos da LGPD. Engloba clínicas, planos de saúde, provedores de cuidados de saúde, hospitais, universidades que possuem hospitais entre outras.

Com a incorporação da Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH), foi incluído várias mudanças nas regras gerais que impactaram significativamente os associados de negócios. Os associados comerciais estão agora sob responsabilidade direta pelas regras de segurança, privacidade e notificação de violação da HIPAA.

O relatório SOC 2 (Controles de Serviços e Organizações 2) que é um padrão internacional para relatórios sobre sistemas de gerenciamento de riscos de cibersegurança, mais comum que os provedores de serviço obtêm está normalmente nos cinco Princípios de Serviço de Confiança (TSP) do AICPA, que incluem Segurança, Disponibilidade, Confidencialidade, Integridade de Processamento e Privacidade. porém empresas de auditoria podem também emitir opiniões sobre os critérios da estrutura do TSP, sendo um SOC 2 "plus".[1]

COBIT significa Objetivos de Controle de Informação e Tecnologia Relacionada, é um padrão criado pelo ISACA para gerenciamento e governança de TI. Este padrão não possui influência principal na segurança porém pode constituir de abordagens de gerenciamento de riscos para definir o controle de segurança. Originalmente como um conjunto de objetivos de controle para ajudar a comunidade de auditoria financeira a uma melhor manobra em ambientes relacionados a TI. Possui vários modelos e métricas de maturidade que medem a conquista, ao mesmo tempo que identificam as responsabilidades comerciais associadas dos processos de TI, eles incluem planejamento e organização, entrega e apoio, aquisição e implementação, monitoramento e avaliação.

O COBIT possui componentes que ajudam a organizar os objetivos da governança de TI, dessa forma trazendo melhores práticas nos processos e domínios de TI, ao mesmo tempo que vincula os requisitos do negócio, também atua como uma linguagem comum para cada indivíduo da organização, fornece uma lista completa de requisitos que foi considerado pelo gerenciamento para controle efetivo de TI, acessa a maturidade e a capacidade de cada processo enquanto aborda as lacunas, além de ajudar a atribuir responsabilidades melhores, medir desempenhos, concordar com objetivos comuns e ilustrar melhores inter-relações com todos os outros processos.

Dentre os COBITs o COBIT 5 foi revisado e reestruturado para assegurar uma cobertura completa para todos os principais aspectos relacionados à governança e gerenciamento da TI empresarial, dessa forma ele se torna melhor que os anteriores, fora que os anteriores possuíam muitas críticas.[2]

ISO/IEC 27000

[editar | editar código-fonte]

Diversas séries de padrões 27000 da ISO/ICE abrange padrões para: Definições (27000), requisitos para implementar a segurança (27001, 27006, 27009), guias e códigos de prática (27002, 27003, 27004, 27005, 27007, 27013 e 27014), setores específicos (27010, 27011, 27015, 27017, 27018, 27019) e controles de segurança específicos, como segurança de redes e de aplicações (2703x, 2704x).

Ela fornece a visão geral dos sistemas de gerenciamento de segurança da informação, e os termos e definições comumente usados ​​na família de normas ISO/IEC 27001. Pode ser usada tanto de grandes empresas a pequenas empresas.[3]


Soluções de proteção (contramedidas)

[editar | editar código-fonte]

Em segurança da informação, uma contramedida é uma ação, dispositivo, procedimento ou técnica que reduz uma ameaça, uma vulnerabilidade ou um ataque, eliminando, evitando ou minimizando o dano que pode causar, ou descobrindo e relatando para que a ação corretiva deve ser feita. [4]

Algumas contramedidas comuns estão listadas nas seguintes seções:

Medidas de segurança

[editar | editar código-fonte]

Um estado de "segurança" do computador é o conceito ideal, sendo esse alcançado pelo uso dos três processos: prevenção, detecção e resposta a ameaças. Esses processos são baseados em várias políticas e componentes do sistema, que incluem o seguinte:

  • Os controles de acesso à conta do usuário e criptografia podem proteger arquivos e dados do sistema, respectivamente.
  • Os firewalls são de longe os sistemas de prevenção mais comuns do ponto de vista da segurança de rede, pois podem (se configurados corretamente) proteger o acesso aos serviços de rede internos e bloquear certos tipos de ataques por meio da filtragem de pacotes. Os firewalls podem ser baseados em hardware ou software.
  • Os produtos do Sistema de Detecção de Intrusão (IDS) são projetados para detectar ataques à rede em andamento e auxiliar na perícia pós-ataque, enquanto as trilhas de auditoria e os logs têm uma função semelhante para sistemas individuais.
  • "Resposta" é necessariamente definida pelos requisitos de segurança avaliados de um sistema individual e pode abranger a faixa de simples atualização de proteções a notificação de autoridades legais, contra-ataques e semelhantes. Em alguns casos especiais, a destruição completa do sistema comprometido é favorecida, pois pode acontecer que nem todos os recursos comprometidos sejam detectados.

Hoje, a segurança do computador compreende principalmente medidas "preventivas", como firewalls ou um procedimento de saída. Um firewall pode ser definido como uma forma de filtrar dados de rede entre um host ou uma rede e outra rede, como a Internet, e pode ser implementado como software em execução na máquina, conectando-se à pilha de rede (ou, no caso de a maioria dos sistemas operacionais baseados em UNIX, como o Linux, embutido no kernel do sistema operacional) para fornecer filtragem e bloqueio em tempo real. Outra implementação é o chamado "firewall físico", que consiste em uma máquina separada que filtra o tráfego de rede. Firewalls são comuns entre máquinas que estão permanentemente conectadas à Internet.

Firewalls são medidas de segurança que criam barreiras entre dispositivos confiáveis e não confiáveis. Existem dois tipos de firewalls: Os host-based e os Network-based, ambos são softwares que impedem a comunicação em rede com dispositivos não confiáveis. Os host-based são firewalls instalados nas maquinas que tem como único objetivo a segurança daquela maquina especifica ao qual faz parte, já os network-based protegem todos os dispositivos conectados a rede ao qual este faz parte.[5]

O firewall, assim como outras soluções de segurança, executa um controle ativo, constante e proativo das ameaças, e isso faz toda a diferença. Ferramentas de análises e controle são fundamentais para a saúde das redes das empresas. Para aumentar ainda mais a segurança existente dentro dos firewalls. É possível elaborar um mapeamento completo da rede para enxergar possíveis problemas e vulnerabilidades que possam existir. Utilizando ferramentas apropriadas para o mapeamento como, firewall de borda, antivírus, RMM (Remote monitoring and management) e executar os scans de vulnerabilidades diariamente pode manter as medidas de segurança sempre atualizadas. Ou até criar novas políticas bem definidas como acessos externos VPN, visando bloquear as portas vulneráveis gerando proteção RDP (principal porta de entrada do ransomware) e assim eliminar algumas das possíveis vulnerabilidades encontradas em firewalls[6]

Gerenciamento de vulnerabilidade

[editar | editar código-fonte]

O gerenciamento de vulnerabilidades é o ciclo de identificação e remediação ou mitigação de vulnerabilidades [7], especialmente em software e firmware. O gerenciamento de vulnerabilidades é parte integrante da segurança do computador e da rede.

Vulnerabilidades podem ser descobertas com um scanner de vulnerabilidade, que analisa um sistema de computador em busca de vulnerabilidades conhecidas, como portas abertas, configuração de software insegura e suscetibilidade a malware. Para que essas ferramentas sejam eficazes, elas devem ser mantidas atualizadas a cada nova atualização lançada pelos fornecedores. Normalmente, essas atualizações farão a varredura em busca de novas vulnerabilidades que foram introduzidas recentemente.

Além da varredura de vulnerabilidade, muitas organizações contratam auditores de segurança externos para executar testes de penetração regulares em seus sistemas para identificar vulnerabilidades. Em alguns setores, esta é uma exigência contratual. [8]

Gerenciamento de vulnerabilidades e proteção contra a cyber exposure

[editar | editar código-fonte]

Quando se trata do gerenciamento de vulnerabilidades, muitas equipes de segurança concentram-se somente nas metas de seu departamento ou de sua equipe. Apesar do êxito parcial dessa abordagem no passado, os programas corporativos de gerenciamento de vulnerabilidades que alinham os objetivos de segurança com os objetivos de negócios costumam ser mais eficazes.

Ao alinhar seu programa de gerenciamento de vulnerabilidades com seus objetivos de negócios, é possível criar e analisar mais facilmente métricas de sucesso, que permitem que você informe com clareza o êxito do seu programa às principais partes interessadas, como executivos. Desse modo, você poderá desenvolver um programa corporativo mais robusto e receber o apoio da gestão superior, podendo acessar os recursos necessários para manter seu programa flexível, escalável e bem-sucedido.

Veja a seguir cinco práticas recomendadas para o gerenciamento de vulnerabilidades corporativo:

  1. Estabelecer objetivos: identifique componentes específicos que sejam mensuráveis e significativos, depois inicie o reforço da superfície de ataque, o inventário de ativos e a auditoria da correção.
  2. Assegurar a precisão dos dados: não limite a visualização do seu estado total de vulnerabilidade. Verifique se você tem dados precisos, aplicáveis e oportunos.
  3. Considerar as lacunas: para manter processos adequados e promover a confiança, identifique rapidamente as fontes de problemas de correção e sinalize-as como exceções.
  4. Processar interdependências e conflitos: entenda como os processos afetam indivíduos e equipes em sua organização para criar um programa de gerenciamento de vulnerabilidades bem-sucedido.
  5. Saber o que calcular: as medições devem ter o foco em exceções, não em tendências, para descobrir pontos fracos.

Autenticação

[editar | editar código-fonte]

A autenticação é uma referência ao procedimento que confirma a validade do usuário que realiza a requisição de um serviço. Este procedimento é baseado na apresentação de uma identidade junto com uma ou mais credenciais. As senhas e os certificados digitais são exemplos de credenciais.

Processo de determinar se alguém ou alguma coisa é, de fato, quem ou o que declarou ser. Ela ocorre em duas etapas:

1. Identificação: apresentar um identificador (pode ser o mesmo ou não usado pelo SO para as atividades de controle de acesso).

2. Verificação: apresentar ou gerar informações de identificação que corroboram o vínculo entre a entidade e o identificador.


Basicamente o uso da autenticação seus conceito pode ser definido em alguns tópicos:

  • Usada por um servidor quando o servidor precisa saber exatamente quem está acessando suas informações ou site.
  • Usada por um cliente quando o cliente precisa saber que o servidor é o sistema que afirma ser.
  • Na autenticação, o usuário ou computador deve provar sua identidade ao servidor ou cliente.


Normalmente, a autenticação por um servidor envolve o uso de um nome de usuário e senha. Outras maneiras de autenticar podem ser por meio de cartões, varreduras de retina, reconhecimento de voz e impressões digitais.

Por ser um padrão a autenticação por senha de usuário, as violações chega a ser comum, pois são visadas por hackers e são vulneráveis a ataques, como ataques de força bruta, ataques man-in-the-middle, cracking de senha e outros. Por conta disso, as empresas é obrigada por contratar e atribuir ao seu sistema outros métodos de segurança, como autenticação de dois ou vários fatores com o objetivo de complicar/atrasar a tentativa de violação do sistema. Alguns meios de autenticação de dois fatores é o Multi-Factor Authentication(MFA) e o Two-Factor-authetication(2FA). A autenticação simples requer apenas uma dessas evidências(fator), normalmente uma senha. Para segurança adicional, o recurso pode exigir mais de um fator - autenticação multifator ou autenticação de dois fatores nos casos em que exatamenteduas evidências devem ser fornecidas. Um exemplo desse tipo de autenticação é a retirada de dinheiro de uma caixa eletrônico, que depende do banco a autenticação do cartão é feita pela biometria, chave no celular, app do banco e entre outros.[9]

Tipos de autenticação a nível de usuário

[editar | editar código-fonte]

LDAP significa “Lightweight Directory Access Protocol” e é um subconjunto do X.500 Directory Access Protocol. Suas especificações mais recentes estão na RFC4510 e documentos amigáveis. Essencialmente, é um banco de dados que espera ser lido com mais frequência do que é escrito. [10]

A autenticação LDAP acontece com a tentativa de conexão entre um usuário de entrada e o diretório que se pretende vincular. Isso acontece através do estabelecimento de uma ligação entre o diretório e o nome de usuário fornecido. Caso haja uma entrada com um uid que seja igual ao nome de usuário e que isso igualmente ocorra para o atributo senhaUsuario, a conexão será bem sucedida.

Autenticação centralizada usando criptografia simétrica (KDC); Para utilização da autenticação dos conceitos de Kerberos para uma rede que utilizar esse protocolo é necessário que seus usuários realizem um cadastro no chamado Authentication Server(AS). A função deste é a mesma que a do órgão fornecedor das carteiras de identidades. O Authentication Server fornece o Ticket Granting Ticket(TGT), com isso no Ticket Granting Server(TGS) o usuário já possui um TGT para um determinado serviço oferecido pelo TGS. Basicamente o TGS é distinto do AS, mas eles podem residir na mesma maquina. A função do TGS é de antes de acessar qualquer serviço, o usuário requisita um ticket para contatar o TGS, como se ele Fosse um serviço qualquer. Este ticket é chamado de Ticket Granting Ticket(TGT), recebendo o TGT a qualquer momento que o usuário desejar requisitar um serviço ele irá requerer um ticket não mais do AS, mais sim do TGS. Além disso a resposta não será criptografada com a chave secreta do usuário, mas sim com a chave de sessão providenciada pelo AS para ser usada entre usuário e TGS. O conteúdo desta resposta é uma chave de sessão que será usada com o serviço regular.[11]

Autenticação de servidor via certificado de chave pública (permite também autenticação de cliente); Com a comunicação através de TLS, é necessário que o cliente sinalize ao servidor para a configuração de conexão TLS. Alguns exemplos de obter é utilizar números de porta diferentes, por exemplo a porta 443 para HTTPS ou fazer uma requisição STARTTLS ao utilizar protocolos de email. Uma vez que o cliente e o servidor concordaram quanto ao uso do TLS, é negociado uma conexão de estado por meio de um procedimento de Handshake. Os protocolos utilizam um handshake com uma chave pública para estabelecer as configurações de criptografia e uma chave de sessão única compartilhada através da qual toda a comunicação é criptografada utilizando uma chave simétrica. Durante todo esse procedimento de Handshake, o cliente e o servidor concordam a respeito dos vários parâmetros necessários para estabelecer a segurança da conexão.[12]

Tipo de autenticação que também usa chaves digitais públicas para realizar identificação de indivíduos e máquinas. As chaves SSH possibilitam uma maneira de identificação em um servidor de SSH através de uma criptografia de chave pública e autenticação de resposta de segurança. Uma das vantagens do SSH sobre outros meios de autenticação é o fato de que um usuário consegue ser autenticado pelo servidor sem precisar enviar sua senha pela rede.


Sistemas de Gerenciamento de Identidade (IDM ou IDAM);

NIST SP 800-63B: Digital Identity Guidelines - Authentication and Lifecycle Management;

Os sistemas operacionais usam funções de derivação (KDF) de chaves a partir das senhas dos usuários, executando centenas/milhares de operações com a inclusão de salts.

Autorização

[editar | editar código-fonte]

A autorização é a concessão de uso para determinados tipos de serviço, dada a um usuário previamente autenticado, com base na sua identidade, nos serviços que requisita e no estado atual do sistema. A autorização pode ser baseada em restrições, que são definidas por um horário de permissão de acesso ou localização física do usuário, por exemplo. A autorização determina a natureza do serviço cujo acesso é permitido a um usuário. Como exemplos de tipos de serviços temos: filtragem de endereço IP, atribuição de endereço, atribuição de rota, serviços diferenciados por QoS, controle de banda/gerenciamento de tráfego, tunelamento compulsório para determinado endpoint e criptografia.

Autorização é o processo de dar os privilégios necessários ao usuário para acessar recursos específicos, como arquivos, bancos de dados, locais, arquivos, informações, quase tudo dentro de uma aplicação. Em termos simples, a autorização avalia a capacidade de um usuário de acessar o sistema, até seus pontos específicos, pré-definidos. Ou seja, depois que um usuário realiza a autenticação, o aplicativo tem conhecimento sobre quem você é, e então, a autorização determina o que o usuário pode fazer no aplicativo, como por exemplo: o usuário tem direitos de administrador ou é um usuário normal? (denominado autorização vertical) E a quais dados ele tem acesso? Por exemplo: o usuário identificado como João não deve ser capaz de acessar os dados do usuário identificado como Maria (denominado autorização horizontal).

De acordo com o Relatório de Risco de Dados Globais de 2019 , quase 53% das empresas encontraram mais de 1.000 arquivos confidenciais abertos para todos os funcionários. Para manter uma segurança forte, a autorização deve ocorrer após a autenticação - onde o sistema valida a identidade do usuário antes de conceder acesso de acordo com seus privilégios. Por exemplo, você pode permitir que os administradores vejam informações confidenciais, mas limitar o acesso de fornecedores terceirizados a esses dados confidenciais. A autorização é freqüentemente usada de forma intercambiável com o controle de acesso do usuário e o privilégio do usuário.

Quando se trata de autorização, se pode adotar diferentes abordagens. O que é melhor para você depende de suas necessidades. As diferentes abordagens de autorização incluem:

  • Com base em token: os usuários recebem um token que estipula quais privilégios são concedidos ao usuário e a quais dados eles têm acesso onde o token está assinado criptograficamente;
  • Controle de acesso baseado em função (RBAC): os usuários são identificados como estando em uma função que estipula quais privilégios eles possuem. Além disso, seu ID de usuário restringiria os dados aos quais eles têm acesso;
  • Listas de controle de acesso (ACL): uma ACL especifica quais usuários têm acesso a recursos específicos. Por exemplo, se um usuário deseja acessar um arquivo ou pasta específica, seu nome de usuário ou detalhes devem ser mencionados na ACL para poder acessar certos dados. As empresas frequentemente atribuem privilégios e ACLs aos usuários em lotes, eles podem implementar “grupos” e “funções”, dois recursos que permitem a categorização de usuários e atribuem controles de acesso e privilégios a eles com base em sua posição organizacional e funções de trabalho;

[13]

Como a autorização e a autenticação funcionam em conjunto

[editar | editar código-fonte]

A autenticação e autorização de segurança devem ser incorporadas a qualquer site ou aplicativo, embora seja especialmente vital para aqueles que processam transações online ou informações pessoais. Uma vez que qualquer pessoa com a “chave” pode obter acesso, é vital que as empresas implementem uma estratégia de autenticação forte para impedir que usuários não autorizados acessem contas sem permissão.[14]

Ambas mantêm as contas internas internas organizadas e ajudam a detectar atividades não autorizadas antes que se tornem uma ameaça séria. Ë necessário que contas possuam apenas as permissões que realmente precisam, de modo a garantir e se proteger contra violações. Desta maneira, a pode ser detectado qualquer comportamento anormal desde o início e tomar as medidas necessárias para corrigi-lo ou fechá-lo.[14]

Um protocolo de autenticação de segurança forte impede que os cibercriminosos acessem sua conta. Ter um método de autenticação seguro tornará mais difícil para os hackers quebrar a chave de um usuário e obter acesso às suas informações.


Em resumo, autenticação e a autorização são cruciais, onde uma não substitui a outra, sendo utilizadas como complementares entre si, precisando de ambas para garantir que seus sistemas e sua rede estejam devidamente protegidos.

Codificação segura

[editar | editar código-fonte]

Na engenharia de software, a codificação segura visa proteger contra a introdução acidental de vulnerabilidades de segurança. Também é possível criar software projetado desde o início para ser seguro. Esses sistemas são "segurança pelo design". Além disso, a verificação formal visa provar a exatidão dos algoritmos subjacentes a um sistema [15]; importante para protocolos criptográficos, por exemplo.


Microssegmentação

Quando uma vulnerabilidade em um sistema corporativo é abusada, é possível que o problema se espalhe para outros sistemas do mesmo ambiente através da rede. Uma forma de evitar esse problema, é através da microssegmentação do tráfego na rede.[16]

Muito do tráfego de rede ocorre de forma lateral (leste-oeste) por se tratar de um tráfego de servidor com servidor. É importante possuir uma segurança interna na comunicação desses servidores, com a microssegmentação, justamente para evitar que invasões em um servidor comprometa toda a estrutura de comunicação lateral dos servidores. Isso geralmente é feito por meio de firewalls com pontos de obstrução, que são responsáveis por bloquear ou permitir o tráfego de pacotes com base em regras configuradas.[17]

Como obter a microssegmentação

Isso pode ser feito projetando um novo data center com uma arquitetura SDDC, que é um tipo de arquitetura definida por software, ou simplesmente adicionando recursos SDDS à um data center existente. A virtualização de rede permite que os arquitetos da rede otimizem a infraestrutura para obter uma melhor segurança e desempenho através da microssegmentação.[17]

SDDC

Software-Defined Data Center (SDDC), é uma arquitetura de rede definida por software. Com esse modelo, a arquitetura é entregue como um serviço, ou seja, é possível separar os recursos de hardware em blocos para melhorar melhorar o fluxo da rede.[18]

Essa arquitetura pode auxiliar na segurança da rede, pois através dela é possível fazer uma separação dos recursos e de troca de informações dos servidores, tudo de forma a obedecer regras específicas, bloqueando ou liberando pacotes com base nas mesmas.[18]

Criptografias

Criptografia é uma ciência secular que utiliza a cifragem dos dados para embaralhar as informações de forma que apenas os que detém a chave para decriptografar os dados tenham acesso à informação original.[19]

  • Criptografia Simétrica utiliza uma chave única para cifrar e decifrar a mensagem. Nesse caso o segredo é compartilhado.
  • Criptografia Assimétrica utiliza um par de chaves: uma chave pública e outra privada que se relacionam por meio de um algoritmo.  O que for criptografado pelo conjunto dessas duas chaves só é decriptografado quando ocorre novamente o match.  
  • Criptografia Quântica utiliza algumas características fundamentais da física quântica as quais asseguram o sigilo das informações e  soluciona a questão da Distribuição de Chaves Quânticas – Quantum Key Distribution.
  • Criptografia Homomórfica refere-se a uma classe de métodos de criptografia imaginados por Rivest, Adleman e Dertouzos já em 1978 e construída pela primeira vez por Craig Gentry em 2009. A criptografia homomórfica difere dos métodos de criptografia típicos porque permite a computação para ser executado diretamente em dados criptografados sem exigir acesso a uma chave secreta. O resultado de tal cálculo permanece na forma criptografada e pode, posteriormente, ser revelado pelo proprietário da chave secreta.

A grande necessidade de uso da criptografia está na proteção da identidade e dos dados do usuário.  Caso haja alguma tentativa de invasão, o sistema de criptografia protege todas as informações importantes: tanto os dados pessoais dos usuários o quanto o conteúdo de arquivos e de mensagens trocadas.


  1. FOUNDATION, Marcum. Utilizando a Estrutura SOC 2 para conformidade HIPAA / HITECH. 2016. https://www.marcumllp.com/insights/utilizing-the-soc-2-framework-for-hipaa-hitech-compliance
  2. SANTOS, Virgilio Marques dos O que é COBIT? Para que serve esta metodologia?. 2017. https://www.fm2s.com.br/como-definir-kpis/
  3. ABNT. ISO/IEC 27000: Norma internacional de segurança da informação é revisada. 2018. http://www.abnt.org.br/noticias/5777-iso-iec-27000-norma-internacional-de-seguranca-da-informacao-e-revisada
  4. [rfc:2828 RFC 2828 Internet Security Glossary]
  5. Rolf, Oppliger. Internet security: firewalls and beyond. 1997. https://doi.org/10.1145/253769.253802
  6. FERNANDES, Mirian. Gestão do firewall: Segurança e resiliência para a sua rede! 2021. Disponível em: https://blog.starti.com.br/gestao-do-firewall/.
  7. Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5
  8. Alan Calder and Geraint Williams (2014). PCI DSS: A Pocket Guide, 3rd Edition. ISBN 978-1-84928-554-4. network vulnerability scans at least quarterly and after any significant change in the network
  9. WIKIPÉDIA. Autenticação multifator. Disponível em: https://en.wikipedia.org/wiki/Multi-factor_authentication. Acesso em: 16 mar. 2021.
  10. BURRESS, Toby. Autenticação LDAP. 2018. Disponível em: https://docs.freebsd.org/pt_BR.ISO8859-1/articles/ldap-auth/article.html. Acesso em: 16 mar. 2021.
  11. CALÔR FILHO, Marcos Muniz. Kerberos. Disponível em: https://www.gta.ufrj.br/grad/99_2/marcos/kerberos.htm#:~:text=Kerberos%20%C3%A9%20um%20protocolo%20desenvolvido,chave%20sim%C3%A9trica%2C%20com%20o%20DES.. Acesso em: 16 mar. 2021.
  12. WIKIPÉDIA. Transport Layer Security. Disponível em: https://pt.wikipedia.org/wiki/Transport_Layer_Security. Acesso em: 16 mar. 2021.
  13. Security Authentication vs. Authorization: What You Need to Know, (Cypress Data Defense, 4 Jun,2020) https://towardsdatascience.com/security-authentication-vs-authorization-what-you-need-to-know-b8ed7e0eae74
  14. 14,0 14,1 Security Authentication vs. Authorization | A Quick Guide, (Swoop, 8 Jul,2020) https://swoopnow.com/security-authentication-vs-authorization/
  15. Sanghavi, Alok (21 May 2010). "What is formal verification?". EE Times_Asia.
  16. OLIVEIRA, Déborah. 10 principais tecnologias em segurança da informação. 2016. Disponível em: https://itforum.com.br/noticias/10-principais-tecnologias-em-seguranca-da-informacao/. Acesso em: 15 mar. 2021.
  17. 17,0 17,1 NETWORKS, 3Way. Você sabe o que é microssegmentação e seus benefícios? 2020. Disponível em: https://www.3way.com.br/voce-sabe-o-que-e-microssegmentacao-e-seus-beneficios/. Acesso em: 15 mar. 2021.
  18. 18,0 18,1 EVEO. O que é e como funciona o SDDC (Software Defined Data Center) ? 2019. Disponível em: https://www.eveo.com.br/blog/software-defined-datacenter/. Acesso em: 15 mar. 2021.
  19. CERTIFICADORA, Valid. Tipos de criptografia: conheça os 10 mais usados e como funciona cada um. Disponível em: https://cryptoid.com.br/valid/tipos-de-criptografia-conheca-os-10-mais-usados-e-como-funciona-cada-um/#:~:text=Criptografia%20%C3%A9%20uma%20ci%C3%AAncia%20secular,cifrar%20e%20decifrar%20a%20mensagem.. Acesso em: 16 mar. 2021.

[1][1]

  1. 1,0 1,1 Erro de citação: Etiqueta <ref> inválida; não foi fornecido texto para as refs de nome :0