- Os motivos do adversário

 

Não podes começar a batalha sem perceberes quem é o adversário e o porquê de te estar a atacar. Todo o atacante tem a sua história e objetivos, e estes dois aspetos são a razão de tudo o que fazem e como o fazem.

Normalmente são estas as categorias ou áreas onde vemos mais atividade:

- Financeira

- Patrocínio do Estado/Cyberwarfare

- Espionagem industrial

- Hacktivismo

- Roubo de recursos

- Batota em jogos de muliplayer

 

Sabendo estas variáveis, coloca-te mais à frente quando reúnes o tipo de ataques que a tua rede poderá enfrentar, e pistas para combateres o teu adversário.

 

 

Tipos de malware

 

Há três tipos maiores de malware: vírus de computador, cavalo de tróia, e o worm. Qualquer programa de malware é uma amálgama de uma ou mais classificações destas.

É importante teres este conhecimento para que, quando estiveres perante um cenário em que tens um malware à frente, saberes estudá-lo e como é que o mesmo conseguiu comprometer o sistema.

​

Exploits que levam ao "root"

Estas são as ameaças que podem levar a que os sistemas podem ficar comprometidos e sob as mãos de um atacante, sendo a "causa" root do comprometimento desses mesmos sistemas:

- Zero-days

- Software não corrigido

- Malware

- Engenharia social

- Ataques de password

- Eavesdropping/MITM (Man in the Middle)

- Leaks de dados

- Má configuração

- Negação de Serviço

- Insider

- Erro de utilizador

- Acesso físico

 

Criptografia e proteção de dados

 

A criptografia digital é a arte de tornar a informação segura contra o acesso não autorizado e modificação. Quando se fala em criptografia, inclui-se a encriptação assimétrica, simétrica, hashing e distruição da chave e proteção.

A proteção de dados engloba muita criptografia, e exige também que os dados sejam recolhidos conforme o previsto na lei, aliás, no aspeto legal a importância tem vindo gradualmente a aumentar.

 

Redes e análise de pacotes

 

Um bom profissional vê-se pela sua capacidade em ver e analisar pacotes de rede. Aqui o básico a saber inclui protocolos, números de portas, endereços de rede, os layers do modelo OSI, a diferença entre um router e um switch.

 

Tipos de defesa comuns

 

Estes são os "standards" da segurança informática:

- Gestão das correções

- Treino dos utilizadores

- Firewalls

- Antivírus

- Configurações seguras

- Encriptação/Criptografia

- Deteção de intrusões

- Logs

 

 

Bases de autenticação

 

Os melhores profissionais de cibersegurança compreendem que a autenticação é mais de que colocar uma password válida ou satisfazer um teste de dois fatores. A autenticação começa em conceder uma etiqueta útica e de identidade válida - endereço de email, nome da pessoa, nome de login. A autenticação é o processo de dar um ou mais "segredos" que são conhecidos apenas para uma determinada entidade e o seu serviço de base de dados. Por isso, assim que a pessoa consegue logar-se no sistema, através dos fatores corretos de autenticação, sabe-se que foi essa pessoa que acedeu ao sistema e, assim, tem direito a usufruir dos recursos a que tem acesso. Todo o processo de autenticação deve constar nos dados de login, devem haver logs.

 

 Ameaças do setor mobile

Dentro destas ameaças, aquilo que o profissional de cibersegurança deve estar a par é o seguinte:

- Malware de telemóvel

- Spyware

- Roubo de dados ou credenciais

- Roubo de imagem

- Ransomware

- Ataques de phishing

- Rede sem fios insegura

 

Os quatro fatores que tornam a segurança da cloud mais complexa que as redes normais

 

- Falta de controlo

- Sempre disponível na internet

- Partilha entre diversos servidores/serviços

- Virtualização/"Containerização"/microserviços

 

 

Logs de eventos

 

Grande parte dos incidentes, se tivessem um sistema de logs bem configurado, seriam mais eficazmente investigados, sendo que aqui o fator tempo é um dos mais importantes a ter em conta. Enumeram-se os aspetos inerentes aos logs de eventos:

- Política

- Configuração

- Recolha dos logs de eventos

- Normalização

- Indexação

- Armazenamento

- Correlação

- Baselining

- Alertas

- Relatórios

 

 

 

Resposta a incidentes

 

Todo e qualquer profissional de cibersegurança já teve uma falha nas suas defesas. Um bom profissional, sempre que está perante um incidente, tem sempre um plano pronto a colocar-se em prática.

A resposta a incidentes engloba na sua base:

- Resposta eficaz e segundo uma timeline

- Limitação do dano

- Análise forense

- Identificação da ameaça

- Comunicação

- Limitar danos futuros

- Lições aprendidas

 

 

Educação para as ameaças e comunicação

 

Grande parte das ameaças é conhecida e são aquelas que recorrem frequentemente. Algumas das ameaças que enfrentamos, como a engenharia social, só se podem impedir educando as pessoas de uma empresa. Por isso, a capacidade de comunicar com frequência é aquilo que separa um bom profissional do mau.

Que aspetos devem ser incluidos no treino?

- Uso aceitável

- Política de segurança

- Como se autenticar e o que evitar

- Proteção de dados

- Awareness de engenharia social

- Como e quando reportar incidentes de segurança suspeitos