Domain 1.0 – Threats, Attacks, and Vulnerabilities 1.2 Given a scenario, analyze potential indicators to determine the type of attack 1.4 Given a scenario, analyze potential indicators associated with network attacks Malicious Code Existem vários tipos de malware, com elementos e comportamentos diferentes, que nos ajudam a criar classificações/definições. Note que um malware pode conter vários tipos de ferramentas, e estar em mais de uma categoria. Malware: Este termo descreve softwares criados para causar danos a sistemas, usuários e redes. Pode ser usado para roubar dados ou prover acesso indevido. Ransomware: Tipo de malware que exige um resgate. Existem vários tipos de ransomware, inclusive crypto malware (criptografa arquivos e exige o pagamento de resgate). Outros ransomwares podem cobrar para não expor o usuário por conta de uso de software pirata ou pornografia, ou ainda para não expor dados sensíveis, pessoais ou corporativos. Uma das mais importantes medidas contra ransomware é o backup (que deve ser armazenado separadamente). Trojans: Trojan Horse é um tipo de malware que normalmente vem junto com um software legítimo ou não suspeito. Remote Access Trojan (RAT) permite o acesso remoto por parte do atacante, e pode estar junto com software legítimo que dá acesso remoto, dificultando identificar o problema. Antimalwares podem causar falsos positivos, mas é uma opção de proteção. Outra medida é a conscientização dos usuários. Worms: Os worms não requerem interação dos usuários (diferente dos trojans), e com isso podem se espalhar por conta própria aproveitando serviços vulneráveis. Anexos em e-mails e pastas compartilhadas, são opções para a disseminação de worms. Stuxnet é um exemplo de ataque worm “Nation-State-Level”. Rootkits: Malware criado especificamente para dar acesso por backdoors. Podem infectar drivers do sistema de arquivo, para que os usuários sejam incapazes de encontrar os arquivos rootkit, e também o código de inicialização na MBR (Master Boot Record), permitindo ataques mesmo contra discos totalmente criptografados. Por conta disso, a detecção é difícil. Ferramentas de detecção procuram por comportamentos e assinaturas de rootkits específicos. Outras opções são verificação de integridade e validação baseada nas respostas esperadas. A remoção também é complexa, por conta dos tipos de arquivos que podem ter sido contaminados. Reinstalar o sistema ou restaurar o backup são opções. Existem rootkits “válidos”, usados para DRM (Digital Rights Management), e “anti-cheating” em jogos. Backdoors: São métodos ou ferramentas que permitem acesso ilegal, desviando dos processos de autenticação e autorização normais. A detecção pode ser feita verificando portas abertas que não deviam estar, mas fica difícil a identificação quando uma backdoor usa a mesma porta de um serviço válido. Bots: Sistemas controlados remotamente, e um grupo de bots é conhecido como botnet. Botnets são normalmente usadas para atacar e infectar outros sistemas e também para causar um DoS. Podem ter milhares e até milhões de computadores. Muitas botnets trabalham como command and control (C&C), em modo client-server. O servidor C&C é core da botnet, de onde o atacante comanda a botnet. Mas também existem botnet do tipo “peer-to-peer”, o que dificulta identificar e derrubar a botnet. Keysloggers: Programas que capturam o conteúdo digitado, e até movimentos do mouse. Podem capturar dados direto do kernel, de APIs, scripts ou da memória. A prevenção contra keyloggers é feita mantendo os sistemas atualizados e com antimalware instalado. Usar MFA também ajuda, já que eles podem capturar senhas. Logic Bombs: Não são programas dedicados. Normalmente é parte do código, inserido em uma aplicação/sistema, e são ativados quando uma condição pré determinada ocorre. Menos comuns que os demais malwares, e mais comuns no desenvolvimento de softwares/scripts. Viruses: Programas maliciosos que se auto copiam e se replicam. Requer um mecanismo de infecção (para se espalhar) e procuram meios para replicação. Costumam ter uma condição pré definida para a execução e um “payload”, que é o que o vírus faz efetivamente. Memory-Resident: Vírus que fica na memória enquanto o sistema está ativo. Non-Memory Resident: Vírus que executa, se espalha e desativa. Boot Sector: Vírus que reside no setor de boot de um drive / storage media. Macro: Vírus que usa macros ou códigos em aplicações que permitem isso. E-mail: Vírus espalhado por e-mail, no corpo da mensagem ou como anexo. Fileless Viruses: Similar aos vírus tradicionais, se espalham por e-mail, sites maliciosos, e exploram falhas no browser ou em plugins. A partir da memória fazem atividades maliciosas, podendo reinfectar o sistema a partir de entradas em registro, por exemplo. Requer um vulnerabilidade para ter sucesso. Manter os softwares atualizados protege contra muito dos ataques. Antimalware e IPS também podem detectar as atividades maliciosas. Spyware: Malware criado para obter informações de pessoas, organizações e sistemas. Podem monitorar dados de navegação na internet ou uso de outros sistemas. Podem ser menos ou mais maliciosos, dependendo do tipo de dados que buscam obter. Slackware é um tipo de spyware, focando em monitorar ilegalmente a contra parte em um relacionamento. Normalmente combatidos com ferramentas antimalwares. PUP: Potentially Unwanted Programs são programas, nem sempre maliciosos, que o usuário não instalou intencionalmente. Podem vir como parte de um pacote, junto com outro software. Incluem adware, browser toolbars e outros. Podem ser removidos por antivírus e antimalware, normalmente. Limitar os direitos do usuário também é efetivo contra PUP. Além dos malwares, scripts e outros códigos podem ser considerados códigos maliciosos. PowerShell e Visual Basic no Windows, e Bash e Python no Linux podem ser usados para criar códigos maliciosos. Da mesma forma, macros no MS Office podem ser utilizados para ataques. Limitar o acesso do usuário ao PowerShell, ou ao menos aos comandos mais críticos, bem como ativar logs de uso do PowerShell é uma forma de minimizar os riscos. Com relação a macros (atualmente vem desativado por padrão no Office), é uma boa prática é educar os usuários sobre os riscos da execução. Já as linguagens de programação e ferramentas embutidas, como o Bash, são difíceis de controlar, já que podem ser necessárias para o uso válido. Mas o Bash tem uma funcionalidade chamada Restricted Shell, que limita o que os usuários podem fazer. Adversarial Artificial Intelligence É
Voucher para prova Fortinet (NSE) 2023
A Fortinet mudou suas certificações agora no dia 1 de outubro, e liberou descontos para quem comprar os exames até 31 de dezembro de 2023. As provas FCP – Fortinet Certified Professional, que custam $200,00, e as provas FCSS – Fortinet Certified Solution Specialist, que custam $400,00 normalmente, estão disponíveis por $ 125,00. Para aproveitar a promoção, basta comprar o voucher até dia 31 de dezembro de 2023, pelo página no Fortinet Training Institute. Na página selecione a opção Purchase Exam Vouchers, a certificação desejada, na sequência clique em Add Discount e informe o código NSE200 (provas FCP) ou NSE400 (provas FCSS). A prova pode ser feita em até um ano, a contar da data da compra do voucher. Para mais informações visite https://global.fortinet.com/lp-en-nse-exam-vouchers. Até a próxima.
Vulnerabilidade no Cisco IOS XE (CVE-2023-20198 e CVE-2023-20273)
Já devem ter ouvido nos últimos dias a repercussão sobre as vulnerabilidades registradas nos CVE-2023-20198 e CVE-2023-20273, que afetam equipamentos Cisco rodando IOS XE. Essas vulnerabilidades são críticas, pois permitem o acesso remoto ao equipamento, e já é confirmada a exploração em campo. Só no Brasil foram verificados mais de 3 mil equipamentos vulneráveis, segundo o shodan.io. Nos EUA mais de 50 mil. É necessária muita atenção, principalmente para equipamentos que tenham acesso direto via Internet. Mitigação Em seu equipamento Cisco IOS XE, verifique se o HTTP e/ou HTTPS server está ativo. Abaixo um exemplo de equipamento vulnerável. Router# show running-config | include ip http server|secure|active ip http server ip http secure-server Neste caso, para evitar a exploração destas vulnerabilidades, é necessário desativar o acesso administrativo por HTTP e HTTPS. Router# conf t Router(config)#no ip http server Router(config)#no ip http secure-server Também é possível criar uma ACL para restringir o acesso HTTP/HTTPS, se não for possível desativar o acesso. Router(config)#ip access-list standard HTTP_ACCESS Router(config-std-nacl)permit 10.0.0.0 0.0.0.255 Router(config-std-nacl)exit Router(config)#ip http access-class ipv4 HTTP_ACCESS Indicadores de comprometimento Além de restringir o acesso, é importante verificar se o equipamento não foi comprometido. Usando o curl é possível verificar a resposta do equipamento. Se o retorno tiver um hash no formato “0123456789abcdef01”, o equipamento foi comprometido. curl -k -H “Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb” -X POST “https://systemip/webui/logoutconfirm.html?logon_hash=1 Outra forma de validar se o equipamento está vulnerável é utilizando este script in Python. Outros indicadores são a existência dos usuários cisco_tac_admin, cisco_support, ou outro usuário que você não tenha criado. Logs indicando que estes usuários foram apagados também são indicadores de comprometimento. Correção da Vulnerabilidade Para corrigir a vulnerabilidade é necessária a atualização do software do equipamento. A versão 17.9 já possui um release com a correção. A correção para outras versões deve ser lançada em breve. Todos os detalhes destas vulnerabilidades, bem como as versões com as correções, podem ser verificadas neste link. No blog Cisco Talos também temos bastante informações, inclusive com outros indicadores de comprometimento, e o post vem sendo atualizado constantemente. Até a próxima.
Novas Certificações Fortinet (2023)
No último dia 1º de outubro a Fortinet lançou seu novo programa de certificação. As certificações Fortinet NSE – Network Security Expert, foram dividas em 5 níveis, e contam com conteúdos gratuitos online (parceiros) e também opções de cursos ministrados por instrutores. As provas também podem ser grátis e online (pelo menos para parceiros) ou presenciais, dependendo do nível da certificação. Fortinet Certified Fundamentals (FCF) O primeiro nível de certificação Fortinet foca nos conceitos básicos de segurança (confidencialidade, integridade, criptografia, firewall, NAC e outros), sem entrar em detalhes de produtos. É recomendado para profissionais em início de carreira e para todos que desejam seguir na área de segurança da informação. Para obter a certificação é necessário passar em duas provas (1 core e 1 eletiva), ambas online, direto no portal de treinamento da Fortinet. Fortinet Certified Associate (FCA) O segundo nível de certificação valida seu entendimento de operações em dispositivos FortiGate, abrangendo os fundamentos das operações mais comuns. É recomendado para quem opera dispositivos FortiGate, realizando configurações e monitoramento, em pequenas e médias empresas. Para obter a certificação é necessário passar na prova Fortigate Operator (online), no portal de treinamento da Fortinet. Fortinet Certified Professional (FCP) Neste nível temos 3 trilhas, para analistas e administradores de redes, nuvem e operadores de segurança. Network Security: Abrange as tarefas do dia a dia relacionadas aos dispositivos de segurança de rede da Fortinet, para proteção da rede e aplicações. É necessário passar em duas provas (1 core e 1 eletiva). Public Cloud Security: Para profissionais focado em segurança na nuvem envolvendo soluções Fortinet. Para a certificação é necessário passar em duas provas (1 core e 1 eletiva). Security Operations: Para especialistas em operações de segurança com soluções Fortinet. Nesta trilha basta passar em duas provas eletivas, e note que uma das eletivas (NSE 4 FortiOS) já serve como a core para o Network Security. Neste nível as provas são pagas (no momento custam $200,00), e feitas em um centro de provas da Pearson Vue. Fortinet Certified Solution Specialist (FCSS) O FCSS é dividido em 5 opções, recomendadas para quem projeta, gerencia, e oferece suporte avançado para cada linha de produto Fortinet. Zero Trust Access: Para especialistas (projeto e implantação) de soluções ZTA Fortinet. Para obter a certificação, basta passar em uma prova. Network Security: Para profissionais que projetam, administram e suportam soluções de segurança de rede Fortinet. É necessário passar em duas provas (1 core e 1 eletiva) para obter a certificação. Public Cloud Security: Recomendada para profissionais que desenham, administram e investigam problemas com soluções de nuvem Fortinet. Para conseguir a certificação é necessário passar em uma prova core. Security Operations: Valida a capacidade de projetar, administrar, monitorar e solucionar problemas em soluções de operações de segurança da Fortinet. É preciso passar na prova core específica para obter a certificação. OT Security: Para profissionais que trabalham projetando, administrando e resolvendo problemas usando soluções de segurança de OT da Fortinet. Necessário passar na prova core específica para obter a certificação. Cada prova FCSS custa $400,00, e deve ser feita nos centros de provas da Pearson Vue. Fortinet Certified Expert (FCX) Cybersecurity O nível mais alta de certificação Fortinet, recomendado para profissionais com experiência em design, configuração e solução de problemas usando soluções Fortinet. Para obter a certificação FCX é preciso passar em duas provas, sendo uma escrita e outra prática (9 horas de duração), no Fortinet Training Institute. A prova escrita custa $400,00 e a prova prática custa $1.600,00. Quem estiver interessado em estudar e seguir carreira com as soluções Fortinet, pode ver mais informações e se inscrever nos cursos disponíveis no Fortinet Training Institute usando os links abaixo. FCF Fortinet Certified Fundamentals Cybersecurity FCA Fortinet Certified Associate Cybersecurity FCP Fortinet Certified Professional Security Operations Fortinet Certified Professional Public Cloud Security Fortinet Certified Professional Network Security FCSS Fortinet Certified Solution Specialist OT Security Fortinet Certified Solution Specialist Security Operations Fortinet Certified Solution Specialist Public Cloud Security Fortinet Certified Solution Specialist Network Security Fortinet Certified Solution Specialist Zero Trust Access FCX Fortinet Certified Expert Cybersecurity Até a próxima.
Resumo CompTIA Security+ Study Guide: Capítulo 2
Domain 1.0 – Threats, Attacks, and Vulnerabilities 1.5 Explain different threat actors, vectors, and intelligence sources 1.6 Explain the security concerns associated with various types of vulnerabilities Imagem gerada por Feng My Shui Exploring Cybersecurity Threats Os atores da cybersegurança são diferentes, baseados no conhecimento, capacidade, recurso e motivação. Para proteger uma organização é necessário entender as diferenças. Internal vs External: Ameaças podem vir de dentro ou de fora da rede. Level of Sophistication/Capability: Pode variar de script kiddie, que rodam códigos prontos, até APT (Advanced Persistent Threat), que exploram vulnerabilidades descobertas por eles mesmos. Resources/Funding: Adversários variam também com relação aos recursos financeiros, que podem ser patrocinados por sindicatos do crime ou países, ou mais simples, que fazem por hobbie e investem menos. Intent/Motivation: A motivação também varia, podem atacar apenas pelo prazer da atividade em si, por ganho financeiro, espionagem corporativa e até guerra entre países. The Hats Hacker Wear Essa classificação vem dos antigos faroestes, onde os bandidos usavam chapéus pretos, e os mocinhos usavam chapéus brancos. White Hat: Atacantes autorizados, buscam descobrir vulnerabilidades e corrigi-las. Podem ser funcionários da organização ou contratados para este fim (penetration testing). Black Hat: Atacantes “não autorizados”, com intenções maliciosas. Buscam comprometer a confidencialidade, integridade e disponibilidade. Gray Hat: “Semi-autorizado”, fica entre o White e Black Hat. Agem sem a devida autorização, mas fazem isso para comunicar a organização e mostrar possíveis falhas na segurança. Podem ter boa intenção, mas dependendo de como agirem podem ser punidos como criminosos. Threat Actors Um conjunto de atributos pode ser utilizado para classificar os atores de ameaças. Script Kiddies: Forma pejorativa de identificar pessoas que conhecem e usam técnicas hackers, mas tem conhecimento limitado. Usam ferramentas disponibilizadas por outras pessoas. Normalmente não tem alvos específicos, e atacam o que for possível (escolas e universidades são alvos comuns). Costumam trabalhar sozinhos, com poucos recursos (tempo e dinheiro), e tem emprego “formal”. Hacktivists: Usam técnicas hackers contra empresas que desaprovam e/ou tem visões diferentes sobre política, por exemplo. Se arriscam, pois prezam pela “causa que estão lutando”. O conhecimento pode variar de script kiddie até pessoas com muito conhecimento. Inclusive não é incomum que o hacktivista tenha um emprego formal na área de cybersegurança. Os recursos a disposição também podem variar, e podem trabalhar sozinhos ou em grupos (Ex. Anonymous). Criminal Syndicates: Crime organizado vai atrás de dinheiro, e por isso também se envolvem em “crybercrimes”. Podem ser grupos que agem no mundo offline, ou específicos do mundo online, e tem objetivo financeiro basicamente. Tem pessoas de moderado a alto conhecimento, e normalmente contam com mais recursos que as categorias anteriores. APT (Advanced Persistent Threats): Usam técnicas avançadas, com ataques persistentes (duram tempo significante, em alguns casos por anos, aguardando o melhor momento para atacar). Comum serem “nation-state attackes”, com recursos significantes (pessoas, tempo e dinheiro). A motivação pode ser política ou econômica, ou ainda espionagem (contra países ou empresas). APT costumam usar vulnerabilidades que eles mesmo descobriram e ainda não foram anunciadas (zero day). Stuxnet é um exemplo de ataque APT (ligados a EUA e Israel, comprometeram usina de enriquecimento de urânio do Irã). Insiders: Quando alguém com acesso (funcionário, terceiro, fabricante) usa o acesso para um ataque contra a organização. Pode ter qualquer nível de conhecimento, e a motivação varia (ativismo, ganho financeiro ou insatisfação). Normalmente não tem muito recurso ou tempo, mas como tem o acesso, acaba tendo vantagem para o ataque. Shadow IT: Quando um usuário traz para o ambiente equipamentos ou softwares que a organização não tem ciência. Isso coloca a empresa em risco. Competitors: Empresas podem usar espionagem para roubar dados de concorrentes, e assim ter vantagens. Podem usar insiders para facilitar o trabalho, ou comprar informações na dark web. Threat Vectors Threat Vectors são os meios pelos quais o threat actors obtém acesso. Por exemplo: E-mail e Social Media: E-mail é o threat vector mais comumente explorado. Phishing, SPAM e outros tipos de ataques por e-mail são formas simples de ganhar acesso à organização. Social Media pode ser utilizada de maneira similar, onde dados dos usuários podem ser roubados e então utilizados em outros ataques. Direct Access: Acesso físico ao ambiente é uma opção para ataques. A partir de áreas “públicas”, como lobby, o atacante pode se conectar em uma porta de rede não bloqueada. Wireless Network: Opção de fácil acesso à rede da empresa, não precisando estar dentro da organização (pode captar o sinal da rua ou do estacionamento, por exemplo). Redes não seguras ou mal configuradas tem alto risco para a empresa. Removable Media: USB drives são uma forma de espalhar malware e assim gerar o ataque. O atacante pode distribuir dezenas de pendrives e aguardar que um usuário conecte no computador da empresa. Cloud: Atacantes podem ganhar acesso à sistemas ou arquivos sem as devidas configurações, com falhas de segurança, ou publicados/disponibilizados indevidamente. Third Party Risks: Ataques sofisticados podem usar a cadeia de suprimentos para atingir um alvo. Podem ter acessos na fábrica ou durante o transporte, e alterar softwares, incluindo backdoors para ganhar acesso ao ambiente. Threat Data and Intelligence Threat Intelligence é um conjunto de recursos e atividades disponíveis para aprender sobre as ameaças. Existem várias fontes, desde OSINT (Open Source Intelligence), até serviços pagos que fornecem feeds de dados, com IPs, URLS, arquivos, hashes, CVEs, base de dados de vulnerabilidades e outras informações sobre as ameaças. Também costumam prover listas de IoC (Indicators of Compromise), com logs, assinaturas de arquivos e outras evidências de um ataque/atacante. Open Source Intelligence O compartilhamento de informações publicamente facilita a identificação de ameaças e assim a proteção contra elas. Alguns exemplos de fontes públicas são: senki.org Open Threat Exchange, operado pela AT&T MISP Threat Sharing Threatfeeds.io VirusShare SANS Internet Storm Center Existem ainda, nos EUA, os Information Sharing and Analysis Centers (ISACs), e na Inglaterra o UK Centre for the Protection of National Infrastructure. Também existe o compartilhamento de informações feito por entidades governamentais, como o CISA (Cybersecurity and Infrastructure Security Agency) e o US Department
Resumo CompTIA Security+ Study Guide: Capítulo 1
Domain 1.0 – Threats, Attacks, and Vulnerabilities 1.6 Explain the security concerns associated with various types of vulnerabilities. Domain 2.0 – Architecture and Design 2.1 Explain the importance of security concepts in an enterprise environment Domain 5.0 – Governance, Risk, and Compliance 5.1 Compare and contrast various types of controls Imagem gerada por Feng My Shui Triad CIA e DAD O CIA é o acrônimo para: Confidentiality: Garantia de que indivíduos não autorizados não tenham acesso às informações. Ainda que tenham acesso a documentos e sistemas, não devem ser capazes de “ler os dados”. Firewalls, ACL e criptografia são usados para garantir a confidencialidade. Integrity: Garantia de que alterações não autorizadas (intencionais ou não) não sejam feitas à informações e sistemas. Hashing é uma forma de garantir a integridade. Availability: Garantia de que as informações e sistemas estarão disponíveis para os usuários legítimos sempre que eles precisarem. Clusters e backups são ferramentas para garantir a disponibilidade. Já o DAD significa: Disclosure: Quando informações sensíveis ficam disponíveis para indivíduos não autorizados (data loss). Alteration: Modificação não autorizada de informação (violação da integridade). Digitação errada, oscilação de energia, e ataques podem causar alterações. Denial: Impedimento de usuários autorizados acessarem determinada informação/sistema. Pode ser intencional (ataque DDoS), acidental, como falha de um servidor, ou acidente natural, por exemplo. CIA e DAD são ferramentas úteis para o planejamento de cyber segurança e a análise de risco. Security Incidents Ocorrem quando uma organização tem uma brecha na Confidencialidade, Integridade ou Disponibilidade. Podem ser resultados de um ataque, mal uso por parte de um funcionário, ou mesmo de um desastre natural. Breach Impact O impacto de um incidente de segurança pode variar, dependendo da natureza do incidente e do tipo de organização afetada. Normalmente um risco vai atingir mais de uma categoria, e o potencial impacto pode ser categorizado em: Financial Risk: Risco de prejuízo financeiro, que pode ser direto (reconstruir um DC que foi fisicamente destruído), ou custo de contratar um especialista para ajudar na análise do incidente. Ou indireto, como perder dados de um novo produto que seria lançado. Reputation Risk: Ocorre quando há publicidade negativa, relacionada a brecha de segurança. Strategic Risk: Quando a organização torna-se menos efetiva em atingir suas metas e objetivos, como resultado de uma brecha. Por exemplo perder dados sobre um produto que seria lançado, e não ter cópia do projeto. Isso causaria atraso no lançamento e as informações ainda poderiam cair nas mãos de concorrentes. Operational Risk: O risco da organização não conseguir manter suas atividades do dia-a-dia. Não conseguir pagar funcionários, ou atrasar entregas, são exemplos de risco operacional. Compliance Risk: Quando uma brecha faz a organização deixar de cumprir os requisitos regulatórios. Por exemplo, se um hospital perde dados de pacientes, ele não está cumprindo o HIPAA (Health Insurance Portability and Accountability Act) e PHI (Protected Health Information), e fica sujeito a punição dos órgãos reguladores. Implementing Security Controls and Security Control Types Security Controls são medidas específicas que atendem aos objetivos de segurança de uma organização, e são categorizados em: Technical Controls: Garantem a confidencialidade, integridade e disponibilidade. Exemplos: Regras de firewalls, IPS, criptografia de dados, catraca e controle de acesso biométrico. Operational Controls: Processos utilizados para gerenciar a tecnologia de maneira segura. Inclui: Avaliação dos direitos dos usuários, monitoramento de logs e gerenciamento de vulnerabilidades. Managerial Controls: Mecanismos que focam no processo de gerenciamento de riscos. Por exemplo, Security Planning Exercises, Risk Assessments periódicos. Os controles são divididos em tipos, baseados no efeito desejado. Preventive: Tem a intenção de evitar um problema de segurança, antes dele acontecer. Ex. Firewalls, e criptografia. Detective: Identificam eventos de segurança que já ocorreram. IDS e SIEM são exemplos. Corrective: Controles que remediam um problema de segurança que já ocorreu. Restaurar o backup, depois de um ataque de ransomware, por exemplo. Deterrent: Tem o objetivo de desestimular um ataque (cachorros e cercas, por exemplo). Physical: Controles que impactam no mundo físico, como muros, alarmes e câmeras de segurança. Compensating: Controles associados à mitigação dos riscos, considerando que a política de segurança pode ser “vazada”. Por exemplo, a organização precisa utilizar um servidor com SO desatualizado, por conta de uma aplicação específica. O servidor pode ser colocado em uma rede isolada, ter EDR e estar protegido por outros mecanismos. Estas seriam medidas de compensação. Data Encryption A criptografia utiliza algoritmos matemáticos para proteger informações, quando em trânsito ou armazenadas. O dado criptografado só pode ser lido por quem tem acesso a chave de descriptografia. DLP Sistemas DLP-Data Loss Prevention, ajudam as organizações forçando as políticas de segurança, e assim prevenindo perda/roubo de dados. Podem bloquear a transmissão/acesso, gerar alertas ou criptografar os dados automaticamente. Host-Based DLP: Usa agente instalado no host para garantir o controle dos dados. Network-Based DLP: Fica na rede e monitoram o tráfego de saída, identificando dados sensíveis não criptografados. Sistemas DLP tem dois mecanismos de ações: Pattern Matching: Monitora sinais de informações sensíveis (número de cartão de crédito ou de seguro social, por exemplo). Watermarking: Baseado em tags que o administrador aplicou aos documentos. Usado, por exemplo, em soluções DRM (Digital Rights Management). Data Minimization Técnica que busca diminuir a quantidade de dados sensíveis armazenados/transferidos. A melhor forma de alcançar a minimização, é destruindo dados quando eles não são mais necessários. Se não for possível apagar, pode-se remover informações que liguem os dados a um indivíduo (de-identifying). Outra opção é a ofuscação, onde a informação original torna-se inacessível. Hashing: Usa uma função hash para transformar o dado em um hash correspondente. Não é possível obter o valor original a partir do hash. No entanto, se alguém tiver uma lista de possíveis valores para um campo, é possível fazer um ataque Rainbow Table. Neste caso o atacante pode gerar os hashes dos possíveis valores e verificar se ele existe na tabela de hashes. Tokenization: Substitui informações sensíveis por um identificador único, usando uma “lookup table”. A tabela precisa estar segura. Masking: Redigir as informações sensíveis, substituindo partes com caracteres em branco/especiais (substituir os últimos dígitos
