Mecanismos de Segurança
No contexto da segurança digital, existem vários mecanismos entendidos e aceitos como adequados ao provimento da segurança dos dados que compõem o sistema de informação de uma organização. Entretanto uma solução absoluta em si inexiste, é necessário uma conjunção de fatores que envolvam tecnologias, dispositivos, procedimentos e uma cultura direcionada a resposabilidade de todas as partes envolvidas.
No que se refere à recursos e implementações tecnológicas podemos citar alguns:
Política de Segurança
A política de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito, caso não a cumpra.
É considerada como um importante mecanismo de segurança, tanto para as instituições como para os usuários, pois com ela é possível deixar claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos na política, podem ser tratados de forma adequada pelas partes envolvidas.
A política de segurança pode conter outras políticas específicas, como:
Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca.
Notificação de incidentes e abusos
Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores.
Alguns exemplos de incidentes de segurança são: tentativa de uso ou acesso não autorizado a sistemas ou dados, tentativa de tornar serviços indisponíveis, modificação em sistemas (sem o conhecimento ou consentimento prévio dos donos) e o desrespeito à política de segurança ou à política de uso aceitável de uma instituição.
É muito importante que você notifique sempre que se deparar com uma atitude que considere abusiva ou com um incidente de segurança. De modo geral, a lista de pessoas/entidades a serem notificadas inclui: os responsáveis pelo computador que originou a atividade, os responsáveis pela rede que originou o incidente (incluindo o grupo de segurança e abusos, se existir um para aquela rede) e o grupo de segurança e abusos da rede a qual você está conectado (seja um provedor, empresa, universidade ou outro tipo de instituição).
Ao notificar um incidente, além de se proteger e contribuir para a segurança global da Internet, também ajudará outras pessoas a detectarem problemas, como computadores infectados, falhas de configuração e violações em políticas de segurança ou de uso aceitável de recursos.
Para encontrar os responsáveis por uma rede você deve consultar um "servidor de WHOIS", onde são mantidas as bases de dados sobre os responsáveis por cada bloco de números IP existentes. Para IPs alocados ao Brasil você pode consultar o servidor em http://registro.br/cgi-bin/whois/ , para os demais países você pode acessar o site http://www.geektools.com/whois.php que aceita consultas referentes a qualquer número IP e as redireciona para os servidores apropriados .
É importante que você mantenha o CERT.br na cópia das suas notificações , pois isto contribuirá para as atividades deste grupo e permitirá que:
os dados relativos a vários incidentes sejam correlacionados, ataques coordenados sejam identificados e novos tipos de ataques sejam descobertos;
ações corretivas possam ser organizadas em cooperação com outras instituições;
sejam geradas estatísticas que reflitam os incidentes ocorridos na Internet brasileira;
sejam geradas estatísticas sobre a incidência e origem de spams no Brasil;
sejam escritos documentos, como recomendações e manuais, direcionados às necessidades dos usuários da Internet no Brasil.
A notificação deve incluir a maior quantidade de informações possível, tais como:
logs completos;
data, horário e fuso horário ( time zone ) dos logs ou da atividade que está sendo notificada;
o e-mail completo, incluindo cabeçalhos e conteúdo (no caso de notificação de spam , trojan , phishing ou outras atividades maliciosas recebidas por e-mail );
dados completos do incidente ou qualquer outra informação que tenha sido utilizada para identificar a atividade.
Outras informações e respostas para as dúvidas mais comuns referentes ao processo de notificação de incidentes podem ser encontradas na lista de questões mais frequentes (FAQ) mantida pelo CERT.br e disponível em http://www.cert.br/docs/faq1.html .
Política de backup :
Define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência de execução.
Política de privacidade:
Define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários.
Política de confidencialidade:
Define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros.
Política de uso aceitável (PUA) ou A cceptable U se P olicy (AUP):
Também chamada de "Termo de Uso" ou "Termo de Serviço", define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas.
A política de uso aceitável costuma ser disponibilizada na página Web e/ou ser apresentada no momento em que a pessoa passa a ter acesso aos recursos. Talvez você já tenha se deparado com estas políticas, por exemplo, ao ser admitido em uma empresa, ao contratar um provedor de acesso e ao utilizar serviços disponibilizados por meio da Internet, como redes sociais e Webmail .
Algumas situações que geralmente são consideradas de uso abusivo (não aceitável) são:
compartilhamento de senhas;
divulgação de informações confidenciais;
envio de boatos e mensagens contendo spam e códigos maliciosos;
envio de mensagens com objetivo de difamar, caluniar ou ameaçar alguém;
cópia e distribuição não autorizada de material protegido por direitos autorais;
ataques a outros computadores;
comprometimento de computadores ou redes.
O desrespeito à política de segurança ou à política de uso aceitável de uma instituição pode ser considerado como um incidente de segurança e, dependendo das circunstâncias, ser motivo para encerramento de contrato (de trabalho, de prestação de serviços, etc.).
Cuidados a serem tomados:
procure estar ciente da política de segurança da empresa onde você trabalha e dos serviços que você utiliza (como Webmail e redes sociais);
fique atento às mudanças que possam ocorrer nas políticas de uso e de privacidade dos serviços que você utiliza, principalmente aquelas relacionadas ao tratamento de dados pessoais, para não ser surpreendido com alterações que possam comprometer a sua privacidade;
fique atento à política de confidencialidade da empresa onde você trabalha e seja cuidadoso ao divulgar informações profissionais, principalmente em blogs e redes sociais (mais detalhes na Seção 11.1 do Capítulo Privacidade );
notifique sempre que se deparar com uma atitude considerada abusiva (mais detalhes na Seção 7.2 ).
Notificação de incidentes e abusos
Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores.
Alguns exemplos de incidentes de segurança são: tentativa de uso ou acesso não autorizado a sistemas ou dados, tentativa de tornar serviços indisponíveis, modificação em sistemas (sem o conhecimento ou consentimento prévio dos donos) e o desrespeito à política de segurança ou à política de uso aceitável de uma instituição.
É muito importante que você notifique sempre que se deparar com uma atitude que considere abusiva ou com um incidente de segurança. De modo geral, a lista de pessoas/entidades a serem notificadas inclui: os responsáveis pelo computador que originou a atividade, os responsáveis pela rede que originou o incidente (incluindo o grupo de segurança e abusos, se existir um para aquela rede) e o grupo de segurança e abusos da rede a qual você está conectado (seja um provedor, empresa, universidade ou outro tipo de instituição).
Ao notificar um incidente, além de se proteger e contribuir para a segurança global da Internet, também ajudará outras pessoas a detectarem problemas, como computadores infectados, falhas de configuração e violações em políticas de segurança ou de uso aceitável de recursos.
Para encontrar os responsáveis por uma rede você deve consultar um "servidor de WHOIS", onde são mantidas as bases de dados sobre os responsáveis por cada bloco de números IP existentes. Para IPs alocados ao Brasil você pode consultar o servidor em http://registro.br/cgi-bin/whois/ , para os demais países você pode acessar o site http://www.geektools.com/whois.php que aceita consultas referentes a qualquer número IP e as redireciona para os servidores apropriados .
É importante que você mantenha o CERT.br na cópia das suas notificações , pois isto contribuirá para as atividades deste grupo e permitirá que:
os dados relativos a vários incidentes sejam correlacionados, ataques coordenados sejam identificados e novos tipos de ataques sejam descobertos;
ações corretivas possam ser organizadas em cooperação com outras instituições;
sejam geradas estatísticas que reflitam os incidentes ocorridos na Internet brasileira;
sejam geradas estatísticas sobre a incidência e origem de spams no Brasil;
sejam escritos documentos, como recomendações e manuais, direcionados às necessidades dos usuários da Internet no Brasil.
A notificação deve incluir a maior quantidade de informações possível, tais como:
logs completos;
data, horário e fuso horário ( time zone ) dos logs ou da atividade que está sendo notificada;
o e-mail completo, incluindo cabeçalhos e conteúdo (no caso de notificação de spam , trojan , phishing ou outras atividades maliciosas recebidas por e-mail );
dados completos do incidente ou qualquer outra informação que tenha sido utilizada para identificar a atividade.
Outras informações e respostas para as dúvidas mais comuns referentes ao processo de notificação de incidentes podem ser encontradas na lista de questões mais frequentes (FAQ) mantida pelo CERT.br e disponível em http://www.cert.br/docs/faq1.html .
Contas e senhas
Contas e senhas são atualmente o mecanismo de autenticação mais usado para o controle de acesso a sites e serviços oferecidos pela Internet.
É por meio das suas contas e senhas que os sistemas conseguem saber quem você é e definir as ações que você pode realizar.
Dicas de elaboração, alteração e gerenciamento, assim como os cuidados que você deve ter ao usar suas contas e senhas, são apresentados no Capítulo Contas e senhas .
Criptografia
Usando criptografia você pode proteger seus dados contra acessos indevidos, tanto os que trafegam pela Internet como os já gravados em seu computador.
Detalhes sobre como a criptografia pode contribuir para manter a segurança dos seus dados e os conceitos de certificados e assinaturas digitais são apresentados em Criptografia.
Cópias de segurança ( Backups )
Você já imaginou o que aconteceria se, de uma hora para outra, perdesse alguns ou até mesmo todos os dados armazenados em seu computador? E se fossem todas as suas fotos ou os dados armazenados em seus dispositivos móveis? E se, ao enviar seu computador para manutenção, você o recebesse de volta com o disco rígido formatado? Para evitar que estas situações aconteçam, é necessário que você aja de forma preventiva e realize cópias de segurança ( backups ).
Muitas pessoas, infelizmente, só percebem a importância de ter backups quando já é tarde demais, ou seja, quando os dados já foram perdidos e não se pode fazer mais nada para recuperá-los. Backups são extremamente importantes, pois permitem:
Proteção de dados: você pode preservar seus dados para que sejam recuperados em situações como falha de disco rígido, atualização mal-sucedida do sistema operacional, exclusão ou substituição acidental de arquivos, ação de códigos maliciosos/atacantes e furto/perda de dispositivos.
Recuperação de versões:
Você pode recuperar uma versão antiga de um arquivo alterado, como uma parte excluída de um texto editado ou a imagem original de uma foto manipulada.
Arquivamento:
Você pode copiar ou mover dados que deseja ou que precisa guardar, mas que não são necessários no seu dia a dia e que raramente são alterados.
Muitos sistemas operacionais já possuem ferramentas de backup e recuperação integradas e também há a opção de instalar programas externos. Na maioria dos casos, ao usar estas ferramentas, basta que você tome algumas decisões, como:
Onde gravar os backups : você pode usar mídias (como CD, DVD, pen-drive , disco de Blu-ray e disco rígido interno ou externo) ou armazená-los remotamente ( online ou off-site ). A escolha depende do programa de backup que está sendo usado e de questões como capacidade de armazenamento, custo e confiabilidade. Um CD, DVD ou Blu-ray pode bastar para pequenas quantidades de dados, um pen-drive pode ser indicado para dados constantemente modificados, ao passo que um disco rígido pode ser usado para grandes volumes que devam perdurar.
Quais arquivos copiar:
Apenas arquivos confiáveis e que tenham importância para você devem ser copiados. Arquivos de programas que podem ser reinstalados, geralmente, não precisam ser copiados. Fazer cópia de arquivos desnecessários pode ocupar espaço inutilmente e dificultar a localização dos demais dados. Muitos programas de backup já possuem listas de arquivos e diretórios recomendados, você pode optar por aceitá-las ou criar suas próprias listas.
Com que periodicidade devo realizá-los:
Depende da frequência com que você cria ou modifica arquivos. Arquivos frequentemente modificados podem ser copiados diariamente ao passo que aqueles pouco alterados podem ser copiados semanalmente ou mensalmente.
Registro de eventos ( Logs )
Log é o registro de atividade gerado por programas e serviços de um computador. Ele pode ficar armazenado em arquivos, na memória do computador ou em bases de dados. A partir da análise desta informação você pode ser capaz de:
detectar o uso indevido do seu computador, como um usuário tentando acessar arquivos de outros usuários, ou alterar arquivos do sistema;
detectar um ataque, como de força bruta ou a exploração de alguma vulnerabilidade;
rastrear (auditar) as ações executadas por um usuário no seu computador, como programas utilizados, comandos executados e tempo de uso do sistema;
detectar problemas de hardware ou nos programas e serviços instalados no computador.
Baseado nisto, você pode tomar medidas preventivas para tentar evitar que um problema maior ocorra ou, caso não seja possível, tentar reduzir os danos. Alguns exemplos são:
se o disco rígido do seu computador estiver apresentando mensagens de erro, você pode se antecipar, fazer backup dos dados nele contidos e no momento oportuno enviá-lo para manutenção;
se um atacante estiver tentando explorar uma vulnerabilidade em seu computador, você pode verificar se as medidas preventivas já foram aplicadas e tentar evitar que o ataque ocorra;
se não for possível evitar um ataque, os logs podem permitir que as ações executadas pelo atacante sejam rastreadas, como arquivos alterados e as informações acessadas.
Logs são essenciais para notificação de incidentes, pois permitem que diversas informações importantes sejam detectadas, como por exemplo: a data e o horário em que uma determinada atividade ocorreu, o fuso horário do log , o endereço IP de origem da atividade, as portas envolvidas e o protocolo utilizado no ataque (TCP, UDP, ICMP, etc.), os dados completos que foram enviados para o computador ou rede e o resultado da atividade (se ela ocorreu com sucesso ou não).
Ferramentas antimalware
Ferramentas antimalware são aquelas que procuram detectar e, então, anular ou remover os códigos maliciosos de um computador. Antivírus, antispyware , antirootkit e antitrojan são exemplos de ferramentas deste tipo.
Ainda que existam ferramentas específicas para os diferentes tipos de códigos maliciosos, muitas vezes é difícil delimitar a área de atuação de cada uma delas, pois a definição do tipo de código malicioso depende de cada fabricante e muitos códigos mesclam as características dos demais tipos .
Entre as diferentes ferramentas existentes, a que engloba a maior quantidade de funcionalidades é o antivírus. Apesar de inicialmente eles terem sido criados para atuar especificamente sobre vírus, com o passar do tempo, passaram também a englobar as funcionalidades dos demais programas, fazendo com que alguns deles caíssem em desuso.
Há diversos tipos de programas antimalware que diferem entre si das seguintes formas:
Método de detecção:
Assinatura (uma lista de assinaturas é usada à procura de padrões), heurística (baseia-se nas estruturas, instruções e características que o código malicioso possui) e comportamento (baseia-se no comportamento apresentado pelo código malicioso quando executado) são alguns dos métodos mais comuns.
Forma de obtenção:
Podem ser gratuitos (quando livremente obtidos na Internet e usados por prazo indeterminado), experimentais ( trial , usados livremente por um prazo predeterminado) e pagos (exigem que uma licença seja adquirida). Um mesmo fabricante pode disponibilizar mais de um tipo de programa, sendo que a versão gratuita costuma possuir funcionalidades básicas ao passo que a versão paga possui funcionalidades extras, além de poder contar com suporte.
Execução:
Podem ser localmente instalados no computador ou executados sob demanda por intermédio do navegador Web . Também podem ser online , quando enviados para serem executados em servidores remotos, por um ou mais programas.
Funcionalidades apresentadas:
Além das funções básicas (detectar, anular e remover códigos maliciosos) também podem apresentar outras funcionalidade integradas, como a possibilidade de geração de discos de emergência e firewall pessoal
<fonte: https://www.gov.br/fundaj/pt-br/centrais-de-conteudo/noticias-1/7-mecanismos-de-seguranca>
Firewall
Um firewall é um dispositivo de segurança da rede que monitora o tráfego de rede de entrada e saída e decide permitir ou bloquear tráfegos específicos de acordo com um conjunto definido de regras de segurança.
Os firewalls têm sido a linha de frente da defesa na segurança de rede há mais de 25 anos. Eles colocam uma barreira entre redes internas protegidas e controladas que podem ser redes externas confiáveis ou não, como a Internet.
Um firewall pode ser um hardware, software ou ambos.
IPS
Um sistema com soluções ativas, o IPS (Sistema de prevenção de intrusão) é capaz de identificar uma intrusão, analisar o quão perigosa ela é, enviar um alarme ao administrador e bloquear o intruso. Como software, o IPS previne e impede ciberataques.
IDS
Técnica de segurança semelhante ao IPS, o IDS (Sistema de Detecção de Intrusos), por sua vez, trabalha de forma passiva, monitorando o tráfego da rede e alertando de ataques e tentativas de invasão. Como software, o IDS automatiza o procedimento de detectar um intruso.
WAF
Eficaz para quem aderiu ao HTTP e HTTPS, o WAF (Web Application Firewall) age filtrando, monitorando e bloqueando pacotes de dados que são passados para um aplicativo online. Pode ser implantado através de um proxy e se baseia em uma rede, um host ou em uma nuvem.
<https://www.softwall.com.br/blog/firewall-ips-ids-e-waf-como-cada-um-atua/>
Honey Pots
O honeypot é um sistema conectado à rede e configurado como chamariz para atrair os ataques cibernéticos detectando, desviando e estudando as tentativas dos hackers em obter acesso não autorizado aos sistemas de informação.
A função de um honeypot é se apresentar na internet como um alvo potencial para invasores — geralmente, um servidor ou outra fonte de alto valor — e coletar informações, notificando os defensores — white hats — sobre quaisquer tentativas de acesso a isca por usuários não autorizados.
Basicamente, o hacker atua roubando dados e informações, mas ao cair no honeypot, ele estará dando informações para os defensores do sistema. Se o usuário, por exemplo, fosse responsável pela segurança de TI de um banco, poderia configurar um sistema honeypot que, para quem está de fora, se parece com a rede do banco.
Ao monitorar o tráfego para esses sistemas isca, pode-se entender melhor de onde vêm os criminosos, como operam e o que desejam. Mais importante, pode-se determinar quais medidas de segurança estão funcionando — e quais podem precisar de melhorias — simplesmente observando como estão praticando a invasão. É um verdadeiro “Raio-X” sobre a forma de agir do determinado hacker.
Ao traduzir para o português, honeypot significa “pote de mel”, algo doce e gostoso que pode atrair predadores. Essa é a função básica do honeypot, atrair os invasores para uma armadilha.
O honeypot é um sistema conectado à rede e configurado como chamariz para atrair os ataques cibernéticos detectando, desviando e estudando as tentativas dos hackers em obter acesso não autorizado aos sistemas de informação.
A função de um honeypot é se apresentar na internet como um alvo potencial para invasores — geralmente, um servidor ou outra fonte de alto valor — e coletar informações, notificando os defensores — white hats — sobre quaisquer tentativas de acesso a isca por usuários não autorizados.