12 aspetos que todo o profissional de cibersegurança deve ter em conta
- Os motivos do adversário
Não podes começar a batalha sem perceberes quem é o adversário e o porquê de te estar a atacar. Todo o atacante tem a sua história e objetivos, e estes dois aspetos são a razão de tudo o que fazem e como o fazem.
Normalmente são estas as categorias ou áreas onde vemos mais atividade:
- Financeira
- Patrocínio do Estado/Cyberwarfare
- Espionagem industrial
- Hacktivismo
- Roubo de recursos
- Batota em jogos de muliplayer
Sabendo estas variáveis, coloca-te mais à frente quando reúnes o tipo de ataques que a tua rede poderá enfrentar, e pistas para combateres o teu adversário.
Tipos de malware
Há três tipos maiores de malware: vírus de computador, cavalo de tróia, e o worm. Qualquer programa de malware é uma amálgama de uma ou mais classificações destas.
É importante teres este conhecimento para que, quando estiveres perante um cenário em que tens um malware à frente, saberes estudá-lo e como é que o mesmo conseguiu comprometer o sistema.
Exploits que levam ao "root"
Estas são as ameaças que podem levar a que os sistemas podem ficar comprometidos e sob as mãos de um atacante, sendo a "causa" root do comprometimento desses mesmos sistemas:
- Zero-days
- Software não corrigido
- Malware
- Engenharia social
- Ataques de password
- Eavesdropping/MITM (Man in the Middle)
- Leaks de dados
- Má configuração
- Negação de Serviço
- Insider
- Erro de utilizador
- Acesso físico
Criptografia e proteção de dados
A criptografia digital é a arte de tornar a informação segura contra o acesso não autorizado e modificação. Quando se fala em criptografia, inclui-se a encriptação assimétrica, simétrica, hashing e distruição da chave e proteção.
A proteção de dados engloba muita criptografia, e exige também que os dados sejam recolhidos conforme o previsto na lei, aliás, no aspeto legal a importância tem vindo gradualmente a aumentar.
Redes e análise de pacotes
Um bom profissional vê-se pela sua capacidade em ver e analisar pacotes de rede. Aqui o básico a saber inclui protocolos, números de portas, endereços de rede, os layers do modelo OSI, a diferença entre um router e um switch.
Tipos de defesa comuns
Estes são os "standards" da segurança informática:
- Gestão das correções
- Treino dos utilizadores
- Firewalls
- Antivírus
- Configurações seguras
- Encriptação/Criptografia
- Deteção de intrusões
- Logs
Bases de autenticação
Os melhores profissionais de cibersegurança compreendem que a autenticação é mais de que colocar uma password válida ou satisfazer um teste de dois fatores. A autenticação começa em conceder uma etiqueta útica e de identidade válida - endereço de email, nome da pessoa, nome de login. A autenticação é o processo de dar um ou mais "segredos" que são conhecidos apenas para uma determinada entidade e o seu serviço de base de dados. Por isso, assim que a pessoa consegue logar-se no sistema, através dos fatores corretos de autenticação, sabe-se que foi essa pessoa que acedeu ao sistema e, assim, tem direito a usufruir dos recursos a que tem acesso. Todo o processo de autenticação deve constar nos dados de login, devem haver logs.
Ameaças do setor mobile
Dentro destas ameaças, aquilo que o profissional de cibersegurança deve estar a par é o seguinte:
- Malware de telemóvel
- Spyware
- Roubo de dados ou credenciais
- Roubo de imagem
- Ransomware
- Ataques de phishing
- Rede sem fios insegura
Os quatro fatores que tornam a segurança da cloud mais complexa que as redes normais
- Falta de controlo
- Sempre disponível na internet
- Partilha entre diversos servidores/serviços
- Virtualização/"Containerização"/microserviços
Logs de eventos
Grande parte dos incidentes, se tivessem um sistema de logs bem configurado, seriam mais eficazmente investigados, sendo que aqui o fator tempo é um dos mais importantes a ter em conta. Enumeram-se os aspetos inerentes aos logs de eventos:
- Política
- Configuração
- Recolha dos logs de eventos
- Normalização
- Indexação
- Armazenamento
- Correlação
- Baselining
- Alertas
- Relatórios
Resposta a incidentes
Todo e qualquer profissional de cibersegurança já teve uma falha nas suas defesas. Um bom profissional, sempre que está perante um incidente, tem sempre um plano pronto a colocar-se em prática.
A resposta a incidentes engloba na sua base:
- Resposta eficaz e segundo uma timeline
- Limitação do dano
- Análise forense
- Identificação da ameaça
- Comunicação
- Limitar danos futuros
- Lições aprendidas
Educação para as ameaças e comunicação
Grande parte das ameaças é conhecida e são aquelas que recorrem frequentemente. Algumas das ameaças que enfrentamos, como a engenharia social, só se podem impedir educando as pessoas de uma empresa. Por isso, a capacidade de comunicar com frequência é aquilo que separa um bom profissional do mau.
Que aspetos devem ser incluidos no treino?
- Uso aceitável
- Política de segurança
- Como se autenticar e o que evitar
- Proteção de dados
- Awareness de engenharia social
- Como e quando reportar incidentes de segurança suspeitos