Segurança do computador

Embora a maioria dos aspectos da segurança do computador envolva medidas digitais, como senhas eletrônicas e criptografia, medidas de segurança física como fechaduras metálicas ainda são usadas para evitar adulteração não autorizada.

Segurança do computador, cibersegurança (segurança cibernética) ou segurança da tecnologia da informação (segurança de TI ) é a proteção de sistemas e redes de computadores contra ataques de agentes mal-intencionados que podem resultar na divulgação não autorizada de informações, roubo ou danos a hardware, software ou dados, bem como contra interrupção ou desvio de serviços eles providenciam.

O campo tornou-se importante devido à crescente dependência de sistemas de computador, Internet e padrões de rede sem fio, como Bluetooth e Wi-Fi, e devido ao crescimento de dispositivos inteligentes, incluindo smartphones, televisões e vários dispositivos que constituem a Internet das coisas (IoT). A cibersegurança é um dos desafios mais significativos do mundo contemporâneo, tanto pela complexidade dos sistemas de informação como pelas sociedades que suportam. A segurança é especialmente importante para sistemas que governam sistemas de grande escala com efeitos físicos de longo alcance, como distribuição de energia, eleições e finanças.

História

Desde a chegada da Internet e com a transformação digital iniciada nos últimos anos, a noção de cibersegurança tornou-se um assunto familiar tanto na nossa vida profissional como pessoal. A segurança cibernética e as ameaças cibernéticas estiveram presentes de forma consistente nos últimos 50 anos de mudanças tecnológicas. Nas décadas de 1970 e 1980, a segurança de computadores limitava-se principalmente à academia até a concepção da Internet, onde, com o aumento da conectividade, os vírus de computador e as invasões de rede começaram a decolar. Após a disseminação dos vírus na década de 1990, os anos 2000 marcaram a institucionalização das ameaças cibernéticas e da cibersegurança.

A sessão de abril de 1967 organizada por Willis Ware na Spring Joint Computer Conference, e a posterior publicação do Ware Report, foram momentos fundamentais na história do campo da segurança de computadores. O trabalho de Ware abrangeu a interseção de preocupações materiais, culturais, políticas e sociais.

Uma publicação do NIST de 1977 introduziu a tríade CIA de confidencialidade, integridade e disponibilidade como uma maneira clara e simples de descrever os principais objetivos de segurança. Embora ainda relevantes, muitas estruturas mais elaboradas foram propostas desde então.

No entanto, nas décadas de 1970 e 1980, não havia ameaças graves de computador porque os computadores e a Internet ainda estavam em desenvolvimento e as ameaças à segurança eram facilmente identificáveis. Na maioria das vezes, as ameaças vinham de pessoas mal-intencionadas que obtiveram acesso não autorizado a documentos e arquivos confidenciais. Embora existissem malware e violações de rede durante os primeiros anos, eles não os usavam para obter ganhos financeiros. Na segunda metade da década de 1970, empresas de informática estabelecidas como a IBM começaram a oferecer sistemas comerciais de controle de acesso e produtos de software de segurança de computadores.

Um dos primeiros exemplos de ataque a uma rede de computadores foi o worm de computador Creeper, escrito por Bob Thomas na BBN, que se propagou pela ARPANET em 1971. O programa era de natureza puramente experimental e não carregava nenhuma carga maliciosa. Um programa posterior, Reaper, foi criado por Ray Tomlinson em 1972 e usado para destruir o Creeper.

Entre setembro de 1986 e junho de 1987, um grupo de hackers alemães realizou o primeiro caso documentado de espionagem cibernética. O grupo invadiu empresas de defesa americanas, universidades e redes de bases militares e vendeu as informações coletadas para a KGB soviética. O grupo era liderado por Markus Hess, que foi preso em 29 de junho de 1987. Ele foi condenado por espionagem (junto com dois co-conspiradores) em 15 de fevereiro de 1990.

Em 1988, um dos primeiros worms de computador, chamado worm Morris, foi distribuído pela Internet. Ele ganhou atenção significativa da mídia convencional.

Em 1993, a Netscape começou a desenvolver o protocolo SSL, logo após o National Center for Supercomputing Applications (NCSA) lançar o Mosaic 1.0, o primeiro navegador da web, em 1993. A Netscape tinha o SSL versão 1.0 pronto em 1994, mas nunca foi lançado ao público devido a muitas vulnerabilidades de segurança graves. Esses pontos fracos incluíam ataques de repetição e uma vulnerabilidade que permitia que hackers alterassem as comunicações não criptografadas enviadas pelos usuários. No entanto, em fevereiro de 1995, o Netscape lançou a versão 2.0.

A Agência de Segurança Nacional (NSA) é responsável pela proteção dos sistemas de informação dos EUA e também pela coleta de inteligência estrangeira.

A agência analisa softwares comumente usados para encontrar falhas de segurança, que reserva para fins ofensivos contra concorrentes dos Estados Unidos. A agência raramente toma medidas defensivas relatando as falhas aos produtores de software para que possam eliminá-los.

Empreiteiros da NSA criaram e venderam ferramentas de ataque clique e dispare para agências americanas e aliados próximos, mas, eventualmente, as ferramentas chegaram a adversários estrangeiros. Em 2016, as próprias ferramentas de hacking da NSA foram hackeadas e usadas pela Rússia e pela Coreia do Norte. Os funcionários e contratados da NSA foram recrutados com altos salários por adversários, ansiosos para competir na guerra cibernética. Em 2007, os Estados Unidos e Israel começaram a explorar falhas de segurança no sistema operacional Microsoft Windows para atacar e danificar equipamentos usados no Irã para refinar materiais nucleares. O Irã respondeu investindo pesadamente em sua própria capacidade de guerra cibernética, que começou a usar contra os Estados Unidos.

Vulnerabilidades e ataques

Uma vulnerabilidade é uma fraqueza no design, implementação, operação ou controle interno. A maioria das vulnerabilidades descobertas está documentada no banco de dados Common Vulnerabilities and Exposures (CVE). Uma vulnerabilidade explorável é aquela para a qual existe pelo menos um ataque de trabalho ou exploração. As vulnerabilidades podem ser pesquisadas, submetidas a engenharia reversa, caçadas ou exploradas usando ferramentas automatizadas ou scripts personalizados. Para proteger um sistema de computador, é importante entender os ataques que podem ser feitos contra ele, e essas ameaças geralmente podem ser classificadas em uma das categorias abaixo:

Backdoor

Um backdoor em um sistema de computador, um sistema criptográfico ou um algoritmo é qualquer método secreto de burlar a autenticação normal ou os controles de segurança. Eles podem existir por vários motivos, incluindo design original ou má configuração. Eles podem ter sido adicionados por uma parte autorizada para permitir algum acesso legítimo ou por um invasor por motivos maliciosos; mas independentemente dos motivos de sua existência, eles criam uma vulnerabilidade. Backdoors podem ser muito difíceis de detectar e geralmente são descobertos por alguém que tem acesso ao código-fonte do aplicativo ou conhecimento íntimo do sistema operacional do computador.

Ataque de negação de serviço

Os ataques de negação de serviço (DoS) são projetados para tornar uma máquina ou recurso de rede indisponível para seus usuários pretendidos. Os invasores podem negar o serviço a vítimas individuais, digitando deliberadamente uma senha errada várias vezes consecutivas para bloquear a conta da vítima, ou podem sobrecarregar os recursos de uma máquina ou rede e bloquear todos os usuários de uma só vez. Enquanto um ataque de rede de um único endereço IP pode ser bloqueado adicionando uma nova regra de firewall, muitas formas de ataques de negação de serviço distribuído (DDoS) são possíveis, onde o ataque vem de um grande número de pontos – e a defesa é muito mais difícil. Esses ataques podem se originar de computadores zumbis de uma botnet ou de uma variedade de outras técnicas possíveis, incluindo negação de serviço reflexiva distribuída (DRDoS), em que sistemas inocentes são enganados para enviar tráfego para a vítima. Com esses ataques, o fator de amplificação torna o ataque mais fácil para o invasor porque eles próprios precisam usar pouca largura de banda.

Ataques de acesso direto

Um usuário não autorizado que obtenha acesso físico a um computador provavelmente poderá copiar dados dele diretamente. Eles também podem comprometer a segurança fazendo modificações no sistema operacional, instalando worms de software, keyloggers, dispositivos de escuta ocultos ou usando microfones sem fio. Mesmo quando o sistema está protegido por medidas de segurança padrão, elas podem ser contornadas inicializando outro sistema operacional ou ferramenta a partir de um CD-ROM ou outra mídia inicializável. A criptografia de disco e o Trusted Platform Module são projetados para evitar esses ataques.

Escuridão

Eavesdropping é o ato de escutar sub-repticiamente uma conversa de computador privado (comunicação), normalmente entre hosts em uma rede. Por exemplo, programas como o Carnivore e o NarusInSight foram usados pelo Federal Bureau of Investigation (FBI) e pela NSA para espionar os sistemas de provedores de serviços de Internet. Mesmo as máquinas que operam como um sistema fechado (ou seja, sem contato com o mundo externo) podem ser interceptadas pelo monitoramento das fracas transmissões eletromagnéticas geradas pelo hardware. TEMPEST é uma especificação da NSA referente a esses ataques.

Ataques multivetoriais e polimórficos

Aparecendo em 2017, uma nova classe de ameaças cibernéticas multivetoriais e polimórficas combinou vários tipos de ataques e mudou de forma para evitar os controles de segurança cibernética à medida que se espalham.

Phishing

Um exemplo de um e-mail de phishing, disfarçado como um e-mail oficial de um banco (ficcional). O remetente está tentando enganar o destinatário para revelar informações confidenciais, confirmando-o no site do phisher. Note o erro das palavras recebido e discoreptação como recreaçãoIeved e discrepância, respectivamente. Embora a URL da página web do banco parece ser legítima, os pontos de hiperlink na página do phisher.

Phishing é a tentativa de adquirir informações confidenciais, como nomes de usuário, senhas e detalhes de cartão de crédito, diretamente dos usuários, enganando-os. O phishing geralmente é realizado por falsificação de e-mail ou mensagens instantâneas e geralmente direciona os usuários a inserir detalhes em um site falso cuja aparência é quase idêntica ao site legítimo. O site falso geralmente solicita informações pessoais, como detalhes de login e senhas. Essas informações podem ser usadas para obter acesso à conta real do indivíduo no site real. Aproveitando a confiança da vítima, o phishing pode ser classificado como uma forma de engenharia social. Os invasores estão usando formas criativas de obter acesso a contas reais. Um golpe comum é quando os invasores enviam faturas eletrônicas falsas para indivíduos mostrando que eles compraram músicas, aplicativos ou outros recentemente e os instruem a clicar em um link se as compras não tiverem sido autorizadas. Um tipo mais estratégico de phishing é o spear-phishing, que aproveita detalhes pessoais ou específicos da organização para fazer o invasor parecer uma fonte confiável. Os ataques de spear phishing visam indivíduos específicos, em vez da ampla rede lançada por tentativas de phishing.

Escalonamento de privilégios

O escalonamento de privilégios descreve uma situação em que um invasor com algum nível de acesso restrito pode, sem autorização, elevar seus privilégios ou nível de acesso. Por exemplo, um usuário de computador padrão pode explorar uma vulnerabilidade no sistema para obter acesso a dados restritos; ou até mesmo tornar-se root e ter acesso total e irrestrito a um sistema.

Engenharia reversa

A engenharia reversa é o processo pelo qual um objeto feito pelo homem é desconstruído para revelar seus projetos, código e arquitetura, ou para extrair conhecimento do objeto; semelhante à pesquisa científica, a única diferença é que a pesquisa científica é sobre um fenômeno natural.

Ataque de canal lateral

Qualquer sistema computacional afeta seu ambiente de alguma forma. Este efeito que ele tem em seu ambiente inclui uma ampla gama de critérios, que podem ir desde a radiação eletromagnética até o efeito residual nas células RAM que, como consequência, tornam possível um ataque de inicialização a frio, até falhas de implementação de hardware que permitem o acesso e/ou adivinhação de outros valores que normalmente deveriam ser inacessíveis. Em cenários de ataque de canal lateral, o invasor coletaria essas informações sobre um sistema ou rede para adivinhar seu estado interno e, como resultado, acessar as informações que a vítima considera seguras.

Engenharia social

A engenharia social, no contexto da segurança informática, visa convencer um usuário a revelar segredos como senhas, números de cartão, etc. um cliente. Isso geralmente envolve explorar a confiança das pessoas e confiar em seus vieses cognitivos. Um golpe comum envolve e-mails enviados a funcionários dos departamentos de contabilidade e finanças, fazendo-se passar por seu CEO e solicitando alguma ação com urgência. No início de 2016, o FBI informou que esses golpes de comprometimento de e-mail comercial (BEC) custaram às empresas dos EUA mais de US$ 2 bilhões em cerca de dois anos.

Em maio de 2016, o time Milwaukee Bucks da NBA foi vítima desse tipo de golpe cibernético com um perpetrador se passando pelo presidente do time, Peter Feigin, resultando na entrega de todos os funcionários do time.; Formulários fiscais W-2 de 2015.

Falsificação

Spoofing é um ato de se disfarçar como uma entidade válida por meio da falsificação de dados (como um endereço IP ou nome de usuário), a fim de obter acesso a informações ou recursos que não são autorizados a obter. Existem vários tipos de falsificação, incluindo:

• E-mail spoofing, é onde um atacante forja o envio (A partir de, ou fonte) endereço de um e-mail.
• Endereço IP spoofing, onde um atacante altera o endereço IP de origem em um pacote de rede para esconder sua identidade ou passar por outro sistema de computação.
• MAC spoofing, onde um atacante modifica o endereço Media Access Control (MAC) de seu controlador de interface de rede para obscurecer sua identidade, ou posar como outro.
• Esponja biométrica, onde um atacante produz uma amostra biométrica falsa para posar como outro usuário.
• Endereço Protocolo de Resolução (ARP) spoofing, onde um atacante envia protocolo de resolução de endereços spoofed para uma rede de área local para associar seu endereço de Controle de Acesso à Mídia com o endereço IP de um host diferente. Isso faz com que os dados sejam enviados ao atacante em vez do host pretendido.

Em 2018, a empresa de segurança cibernética Trellix publicou uma pesquisa sobre o risco de falsificação que ameaça a vida no setor de saúde.

Adulteração

Tampering descreve uma modificação ou alteração maliciosa de dados. Um ato intencional, mas não autorizado, resultando na modificação de um sistema, componentes de sistemas, seu comportamento pretendido ou dados. Os chamados ataques de Evil Maid e serviços de segurança plantando capacidade de vigilância em roteadores são exemplos.

Malware

Software malicioso (malware) instalado em um computador pode vazar qualquer informação, como informações pessoais, informações comerciais e senhas, pode dar o controle do sistema ao invasor e pode corromper ou excluir dados permanentemente.

Contrabando de HTML

"Os adversários podem contrabandear dados e arquivos para além dos filtros de conteúdo, ocultando cargas maliciosas dentro de arquivos HTML aparentemente benignos." – Mitre.org

Cultura de segurança da informação

O comportamento dos funcionários pode ter um grande impacto na segurança da informação nas organizações. Conceitos culturais podem ajudar diferentes segmentos da organização a trabalhar de forma eficaz ou trabalhar contra a eficácia em relação à segurança da informação dentro de uma organização. Cultura de segurança da informação é a "...totalidade de padrões de comportamento em uma organização que contribui para a proteção de informações de todos os tipos."

Andersson e Reimers (2014) descobriram que os funcionários muitas vezes não se veem como parte do esforço de segurança da informação de sua organização e muitas vezes tomam ações que impedem as mudanças organizacionais. De fato, o Verizon Data Breach Investigations Report 2020, que examinou 3.950 violações de segurança, descobriu que 30% dos incidentes de segurança cibernética envolviam atores internos de uma empresa. A pesquisa mostra que a cultura de segurança da informação precisa ser aprimorada continuamente. Em "Cultura de segurança da informação da análise à mudança", os autores comentaram: "É um processo sem fim, um ciclo de avaliação e mudança ou manutenção" Para gerenciar a cultura de segurança da informação, cinco etapas devem ser seguidas: pré-avaliação, planejamento estratégico, planejamento operacional, implementação e pós-avaliação.

• Pré-avaliação: Identificar a conscientização da segurança da informação dentro dos funcionários e analisar as atuais políticas de segurança.
• Planejamento estratégico: Para chegar a um melhor programa de conscientização, metas claras precisam ser definidas. Montar uma equipe de profissionais qualificados é útil para alcançá-lo.
• Planejamento operacional: Uma boa cultura de segurança pode ser estabelecida com base na comunicação interna, gestão de buy-in, consciência de segurança e um programa de treinamento.
• Execução: Quatro etapas devem ser usadas para implementar a cultura de segurança da informação. Eles são:

1. Compromisso da gestão
2. Comunicação com os membros organizacionais
3. Cursos para todos os membros organizacionais
4. Compromisso dos funcionários

• Pós-avaliação: Avaliar o sucesso do planejamento e implementação e identificar áreas de preocupação não resolvidas.

Sistemas em risco

O crescimento no número de sistemas de computador e a crescente dependência deles por indivíduos, empresas, indústrias e governos significa que há um número crescente de sistemas em risco.

Sistemas financeiros

Os sistemas de computador de reguladores financeiros e instituições financeiras como a U.S. Securities and Exchange Commission, SWIFT, bancos de investimento e bancos comerciais são alvos de hacking proeminentes para cibercriminosos interessados em manipular mercados e obter ganhos ilícitos. Sites e aplicativos que aceitam ou armazenam números de cartão de crédito, contas de corretagem e informações de contas bancárias também são alvos proeminentes de hackers, devido ao potencial de ganho financeiro imediato com transferência de dinheiro, compras ou venda de informações no mercado negro. Os sistemas de pagamento nas lojas e os caixas eletrônicos também foram adulterados para coletar dados e PINs da conta do cliente.

Utilitários e equipamentos industriais

Os computadores controlam funções em muitas concessionárias, incluindo coordenação de telecomunicações, rede elétrica, usinas nucleares e abertura e fechamento de válvulas em redes de água e gás. A Internet é um potencial vetor de ataque para tais máquinas se conectadas, mas o worm Stuxnet demonstrou que mesmo equipamentos controlados por computadores não conectados à Internet podem ser vulneráveis. Em 2014, a Computer Emergency Readiness Team, uma divisão do Departamento de Segurança Interna, investigou 79 incidentes de hackers em empresas de energia.

Aviação

A indústria da aviação depende muito de uma série de sistemas complexos que podem ser atacados. Uma simples queda de energia em um aeroporto pode causar repercussões em todo o mundo, grande parte do sistema depende de transmissões de rádio que podem ser interrompidas e o controle de aeronaves sobre os oceanos é especialmente perigoso porque a vigilância por radar se estende apenas de 175 a 225 milhas da costa. Há também potencial para ataque de dentro de uma aeronave.

Na Europa, com o (Pan-European Network Service) e NewPENS, e nos EUA com o programa NextGen, os provedores de serviços de navegação aérea estão se movendo para criar suas próprias redes dedicadas.

As consequências de um ataque bem-sucedido vão desde a perda de confidencialidade até a perda da integridade do sistema, interrupções no controle de tráfego aéreo, perda de aeronaves e até mesmo perda de vidas.

Dispositivos de consumo

Os desktops e laptops são comumente direcionados para coletar senhas ou informações de contas financeiras ou para construir um botnet para atacar outro alvo. Smartphones, tablets, relógios inteligentes e outros dispositivos móveis, como dispositivos autoquantificados, como rastreadores de atividade, possuem sensores como câmeras, microfones, receptores de GPS, bússolas e acelerômetros que podem ser explorados e podem coletar informações pessoais, incluindo informações confidenciais de saúde. WiFi, Bluetooth e redes de telefonia celular em qualquer um desses dispositivos podem ser usados como vetores de ataque, e os sensores podem ser ativados remotamente após uma violação bem-sucedida.

O número crescente de dispositivos de automação residencial, como o termostato Nest, também são alvos em potencial.

Grandes corporações

Grandes corporações são alvos comuns. Em muitos casos, os ataques visam ganhos financeiros por meio de roubo de identidade e envolvem violações de dados. Os exemplos incluem a perda de milhões de clientes. cartão de crédito e detalhes financeiros da Home Depot, Staples, Target Corporation e Equifax.

Prontuários médicos têm sido alvo de roubo de identidade em geral, fraude de seguro de saúde e falsificação de identidade de pacientes para obter medicamentos prescritos para fins recreativos ou revenda. Embora as ameaças cibernéticas continuem a aumentar, 62% de todas as organizações não aumentaram o treinamento de segurança para seus negócios em 2015.

No entanto, nem todos os ataques são motivados financeiramente: a empresa de segurança HBGary Federal sofreu uma séria série de ataques em 2011 do grupo hacktivista Anonymous em retaliação ao CEO da empresa alegando ter se infiltrado em seu grupo, e a Sony Pictures foi hackeada em 2014 com o aparente duplo motivo de embaraçar a empresa por meio de vazamentos de dados e paralisar a empresa limpando estações de trabalho e servidores.

Automóveis

Os veículos estão cada vez mais informatizados, com sincronismo do motor, controle de cruzeiro, freios ABS, tensores dos cintos de segurança, travas das portas, airbags e sistemas avançados de assistência ao motorista em muitos modelos. Além disso, os carros conectados podem usar Wi-Fi e Bluetooth para se comunicar com dispositivos de consumo a bordo e a rede de telefonia celular. Espera-se que os carros autônomos sejam ainda mais complexos. Todos esses sistemas carregam algum risco de segurança, e essas questões ganharam ampla atenção.

Exemplos simples de risco incluem um CD malicioso sendo usado como um vetor de ataque e os microfones de bordo do carro sendo usados para espionagem. No entanto, se o acesso for obtido à rede de área do controlador interno de um carro, o perigo é muito maior - e em um teste amplamente divulgado em 2015, hackers roubaram remotamente um veículo a 16 quilômetros de distância e o jogaram em uma vala.

Os fabricantes estão reagindo de várias maneiras, com a Tesla em 2016 implementando algumas correções de segurança pelo ar em seus carros. sistemas de computador. Na área de veículos autônomos, em setembro de 2016, o Departamento de Transporte dos Estados Unidos anunciou alguns padrões iniciais de segurança e pediu aos estados que apresentassem políticas uniformes.

Governo

Sistemas de computador governamentais e militares são comumente atacados por ativistas e potências estrangeiras. A infraestrutura do governo local e regional, como controles de semáforos, comunicações da polícia e agências de inteligência, registros pessoais, registros estudantis e sistemas financeiros também são alvos potenciais, pois agora estão todos amplamente informatizados. Passaportes e carteiras de identidade do governo que controlam o acesso a instalações que usam RFID podem ser vulneráveis à clonagem.

Internet das coisas e vulnerabilidades físicas

A Internet das coisas (IoT) é a rede de objetos físicos, como dispositivos, veículos e edifícios que são incorporados com eletrônicos, software, sensores e conectividade de rede que permite coletar e trocar dados. Preocupações foram levantadas de que isso está sendo desenvolvido sem a devida consideração dos desafios de segurança envolvidos.

Embora a IoT crie oportunidades para uma integração mais direta do mundo físico em sistemas baseados em computador, também oferece oportunidades para uso indevido. Em particular, à medida que a Internet das Coisas se espalha amplamente, é provável que os ataques cibernéticos se tornem uma ameaça cada vez mais física (em vez de simplesmente virtual). Se a fechadura da porta da frente estiver conectada à Internet e puder ser bloqueada/desbloqueada a partir de um telefone, um criminoso poderá entrar na casa pressionando um botão de um telefone roubado ou hackeado. As pessoas podem perder muito mais do que seus números de cartão de crédito em um mundo controlado por dispositivos habilitados para IoT. Os ladrões também usaram meios eletrônicos para burlar fechaduras de hotéis sem conexão com a Internet.

Um ataque que visa a infraestrutura física e/ou vidas humanas às vezes é chamado de ataque cibercinético. À medida que os dispositivos e dispositivos de IoT ganham força, os ataques cibercinéticos podem se tornar generalizados e causar danos significativos.

Sistemas médicos

Dispositivos médicos foram atacados com sucesso ou tiveram vulnerabilidades potencialmente mortais demonstradas, incluindo equipamentos de diagnóstico hospitalar e dispositivos implantados, incluindo marca-passos e bombas de insulina. Há muitos relatos de hospitais e organizações hospitalares sendo invadidos, incluindo ataques de ransomware, explorações do Windows XP, vírus e violações de dados confidenciais armazenados em servidores hospitalares. Em 28 de dezembro de 2016, a Food and Drug Administration dos EUA divulgou suas recomendações sobre como os fabricantes de dispositivos médicos devem manter a segurança dos dispositivos conectados à Internet - mas nenhuma estrutura para aplicação.

Setor de energia

Em sistemas de geração distribuída, o risco de um ataque cibernético é real, de acordo com o Daily Energy Insider. Um ataque pode causar perda de energia em uma grande área por um longo período de tempo, e tal ataque pode ter consequências tão graves quanto um desastre natural. O Distrito de Columbia está considerando a criação de uma Autoridade de Recursos Energéticos Distribuídos (DER) dentro da cidade, com o objetivo de que os clientes tenham mais informações sobre seu próprio uso de energia e dando à concessionária elétrica local, Pepco, a chance de estimar melhor a demanda de energia.. A proposta de DC, no entanto, "permitiria que fornecedores terceirizados criassem vários pontos de distribuição de energia, o que poderia criar mais oportunidades para invasores cibernéticos ameaçarem a rede elétrica".

Impacto das violações de segurança

Graves danos financeiros foram causados por falhas de segurança, mas como não existe um modelo padrão para estimar o custo de um incidente, os únicos dados disponíveis são aqueles divulgados pelas organizações envolvidas. “Várias empresas de consultoria em segurança de computadores produzem estimativas de perdas globais totais atribuíveis a ataques de vírus e worms e a atos digitais hostis em geral. As estimativas de perda de 2003 por essas empresas variam de US$ 13 bilhões (apenas worms e vírus) a US$ 226 bilhões (para todas as formas de ataques secretos). A confiabilidade dessas estimativas é frequentemente questionada; a metodologia subjacente é basicamente anedótica."

No entanto, estimativas razoáveis do custo financeiro das violações de segurança podem realmente ajudar as organizações a tomar decisões racionais de investimento. De acordo com o modelo clássico de Gordon-Loeb, analisando o nível ótimo de investimento em segurança da informação, pode-se concluir que o valor que uma empresa gasta para proteger as informações geralmente deve ser apenas uma pequena fração da perda esperada (ou seja, o valor esperado da perda resultante de uma violação de segurança cibernética/da informação).

Motivação do atacante

Assim como acontece com a segurança física, as motivações para violações da segurança do computador variam entre os invasores. Alguns são caçadores de emoção ou vândalos, alguns são ativistas, outros são criminosos em busca de ganhos financeiros. Os invasores patrocinados pelo Estado agora são comuns e possuem bons recursos, mas começaram com amadores como Markus Hess, que hackeou para a KGB, conforme relatado por Clifford Stoll em O ovo do cuco.

Além disso, as motivações recentes dos invasores podem ser rastreadas até organizações extremistas que buscam obter vantagem política ou atrapalhar agendas sociais. O crescimento da internet, tecnologias móveis e dispositivos de computação baratos levaram a um aumento nas capacidades, mas também ao risco de ambientes considerados vitais para as operações. Todos os ambientes críticos direcionados são suscetíveis a comprometimento e isso levou a uma série de estudos proativos sobre como migrar o risco levando em consideração as motivações desses tipos de atores. Existem várias diferenças gritantes entre a motivação do hacker e a dos atores do estado-nação que buscam atacar com base em uma preferência ideológica.

Uma parte padrão da modelagem de ameaças para qualquer sistema específico é identificar o que pode motivar um ataque a esse sistema e quem pode estar motivado a violá-lo. O nível e os detalhes das precauções variam dependendo do sistema a ser protegido. Um computador pessoal doméstico, um banco e uma rede militar classificada enfrentam ameaças muito diferentes, mesmo quando as tecnologias subjacentes em uso são semelhantes.

Proteção do computador (contramedidas)

Na segurança do computador, uma contramedida é uma ação, dispositivo, procedimento ou técnica que reduz uma ameaça, uma vulnerabilidade ou um ataque, eliminando-o ou prevenindo-o, minimizando o dano que pode causar ou descobrindo-o e relatando-o de forma que ações corretivas podem ser tomadas.

Algumas contramedidas comuns estão listadas nas seguintes seções:

Segurança por design

Segurança por design, ou alternativamente seguro por design, significa que o software foi projetado desde o início para ser seguro. Neste caso, a segurança é considerada como uma característica principal.

Algumas das técnicas nesta abordagem incluem:

• O princípio do menor privilégio, onde cada parte do sistema tem apenas os privilégios necessários para sua função. Dessa forma, mesmo que um atacante tenha acesso a essa parte, eles só têm acesso limitado a todo o sistema.
• Teorema automatizado provando para provar a correção de subsistemas de software cruciais.
• Revisões de código e testes de unidade, abordagens para tornar os módulos mais seguros onde as provas de correção formal não são possíveis.
• Defesa em profundidade, onde o projeto é tal que mais de um subsistema precisa ser violado para comprometer a integridade do sistema e as informações que ele possui.
• Definições seguras padrão e design para falha segura em vez de falha inseguro (veja a segurança de falhas para o equivalente em engenharia de segurança). Idealmente, um sistema seguro deve exigir uma decisão deliberada, consciente, experiente e livre por parte das autoridades legítimas, a fim de torná-lo inseguro.
• A auditoria rastreia a atividade do sistema para que, quando ocorre uma violação de segurança, o mecanismo e a extensão da violação possam ser determinados. Armazenar trilhas de auditoria remotamente, onde eles só podem ser anexados, pode manter intrusos de cobrir suas faixas.
• Divulgação total de todas as vulnerabilidades, para garantir que a janela de vulnerabilidade é mantido o mais curto possível quando os insetos são descobertos.

Arquitetura de segurança

A organização Open Security Architecture define a arquitetura de segurança de TI como "os artefatos de design que descrevem como os controles de segurança (contramedidas de segurança) são posicionados e como eles se relacionam com a arquitetura geral de tecnologia da informação. Esses controles servem para manter os atributos de qualidade do sistema: confidencialidade, integridade, disponibilidade, responsabilidade e garantia dos serviços.

A Techopedia define a arquitetura de segurança como "um projeto de segurança unificado que aborda as necessidades e os riscos potenciais envolvidos em um determinado cenário ou ambiente. Ele também especifica quando e onde aplicar controles de segurança. O processo de design é geralmente reproduzível." Os principais atributos da arquitetura de segurança são:

• a relação de diferentes componentes e como eles dependem uns dos outros.
• determinação de controles baseados em avaliação de risco, boas práticas, finanças e assuntos legais.
• a padronização dos controles.

Praticar a arquitetura de segurança fornece a base certa para abordar sistematicamente as preocupações de negócios, TI e segurança em uma organização.

Medidas de segurança

Um estado de segurança do computador é o ideal conceitual, alcançado pelo uso de três processos: prevenção de ameaças, detecção e resposta. Esses processos são baseados em várias políticas e componentes do sistema, que incluem o seguinte:

• Controles de acesso de conta de usuário e criptografia podem proteger arquivos de sistemas e dados, respectivamente.
• Firewalls são, de longe, os sistemas de prevenção mais comuns de uma perspectiva de segurança de rede, pois podem (se configurados corretamente) proteger o acesso a serviços de rede interna e bloquear certos tipos de ataques através da filtragem de pacotes. Firewalls podem ser baseados em hardware e software.
• Os produtos do Sistema de Detecção de Intrusão (IDS) são projetados para detectar ataques de rede in-progressos e auxiliar em forense pós-ataque, enquanto as trilhas de auditoria e logs servem uma função semelhante para sistemas individuais.
• Resposta é necessariamente definido pelos requisitos de segurança avaliados de um sistema individual e pode cobrir o intervalo de uma simples atualização de proteções para notificação de autoridades legais, contra-ataques e similares. Em alguns casos especiais, a destruição completa do sistema comprometido é favorecida, pois pode acontecer que nem todos os recursos comprometidos sejam detectados.
• Treinamento de conscientização de segurança cibernética para lidar com ameaças e ataques cibernéticos.
• Soluções de proxy web avançadas podem impedir que o cliente visite páginas web maliciosas e inspecione o conteúdo antes de baixar para as máquinas cliente.

Atualmente, a segurança do computador consiste principalmente em medidas preventivas, como firewalls ou um procedimento de saída. Um firewall pode ser definido como uma forma de filtrar dados de rede entre um host ou uma rede e outra rede, como a Internet, e pode ser implementado como um software rodando na máquina, conectando-se à pilha de rede (ou, no caso de a maioria dos sistemas operacionais baseados em UNIX, como o Linux, embutido no kernel do sistema operacional) para fornecer filtragem e bloqueio em tempo real. Outra implementação é o chamado firewall físico, que consiste em uma máquina separada que filtra o tráfego de rede. Firewalls são comuns entre máquinas que estão permanentemente conectadas à Internet.

Algumas organizações estão recorrendo a plataformas de big data, como Apache Hadoop, para estender a acessibilidade de dados e aprendizado de máquina para detectar ameaças persistentes avançadas.

No entanto, relativamente poucas organizações mantêm sistemas de computador com sistemas de detecção eficazes e menos ainda possuem mecanismos de resposta organizados. Como resultado, como aponta a Reuters: "Pela primeira vez, as empresas relatam que estão perdendo mais com o roubo eletrônico de dados do que com o roubo físico de ativos". O principal obstáculo para a erradicação efetiva do crime cibernético pode ser atribuído à dependência excessiva de firewalls e outros sistemas de detecção automatizados. No entanto, é a coleta de evidências básicas usando dispositivos de captura de pacotes que coloca os criminosos atrás das grades.

Para garantir a segurança adequada, a confidencialidade, integridade e disponibilidade de uma rede, mais conhecida como tríade CIA, deve ser protegida e é considerada a base da segurança da informação. Para alcançar esses objetivos, medidas de segurança administrativas, físicas e técnicas devem ser empregadas. A quantidade de segurança oferecida a um ativo só pode ser determinada quando seu valor é conhecido.

Gerenciamento de vulnerabilidades

Gerenciamento de vulnerabilidades é o ciclo de identificação, correção ou mitigação de vulnerabilidades, especialmente em software e firmware. O gerenciamento de vulnerabilidades é parte integrante da segurança do computador e da segurança da rede.

As vulnerabilidades podem ser descobertas com um scanner de vulnerabilidade, que analisa um sistema de computador em busca de vulnerabilidades conhecidas, como portas abertas, configuração de software insegura e suscetibilidade a malware. Para que essas ferramentas sejam eficazes, elas devem ser mantidas atualizadas a cada nova atualização lançada pelo fornecedor. Normalmente, essas atualizações verificam as novas vulnerabilidades que foram introduzidas recentemente.

Além da varredura de vulnerabilidades, muitas organizações contratam auditores de segurança externos para executar testes de penetração regulares em seus sistemas para identificar vulnerabilidades. Em alguns setores, isso é uma exigência contratual.

Reduzindo vulnerabilidades

Embora a verificação formal da exatidão dos sistemas de computador seja possível, ainda não é comum. Os sistemas operacionais formalmente verificados incluem o seL4 e o PikeOS da SYSGO - mas eles representam uma porcentagem muito pequena do mercado.

A autenticação de dois fatores é um método para mitigar o acesso não autorizado a um sistema ou informações confidenciais. Requer algo que você conhece; uma senha ou PIN e algo que você possui; um cartão, dongle, telefone celular ou outra peça de hardware. Isso aumenta a segurança, pois uma pessoa não autorizada precisa de ambos para obter acesso.

Os ataques de engenharia social e de acesso direto ao computador (físico) só podem ser evitados por meios não computacionais, o que pode ser difícil de aplicar, em relação à confidencialidade das informações. O treinamento geralmente é envolvido para ajudar a mitigar esse risco, mas mesmo em ambientes altamente disciplinados (por exemplo, organizações militares), os ataques de engenharia social ainda podem ser difíceis de prever e prevenir.

A inoculação, derivada da teoria da inoculação, procura impedir a engenharia social e outros truques ou armadilhas fraudulentas, instilando uma resistência a tentativas de persuasão por meio da exposição a tentativas semelhantes ou relacionadas.

É possível reduzir as chances de um invasor mantendo os sistemas atualizados com patches e atualizações de segurança, usando um scanner de segurança e/ou contratando pessoas com experiência em segurança, mas nada disso garante a prevenção de um ataque ataque. Os efeitos da perda/dano de dados podem ser reduzidos por meio de backup e seguro cuidadosos.

Mecanismos de proteção de hardware

Embora o hardware possa ser uma fonte de insegurança, como vulnerabilidades de microchip introduzidas de forma maliciosa durante o processo de fabricação, a segurança de computador assistida ou baseada em hardware também oferece uma alternativa à segurança de computador apenas com software. O uso de dispositivos e métodos como dongles, módulos de plataforma confiáveis, casos de intrusão, bloqueios de unidade, desativação de portas USB e acesso habilitado para dispositivos móveis pode ser considerado mais seguro devido ao acesso físico (ou acesso backdoor sofisticado) necessário para ser comprometido. Cada um deles é abordado com mais detalhes a seguir.

• Dongles USB são normalmente usados em esquemas de licenciamento de software para desbloquear recursos de software, mas eles também podem ser vistos como uma maneira de evitar acesso não autorizado a um computador ou software de outro dispositivo. O dongle, ou chave, cria essencialmente um túnel criptografado seguro entre a aplicação de software e a chave. O princípio é que um esquema de criptografia no dongle, como Advanced Encryption Standard (AES) fornece uma medida mais forte de segurança, uma vez que é mais difícil de hackear e replicar o dongle do que simplesmente copiar o software nativo para outra máquina e usá-lo. Outro aplicativo de segurança para dongles é usá-los para acessar conteúdo baseado na web, como software de nuvem ou Redes Privadas Virtuais (VPNs). Além disso, um dongle USB pode ser configurado para bloquear ou desbloquear um computador.
• Módulos de plataforma confiáveis (TPMs) dispositivos seguros, integrando recursos criptográficos em dispositivos de acesso, através do uso de microprocessadores, ou chamados computadores-em-um-chip. Os TPMs usados em conjunto com o software do lado do servidor oferecem uma maneira de detectar e autenticar dispositivos de hardware, evitando acesso não autorizado à rede e dados.
• A detecção de intrusão de caixa de computador refere-se a um dispositivo, tipicamente um interruptor de botão de pressão, que detecta quando um caso de computador é aberto. O firmware ou BIOS é programado para mostrar um alerta para o operador quando o computador é inicializado na próxima vez.
• Bloqueios de unidade são essencialmente ferramentas de software para criptografar discos rígidos, tornando-os inacessíveis a ladrões. Ferramentas existem especificamente para criptografar unidades externas também.
• Desativar portas USB é uma opção de segurança para evitar acesso não autorizado e malicioso a um computador seguro. Dongles USB infectados conectados a uma rede de um computador dentro do firewall são considerados pela revista Network World como a ameaça de hardware mais comum enfrentando redes de computador.
• Desconectar ou desativar dispositivos periféricos (como câmera, GPS, armazenamento removível etc), que não estão em uso.
• Dispositivos de acesso habilitados para dispositivos móveis estão crescendo em popularidade devido à natureza onipresente de telefones celulares. Recursos integrados, como Bluetooth, a nova baixa energia Bluetooth (LE), comunicação de campo próximo (NFC) em dispositivos não-iOS e validação biométrica, como leitores de impressão digital, bem como software leitor de código QR projetado para dispositivos móveis, oferecem novas e seguras maneiras para telefones celulares se conectar a sistemas de controle de acesso. Esses sistemas de controle fornecem segurança do computador e também podem ser usados para controlar o acesso a edifícios seguros.
• IOMMUs permitem sandboxing baseado em hardware de componentes em computadores móveis e desktop, utilizando proteções de acesso de memória direta.
• Funções Unclonable Físicas (PUFs) podem ser usadas como uma impressão digital ou um identificador único para circuitos integrados e hardware, fornecendo aos usuários a capacidade de proteger as cadeias de fornecimento de hardware que entram em seus sistemas.

Sistemas operacionais seguros

Um uso do termo segurança de computador refere-se à tecnologia usada para implementar sistemas operacionais seguros. Na década de 1980, o Departamento de Defesa dos Estados Unidos (DoD) usou o "Orange Book" padrões, mas o atual padrão internacional ISO/IEC 15408, Common Criteria define uma série de Níveis de Garantia de Avaliação progressivamente mais rigorosos. Muitos sistemas operacionais comuns atendem ao padrão EAL4 de serem "Metodicamente projetados, testados e revisados", mas a verificação formal exigida para os níveis mais altos significa que eles são incomuns. Um exemplo de sistema EAL6 ("Semiformally Verified Design and Tested") é o INTEGRITY-178B, usado no Airbus A380 e vários jatos militares.

Codificação segura

Na engenharia de software, a codificação segura visa proteger contra a introdução acidental de vulnerabilidades de segurança. Também é possível criar software projetado desde o início para ser seguro. Tais sistemas são seguros por design. Além disso, a verificação formal visa provar a correção dos algoritmos subjacentes a um sistema; importante para protocolos criptográficos, por exemplo.

Recursos e listas de controle de acesso

Nos sistemas de computador, dois dos principais modelos de segurança capazes de impor a separação de privilégios são as listas de controle de acesso (ACLs) e o controle de acesso baseado em funções (RBAC).

Uma lista de controle de acesso (ACL), com relação a um sistema de arquivos de computador, é uma lista de permissões associadas a um objeto. Uma ACL especifica quais usuários ou processos do sistema têm acesso concedido a objetos, bem como quais operações são permitidas em determinados objetos.

O controle de acesso baseado em função é uma abordagem para restringir o acesso ao sistema a usuários autorizados, usado pela maioria das empresas com mais de 500 funcionários e pode implementar controle de acesso obrigatório (MAC) ou controle de acesso discricionário (DAC).

Uma abordagem adicional, a segurança baseada em capacidade, tem sido restrita principalmente à pesquisa de sistemas operacionais. As capacidades podem, no entanto, também ser implementadas no nível da linguagem, levando a um estilo de programação que é essencialmente um refinamento do projeto orientado a objetos padrão. Um projeto de código aberto na área é a linguagem E.

Treinamento de segurança do usuário final

O usuário final é amplamente reconhecido como o elo mais fraco na cadeia de segurança e estima-se que mais de 90% dos incidentes e violações de segurança envolvam algum tipo de erro humano. Entre as formas mais comumente registradas de erros e erros de julgamento estão o gerenciamento inadequado de senhas, o envio de e-mails contendo dados confidenciais e anexos para o destinatário errado, a incapacidade de reconhecer URLs enganosos e de identificar sites falsos e anexos de e-mail perigosos. Um erro comum que os usuários cometem é salvar seu ID de usuário/senha em seus navegadores para facilitar o login em sites bancários. Este é um presente para os invasores que obtiveram acesso a uma máquina por algum meio. O risco pode ser mitigado pelo uso da autenticação de dois fatores.

Como o componente humano do risco cibernético é particularmente relevante para determinar o risco cibernético global que uma organização enfrenta, o treinamento de conscientização de segurança, em todos os níveis, não apenas fornece conformidade formal com os mandatos regulatórios e do setor, mas é considerado essencial para reduzir o risco cibernético e protegendo indivíduos e empresas da grande maioria das ameaças cibernéticas.

O foco no usuário final representa uma profunda mudança cultural para muitos profissionais de segurança, que tradicionalmente abordam a segurança cibernética exclusivamente de uma perspectiva técnica, e seguem as linhas sugeridas pelos principais centros de segurança para desenvolver uma cultura de conscientização cibernética dentro do organização, reconhecendo que um usuário consciente da segurança fornece uma importante linha de defesa contra ataques cibernéticos.

Higiene digital

Relacionada ao treinamento do usuário final, a higiene digital ou ciberhigiene é um princípio fundamental relacionado à segurança da informação e, como mostra a analogia com a higiene pessoal, é o equivalente de estabelecer medidas simples de rotina para minimizar os riscos de ameaças cibernéticas. A suposição é que boas práticas de higiene cibernética podem dar aos usuários em rede outra camada de proteção, reduzindo o risco de que um nó vulnerável seja usado para montar ataques ou comprometer outro nó ou rede, especialmente de ataques cibernéticos comuns. A higiene cibernética também não deve ser confundida com defesa cibernética proativa, um termo militar.

Ao contrário de uma defesa contra ameaças puramente baseada em tecnologia, a higiene cibernética refere-se principalmente a medidas de rotina que são tecnicamente simples de implementar e dependem principalmente de disciplina ou educação. Pode ser pensado como uma lista abstrata de dicas ou medidas que demonstraram ter um efeito positivo na segurança digital pessoal e/ou coletiva. Dessa forma, essas medidas podem ser executadas por leigos, não apenas por especialistas em segurança.

A higiene cibernética está relacionada à higiene pessoal, assim como os vírus de computador estão relacionados aos vírus biológicos (ou patógenos). No entanto, enquanto o termo vírus de computador foi cunhado quase simultaneamente com a criação dos primeiros vírus de computador em funcionamento, o termo higiene cibernética é uma invenção muito posterior, talvez ainda em 2000 pelo pioneiro da Internet Vint Cerf. Desde então, foi adotado pelo Congresso e Senado dos Estados Unidos, FBI, instituições da UE e chefes de estado.

Resposta a violações

Responder a tentativas de violação de segurança geralmente é muito difícil por vários motivos, incluindo:

• Identificar os atacantes é difícil, pois eles podem operar através de proxies, contas de discagem anônimas temporárias, conexões sem fio e outros procedimentos anônimos que tornam difícil o rastreamento de volta - e muitas vezes estão localizados em outra jurisdição. Se eles violarem a segurança com sucesso, eles também ganharam acesso administrativo suficiente para permitir que eles excluam registros para cobrir suas faixas.
• O grande número de tentativas de ataques, muitas vezes por scanners de vulnerabilidade automatizados e worms de computador, é tão grande que as organizações não podem gastar tempo perseguindo cada um.
• Oficiais de aplicação da lei muitas vezes não têm as habilidades, interesse ou orçamento para perseguir os atacantes. Além disso, a identificação de atacantes em uma rede pode exigir registros de vários pontos na rede e em muitos países, o que pode ser difícil ou demorado para obter.

Onde um ataque é bem-sucedido e ocorre uma violação, muitas jurisdições agora têm leis obrigatórias de notificação de violação de segurança.

Tipos de segurança e privacidade

Planejamento de resposta a incidentes

A resposta a incidentes é uma abordagem organizada para abordar e gerenciar as consequências de um incidente ou comprometimento de segurança de computador com o objetivo de prevenir uma violação ou frustrar um ataque cibernético. Um incidente que não é identificado e gerenciado no momento da invasão geralmente se transforma em um evento mais prejudicial, como violação de dados ou falha do sistema. O resultado pretendido de um plano de resposta a incidentes de segurança de computador é conter o incidente, limitar os danos e auxiliar na recuperação dos negócios como de costume. Responder rapidamente a comprometimentos pode mitigar vulnerabilidades exploradas, restaurar serviços e processos e minimizar perdas. O planejamento de resposta a incidentes permite que uma organização estabeleça uma série de práticas recomendadas para impedir uma invasão antes que ela cause danos. Os planos típicos de resposta a incidentes contêm um conjunto de instruções escritas que descrevem a resposta da organização a um ataque cibernético. Sem um plano documentado, uma organização pode não detectar com sucesso uma invasão ou comprometimento e as partes interessadas podem não entender suas funções, processos e procedimentos durante uma escalação, retardando a resposta e a resolução da organização.

Existem quatro componentes principais de um plano de resposta a incidentes de segurança de computador:

1. Preparação: Preparar as partes interessadas sobre os procedimentos para lidar com incidentes de segurança informática ou compromissos
2. Detecção e análise: Identificar e investigar atividades suspeitas para confirmar um incidente de segurança, priorizando a resposta com base no impacto e coordenação da notificação do incidente
3. Contenção, erradicação e recuperação: Isolando os sistemas afetados para evitar a escalada e limitar o impacto, apontando a gênese do incidente, removendo malware, sistemas afetados e maus atores do ambiente e restaurando sistemas e dados quando uma ameaça não permanece mais
4. Atividade de incidentes postais: Análise pós-morte do incidente, sua causa raiz e resposta da organização com a intenção de melhorar o plano de resposta incidente e os esforços de resposta futuros.

Ataques e violações notáveis

Alguns exemplos ilustrativos de diferentes tipos de brechas de segurança de computador são fornecidos abaixo.

Robert Morris e o primeiro worm de computador

Em 1988, 60.000 computadores estavam conectados à Internet, sendo a maioria mainframes, minicomputadores e estações de trabalho profissionais. Em 2 de novembro de 1988, muitos começaram a desacelerar, porque estavam executando um código malicioso que exigia tempo do processador e se espalhava para outros computadores – o primeiro worm de computador da Internet. O software foi rastreado até o estudante de pós-graduação da Cornell University, de 23 anos, Robert Tappan Morris, que disse "queria contar quantas máquinas estavam conectadas à Internet".

Laboratório de Roma

Em 1994, mais de cem invasões foram feitas por crackers não identificados no Laboratório de Roma, o principal comando e instalação de pesquisa da Força Aérea dos EUA. Usando cavalos de Tróia, os hackers conseguiram obter acesso irrestrito aos sistemas de rede de Roma e remover vestígios de suas atividades. Os invasores conseguiram obter arquivos classificados, como dados de sistemas de ordens de tarefas aéreas e, além disso, conseguiram penetrar em redes conectadas do Goddard Space Flight Center da National Aeronautics and Space Administration, Wright-Patterson Air Force Base, alguns empreiteiros de defesa e outras organizações do setor privado, fazendo-se passar por um usuário confiável do centro de Roma.

Detalhes do cartão de crédito do cliente TJX

No início de 2007, a TJX, empresa americana de vestuário e artigos para o lar, anunciou que foi vítima de uma invasão não autorizada de sistemas de computador e que os hackers acessaram um sistema que armazenava dados de cartão de crédito, cartão de débito, cheque e transações de devolução de mercadorias.

Ataque Stuxnet

Em 2010, o worm de computador conhecido como Stuxnet supostamente arruinou quase um quinto das centrífugas nucleares do Irã. Ele fez isso interrompendo os controladores lógicos programáveis (PLCs) industriais em um ataque direcionado. Acredita-se que isso tenha sido lançado por Israel e pelos Estados Unidos para interromper o programa nuclear do Irã - embora nenhum dos dois tenha admitido isso publicamente.

Divulgações de vigilância global

No início de 2013, documentos fornecidos por Edward Snowden foram publicados pelo The Washington Post e pelo The Guardian expondo a escala massiva da vigilância global da NSA. Também houve indícios de que a NSA pode ter inserido um backdoor em um padrão NIST para criptografia. Este padrão foi posteriormente retirado devido a críticas generalizadas. Além disso, foi revelado que a NSA pressionou os links entre os data centers do Google.

Violações de Target e Home Depot

Um hacker ucraniano conhecido como Rescator invadiu computadores da Target Corporation em 2013, roubando cerca de 40 milhões de cartões de crédito, e depois computadores da Home Depot em 2014, roubando entre 53 e 56 milhões de números de cartões de crédito. Avisos foram entregues em ambas as corporações, mas ignorados; acredita-se que as violações de segurança física usando máquinas de autoatendimento tenham desempenhado um papel importante. "O malware utilizado é absolutamente sem sofisticação e desinteressante" diz Jim Walter, diretor de operações de inteligência de ameaças da empresa de tecnologia de segurança McAfee – o que significa que os assaltos poderiam ter sido facilmente interrompidos pelo software antivírus existente se os administradores tivessem respondido aos avisos. O tamanho dos roubos atraiu grande atenção das autoridades estaduais e federais dos Estados Unidos e a investigação está em andamento.

Violação de dados do Escritório de Gestão de Pessoal

Em abril de 2015, o Office of Personnel Management descobriu que havia sido hackeado mais de um ano antes em uma violação de dados, resultando no roubo de aproximadamente 21,5 milhões de registros pessoais gerenciados pelo escritório. O hack do Office of Personnel Management foi descrito por autoridades federais como uma das maiores violações de dados do governo na história dos Estados Unidos. Os dados visados na violação incluíam informações de identificação pessoal, como números de CPF, nomes, datas e locais de nascimento, endereços e impressões digitais de atuais e ex-funcionários do governo, bem como de qualquer pessoa que tenha passado por uma verificação de antecedentes do governo. Acredita-se que o hack foi perpetrado por hackers chineses.

Violação de Ashley Madison

Em julho de 2015, um grupo de hackers conhecido como The Impact Team invadiu com sucesso o site de relacionamentos extraconjugais Ashley Madison, criado pela Avid Life Media. O grupo alegou que havia coletado não apenas dados da empresa, mas também dados do usuário. Após a violação, a equipe de impacto despejou e-mails do CEO da empresa, para provar seu ponto de vista, e ameaçou despejar os dados do cliente, a menos que o site fosse desativado permanentemente. Quando a Avid Life Media não colocou o site offline, o grupo lançou mais dois arquivos compactados, um de 9,7 GB e o segundo de 20 GB. Após o segundo despejo de dados, o CEO da Avid Life Media, Noel Biderman, renunciou; mas o site continuou a funcionar.

Ataque de ransomware Colonial Pipeline

Em junho de 2021, o ataque cibernético derrubou o maior oleoduto de combustível dos EUA e causou escassez em toda a Costa Leste.

Questões legais e regulamentação global

Questões legais internacionais de ataques cibernéticos são complicadas por natureza. Não há uma base global de regras comuns para julgar e, eventualmente, punir crimes cibernéticos e cibercriminosos - e onde empresas ou agências de segurança localizam o cibercriminoso por trás da criação de um determinado malware ou forma de ataque cibernético, muitas vezes as autoridades locais não podem assumir ação devido à falta de leis sob as quais processar. Provar a autoria de crimes cibernéticos e ataques cibernéticos também é um grande problema para todas as agências de aplicação da lei. “Os vírus de computador mudam de um país para outro, de uma jurisdição para outra – movendo-se pelo mundo, usando o fato de que não temos a capacidade de policiar globalmente operações como esta. Portanto, a Internet é como se alguém [tivesse] dado passagens aéreas gratuitas para todos os criminosos online do mundo." O uso de técnicas como DNS dinâmico, fluxo rápido e servidores à prova de balas aumenta a dificuldade de investigação e fiscalização.

Papel do governo

O papel do governo é fazer regulamentos para forçar empresas e organizações a proteger seus sistemas, infraestrutura e informações de quaisquer ataques cibernéticos, mas também proteger sua própria infraestrutura nacional, como a rede elétrica nacional.

O papel regulador do governo no ciberespaço é complicado. Para alguns, o ciberespaço era visto como um espaço virtual que deveria permanecer livre da intervenção do governo, como pode ser visto em muitas das discussões libertárias atuais sobre blockchain e bitcoin.

Muitos funcionários do governo e especialistas acham que o governo deveria fazer mais e que há uma necessidade crucial de melhorar a regulamentação, principalmente devido ao fracasso do setor privado em resolver com eficiência o problema de segurança cibernética. R. Clarke disse durante um painel de discussão na RSA Security Conference em San Francisco, ele acredita que a "indústria só responde quando você ameaça a regulamentação". Se a indústria não responder (à ameaça), você terá que seguir em frente." Por outro lado, executivos do setor privado concordam que melhorias são necessárias, mas acham que a intervenção do governo afetaria sua capacidade de inovar com eficiência. Daniel R. McCarthy analisou essa parceria público-privada em segurança cibernética e refletiu sobre o papel da segurança cibernética na constituição mais ampla da ordem política.

Em 22 de maio de 2020, o Conselho de Segurança da ONU realizou sua segunda reunião informal sobre segurança cibernética para se concentrar nos desafios cibernéticos para a paz internacional. Segundo o secretário-geral da ONU, António Guterres, as novas tecnologias são frequentemente usadas para violar direitos.

Ações internacionais

Existem muitas equipes e organizações diferentes, incluindo:

• O Fórum de Equipes de Resposta e Segurança de Incidentes (FIRST) é a associação global de CSIRTs. O US-CERT, AT&T, Apple, Cisco, McAfee, Microsoft são todos membros desta equipe internacional.
• O Conselho da Europa ajuda a proteger as sociedades em todo o mundo da ameaça do cibercrime através da Convenção sobre o Cibercrime.
• O objetivo do Messaging Anti-Abuse Working Group (MAAWG) é reunir a indústria de mensagens para trabalhar de forma colaborativa e abordar com sucesso as várias formas de abuso de mensagens, como spam, vírus, ataques de negação de serviço e outras explorações de mensagens. France Telecom, Facebook, AT&T, Apple, Cisco, Sprint são alguns dos membros do MAAWG.
• ENISA: A Agência Europeia de Segurança da Rede e da Informação (ENISA) é uma agência da União Europeia com o objetivo de melhorar a segurança da rede e da informação na União Europeia.

Europa

Em 14 de abril de 2016, o Parlamento Europeu e o Conselho da União Europeia adotaram o Regulamento Geral de Proteção de Dados (GDPR) (UE) 2016/679. O GDPR, que se tornou aplicável a partir de 25 de maio de 2018, fornece proteção de dados e privacidade para todos os indivíduos na União Europeia (UE) e no Espaço Econômico Europeu (EEE). O GDPR exige que os processos de negócios que lidam com dados pessoais sejam criados com proteção de dados por design e por padrão. O GDPR também exige que certas organizações nomeiem um Diretor de Proteção de Dados (DPO).

Ações nacionais

Equipes de resposta a emergências informáticas

A maioria dos países tem sua própria equipe de resposta a emergências de computador para proteger a segurança da rede.

Canadá

Desde 2010, o Canadá tem uma estratégia de cibersegurança. Funciona como documento de contrapartida da Estratégia Nacional e Plano de Ação para Infraestruturas Críticas. A estratégia tem três pilares principais: proteger sistemas governamentais, proteger sistemas cibernéticos privados vitais e ajudar os canadenses a ficarem seguros online. Existe também um Quadro de Gestão de Incidentes Cibernéticos para fornecer uma resposta coordenada no caso de um incidente cibernético.

O Centro Canadense de Resposta a Incidentes Cibernéticos (CCIRC) é responsável por mitigar e responder a ameaças à infraestrutura crítica e aos sistemas cibernéticos do Canadá. Ele fornece suporte para mitigar ameaças cibernéticas, suporte técnico para responder & recuperar-se de ataques cibernéticos direcionados e fornece ferramentas on-line para membros dos setores críticos de infraestrutura do Canadá. Ele publica boletins regulares de cibersegurança e relatórios de segurança cibernética. opera uma ferramenta de relatórios on-line onde indivíduos e organizações podem relatar um incidente cibernético.

Para informar o público em geral sobre como se proteger online, a Public Safety Canada fez parceria com a STOP.THINK.CONNECT, uma coalizão de organizações sem fins lucrativos, do setor privado e governamentais, e lançou o Programa de Cooperação em Segurança Cibernética. Eles também administram o portal GetCyberSafe para cidadãos canadenses e o mês de conscientização sobre segurança cibernética durante o mês de outubro.

A Public Safety Canada pretende iniciar uma avaliação da estratégia de segurança cibernética do Canadá no início de 2015.

China

O grupo líder central da China para segurança e informatização da Internet (chinês: 中央网络安全和信息化领导小组) foi estabelecido em 27 de fevereiro de 2014. Grupo (LSG) do Partido Comunista Chinês é chefiado pelo próprio secretário-geral Xi Jinping e é formado por decisores relevantes do partido e do estado. O LSG foi criado para superar as políticas incoerentes e as responsabilidades sobrepostas que caracterizavam os antigos mecanismos de tomada de decisão do ciberespaço da China. O LSG supervisiona a elaboração de políticas nos campos econômico, político, cultural, social e militar no que se refere à segurança da rede e à estratégia de TI. Este LSG também coordena as principais iniciativas políticas na arena internacional que promovem normas e padrões favorecidos pelo governo chinês e que enfatizam o princípio da soberania nacional no ciberespaço.

Alemanha

Berlim inicia Iniciativa Nacional de Defesa Cibernética: Em 16 de junho de 2011, o Ministro do Interior alemão abriu oficialmente o novo NCAZ (Centro Nacional de Defesa Cibernética) Nationales Cyber-Abwehrzentrum alemão localizado em Bonn. O NCAZ coopera estreitamente com BSI (Federal Office for Information Security) Bundesamt für Sicherheit in der Informationstechnik, BKA (Federal Police Organisation) Bundeskriminalamt (Alemanha), BND (Federal Intelligence Service) Bundesnachrichtendienst, MAD (Military Intelligence Service) Amt für den Militärischen Abschirmdienst e outras organizações nacionais na Alemanha cuidando de aspectos de segurança nacional. Segundo o ministro, a principal tarefa da nova organização fundada em 23 de fevereiro de 2011 é detectar e prevenir ataques contra a infraestrutura nacional e incidentes mencionados como o Stuxnet. A Alemanha também estabeleceu a maior instituição de pesquisa para segurança de TI na Europa, o Centro de Pesquisa em Segurança e Privacidade (CRISP) em Darmstadt.

Índia

Algumas provisões para segurança cibernética foram incorporadas a regras enquadradas na Lei de Tecnologia da Informação de 2000.

A Política Nacional de Segurança Cibernética 2013 é uma estrutura política do Ministério de Eletrônica e Tecnologia da Informação (MeitY) que visa proteger a infraestrutura pública e privada de ataques cibernéticos e salvaguardar "informações, como informações pessoais (de usuários da web), informações financeiras e bancárias e dados soberanos". CERT-In é a agência nodal que monitora as ameaças cibernéticas no país. O cargo de Coordenador Nacional de Segurança Cibernética também foi criado no Gabinete do Primeiro Ministro (PMO).

A Lei das Empresas Indianas de 2013 também introduziu a lei cibernética e as obrigações de segurança cibernética por parte dos diretores indianos. Algumas disposições para segurança cibernética foram incorporadas às regras enquadradas na Atualização da Lei de Tecnologia da Informação de 2000 em 2013.

Coreia do Sul

Após os ataques cibernéticos no primeiro semestre de 2013, quando o governo, a mídia, as estações de televisão e os sites dos bancos foram comprometidos, o governo nacional se comprometeu a treinar 5.000 novos especialistas em segurança cibernética até 2017. O governo sul-coreano culpou o norte contrapartida para esses ataques, bem como incidentes ocorridos em 2009, 2011 e 2012, mas Pyongyang nega as acusações.

Estados Unidos

Legislação

1986 18 U.S.C. § 1030, a Lei de Fraude e Abuso de Computador é a legislação principal. Ela proíbe acesso não autorizado ou danos a computadores protegidos conforme definido em 18 U.S.C. § 1030(e)(2). Embora várias outras medidas tenham sido propostas – nenhuma foi bem-sucedida.

Em 2013, foi assinada a ordem executiva 13636 Improving Critical Infrastructure Cybersecurity, que levou à criação do NIST Cybersecurity Framework.

Em resposta ao ataque de ransomware Colonial Pipeline, o presidente Joe Biden assinou a Ordem Executiva 14028 em 12 de maio de 2021, para aumentar os padrões de segurança de software para vendas ao governo, reforçar a detecção e a segurança nos sistemas existentes, melhorar o compartilhamento e o treinamento de informações, estabelecer um Conselho de Revisão de Segurança Cibernética e melhorar a resposta a incidentes.

Serviços de teste padronizados pelo governo

A Administração de Serviços Gerais (GSA) padronizou o serviço de teste de penetração como um serviço de suporte pré-avaliado, para lidar rapidamente com possíveis vulnerabilidades e impedir adversários antes que eles afetem os governos federal, estadual e local dos EUA. Esses serviços são comumente referidos como Serviços de segurança cibernética altamente adaptáveis (HACS).

Agências

O Departamento de Segurança Interna tem uma divisão dedicada responsável pelo sistema de resposta, programa de gerenciamento de risco e requisitos de segurança cibernética nos Estados Unidos chamada Divisão Nacional de Segurança Cibernética. A divisão abriga as operações do US-CERT e o Sistema Nacional de Alerta Cibernético. O Centro Nacional de Integração de Cibersegurança e Comunicações reúne organizações governamentais responsáveis pela proteção de redes de computadores e infraestrutura de rede.

A terceira prioridade do FBI é: "Proteger os Estados Unidos contra ataques cibernéticos e crimes de alta tecnologia", e eles, juntamente com o National White Collar Crime Center (NW3C), e o Bureau of Justice Assistance (BJA) faz parte da força-tarefa de várias agências, The Internet Crime Complaint Center, também conhecido como IC3.

Além de suas próprias funções específicas, o FBI participa juntamente com organizações sem fins lucrativos, como a InfraGard.

A Seção de Crimes Informáticos e Propriedade Intelectual (CCIPS) opera na Divisão Criminal do Departamento de Justiça dos Estados Unidos. A CCIPS é responsável pela investigação de crimes informáticos e crimes contra a propriedade intelectual e é especializada na busca e apreensão de provas digitais em computadores e redes. Em 2017, o CCIPS publicou A Framework for a Vulnerability Disclosure Program for Online Systems para ajudar as organizações a "descrever claramente a divulgação autorizada de vulnerabilidades e a conduta de descoberta, reduzindo substancialmente a probabilidade de que tais atividades descritas resultem em uma violação civil ou criminal da lei". sob a Lei de Fraude e Abuso de Computador (18 U.S.C. § 1030)."

O Comando Cibernético dos Estados Unidos, também conhecido como USCYBERCOM, "tem a missão de dirigir, sincronizar e coordenar o planejamento e as operações do ciberespaço para defender e promover os interesses nacionais em colaboração com parceiros nacionais e internacionais." Não tem nenhum papel na proteção de redes civis.

O papel da Comissão Federal de Comunicações dos EUA na segurança cibernética é fortalecer a proteção da infraestrutura de comunicação crítica, ajudar a manter a confiabilidade das redes durante desastres, ajudar na recuperação rápida após e garantir que os socorristas tenham acesso a serviços de comunicação eficazes.

A Food and Drug Administration emitiu orientações para dispositivos médicos, e a National Highway Traffic Safety Administration está preocupada com a segurança cibernética automotiva. Depois de ser criticado pelo Gabinete de Responsabilidade do Governo e após ataques bem-sucedidos a aeroportos e alegados ataques a aviões, a Federal Aviation Administration dedicou fundos para proteger sistemas a bordo de aviões de fabricantes privados e o Aircraft Communications Addressing and Reporting System. Preocupações também foram levantadas sobre o futuro Sistema de Transporte Aéreo de Próxima Geração.

O Departamento de Defesa dos EUA (DoD) emitiu a Diretiva 8570 do DoD em 2004, complementada pela Diretiva 8140 do DoD, exigindo que todos os funcionários do DoD e todo o pessoal contratado do DoD envolvido em funções e atividades de garantia de informações ganhem e mantenham vários setores de Tecnologia da Informação (TI) em um esforço para garantir que todo o pessoal do DoD envolvido na defesa da infraestrutura de rede tenha níveis mínimos de conhecimento, habilidades e habilidades (KSA) reconhecidos pelo setor de TI. Andersson e Reimers (2019) relatam que essas certificações variam de CompTIA's A+ e Security+ até ICS2.org's CISSP, etc.

Equipe de prontidão para emergências de computadores

Equipe de resposta a emergências de computadores é um nome dado a grupos de especialistas que lidam com incidentes de segurança de computadores. Nos Estados Unidos, existem duas organizações distintas, embora trabalhem juntas.

• US-CERT: parte da Divisão Nacional de Segurança Cibernética do Departamento de Segurança Interna dos Estados Unidos.
• CERT/CC: criado pela Agência de Projetos de Pesquisa Avançada de Defesa (DARPA) e gerido pelo Instituto de Engenharia de Software (SEI).

Guerra moderna

Há uma preocupação crescente de que o ciberespaço se torne o próximo teatro de guerra. Como Mark Clayton do The Christian Science Monitor escreveu em um artigo de 2015 intitulado "The New Cyber Arms Race":

No futuro, as guerras não serão apenas travadas por soldados com armas ou com aviões que derrubam bombas. Eles também serão combatidos com o clique de um rato a meio mundo de distância que desencadeia programas de computador cuidadosamente armados que interrompem ou destroem indústrias críticas como utilitários, transporte, comunicações e energia. Tais ataques também poderiam desativar as redes militares que controlam o movimento das tropas, o caminho dos caças a jato, o comando e o controle dos navios de guerra.

Isso levou a novos termos como ciberguerra e ciberterrorismo. O Comando Cibernético dos Estados Unidos foi criado em 2009 e muitos outros países têm forças semelhantes.

Existem algumas vozes críticas que questionam se a segurança cibernética é uma ameaça tão significativa quanto parece.

Carreiras

A segurança cibernética é um campo de TI em rápido crescimento, preocupado em reduzir a vulnerabilidade das organizações. risco de invasão ou violação de dados. De acordo com uma pesquisa do Enterprise Strategy Group, 46% das organizações dizem que têm uma "escassez problemática" de habilidades de segurança cibernética em 2016, acima dos 28% em 2015. Organizações comerciais, governamentais e não governamentais empregam profissionais de segurança cibernética. Os aumentos mais rápidos na demanda por trabalhadores de segurança cibernética estão em setores que gerenciam volumes crescentes de dados do consumidor, como finanças, saúde e varejo. No entanto, o uso do termo cibersegurança é mais comum nas descrições de cargos do governo.

Os cargos e descrições típicos de segurança cibernética incluem:

Analista de segurança

Analisa e avalia vulnerabilidades na infraestrutura (software, hardware, redes), investiga o uso de ferramentas e contramedidas disponíveis para remediar as vulnerabilidades detectadas e recomenda soluções e melhores práticas. Analisa e avalia danos aos dados/infraestrutura como resultado de incidentes de segurança, examina ferramentas e processos de recuperação disponíveis e recomenda soluções. Testes de conformidade com políticas e procedimentos de segurança. Pode ajudar na criação, implementação ou gestão de soluções de segurança.

Engenheiro de segurança

Realiza monitoramento de segurança, análise de segurança e dados/logs e análise forense, para detectar incidentes de segurança e montar a resposta do incidente. Investiga e utiliza novas tecnologias e processos para melhorar as capacidades de segurança e implementar melhorias. Também pode rever o código ou executar outras metodologias de engenharia de segurança.

Arquiteto de segurança

Projeta um sistema de segurança ou componentes principais de um sistema de segurança, e pode chefiar uma equipe de design de segurança construindo um novo sistema de segurança.

Administrador de segurança

Instala e gerencia sistemas de segurança em toda a organização. Esta posição também pode incluir assumir algumas das tarefas de um analista de segurança em organizações menores.

Diretor de Segurança da Informação (CISO)

Uma posição de gestão de alto nível responsável por toda a divisão de segurança da informação / pessoal. A posição pode incluir trabalho técnico prático.

Diretor de Segurança (CSO)

Uma posição de gestão de alto nível responsável por toda a divisão de segurança / pessoal. Uma posição mais recente é agora considerada necessária à medida que os riscos de segurança crescem.

Oficial de Proteção de Dados (DPO)

Uma DPO é encarregada de monitorar a conformidade com o GDPR do Reino Unido e outras leis de proteção de dados, nossas políticas de proteção de dados, conscientização, treinamento e auditorias.

Consultor de Segurança/Especialista/Inteligência

Títulos amplos que abrangem qualquer um ou todos os outros papéis ou títulos encarregados de proteger computadores, redes, software, dados ou sistemas de informação contra vírus, worms, spyware, malware, detecção de intrusão, acesso não autorizado, ataques de negação de serviço e uma lista cada vez maior de ataques por hackers agindo como indivíduos ou como parte do crime organizado ou governos estrangeiros.

Os programas para estudantes também estão disponíveis para pessoas interessadas em iniciar uma carreira em segurança cibernética. Enquanto isso, uma opção flexível e eficaz para profissionais de segurança da informação de todos os níveis de experiência continuarem estudando é o treinamento de segurança online, incluindo webcasts. Uma ampla gama de cursos certificados também está disponível.

No Reino Unido, um conjunto nacional de fóruns de segurança cibernética, conhecido como Fórum de Segurança Cibernética do Reino Unido, foi estabelecido com o apoio da estratégia de segurança cibernética do governo para incentivar start-ups e inovação e abordar a lacuna de habilidades identificado pelo governo do Reino Unido.

Em Cingapura, a Agência de Segurança Cibernética emitiu uma Estrutura de Competência em Segurança Cibernética (OTCCF) de Tecnologia Operacional (OT) de Cingapura. A estrutura define funções emergentes de segurança cibernética em Tecnologia Operacional. O OTCCF foi endossado pela Infocomm Media Development Authority (IMDA). Ele descreve os diferentes cargos de segurança cibernética da OT, bem como as habilidades técnicas e competências essenciais necessárias. Ele também descreve as muitas carreiras disponíveis, incluindo oportunidades de avanço vertical e lateral.

Terminologia

Os seguintes termos usados em relação à segurança do computador são explicados abaixo:

• A autorização de acesso restringe o acesso a um computador a um grupo de usuários através do uso de sistemas de autenticação. Esses sistemas podem proteger todo o computador, como através de uma tela de login interativa ou serviços individuais, como um servidor FTP. Existem muitos métodos para identificar e autenticar usuários, como senhas, cartões de identificação, cartões inteligentes e sistemas biométricos.
• O software antivírus consiste em programas de computador que tentam identificar, frustrar e eliminar vírus de computador e outros softwares maliciosos (malware).
• As aplicações são código executável, então a prática corporativa geral é restringir ou bloquear os usuários o poder de instalá-los; instalá-los apenas quando houver uma necessidade demonstrada (por exemplo, software necessário para executar tarefas); instalar apenas aqueles que são conhecidos por ser respeitável (de preferência com acesso ao código do computador usado para criar o aplicativo,- e reduzir a superfície de ataque instalando o menor possível. Eles normalmente são executados com menos privilégio, com um processo robusto no lugar para identificar, testar e instalar quaisquer patches de segurança lançados ou atualizações para eles.
  • Por exemplo, programas podem ser instalados na conta de um usuário individual, que limita o acesso potencial do programa, bem como ser um controle de meios que os usuários têm exceções específicas à política. No Linux], FreeBSD, OpenBSD e outros sistemas operacionais semelhantes ao Unix, há uma opção para restringir ainda mais um aplicativo usando chroot ou outros meios de restringir o aplicativo à sua própria 'sandbox'. Por exemplo. O Linux fornece namespaces e Cgroups para restringir ainda mais o acesso de uma aplicação aos recursos do sistema.
  • Estruturas de segurança generalizadas como SELinux ou AppArmor ajudam os administradores a controlar o acesso.
  • Java e outras linguagens que compilam o código byte Java e rodam na máquina virtual Java podem ter seu acesso a outras aplicações controladas no nível da máquina virtual.
  • Alguns softwares podem ser executados em recipientes de software que podem até fornecer seu próprio conjunto de bibliotecas de sistema, limitando o software ou qualquer pessoa controlá-lo, acesso às versões do servidor das bibliotecas.
• Técnicas de autenticação podem ser usadas para garantir que os pontos finais de comunicação sejam quem dizem ser.
• Prova de teorema automatizada e outras ferramentas de verificação podem ser usadas para permitir algoritmos críticos e código usado em sistemas seguros para ser comprovada matematicamente para atender às suas especificações.
• Backups são uma ou mais cópias mantidas de arquivos importantes do computador. Normalmente, várias cópias serão mantidas em locais diferentes para que, se uma cópia for roubada ou danificada, outras cópias ainda existirão.
• As técnicas de lista de controle de capacidade e acesso podem ser usadas para garantir a separação de privilégios e o controle de acesso obrigatório. Capacidades vs. ACLs discute seu uso.
• A cadeia de técnicas de confiança pode ser usada para tentar garantir que todo o software carregado tenha sido certificado como autêntico pelos designers do sistema.
• A confidencialidade é a nondisclosure da informação exceto a outra pessoa autorizada.
• Técnicas criptográficas podem ser usadas para defender dados em trânsito entre sistemas, reduzindo a probabilidade de que a troca de dados entre sistemas possa ser interceptada ou modificada.
• Cyberwarfare é um conflito baseado na Internet que envolve ataques politicamente motivados em sistemas de informação e informação. Tais ataques podem, por exemplo, desativar sites e redes oficiais, interromper ou desativar serviços essenciais, roubar ou alterar dados classificados e reduzir os sistemas financeiros.
• A integridade dos dados é a precisão e consistência dos dados armazenados, indicados pela ausência de qualquer alteração nos dados entre duas atualizações de um registro de dados.

As técnicas criptográficas envolvem a transformação de informações, agilizando-as, por isso torna-se ilegível durante a transmissão. O destinatário pretendido pode desmontar a mensagem; idealmente, os eavesdroppers não podem.

• A criptografia é usada para proteger a confidencialidade de uma mensagem. As cifras criptograficamente seguras são projetadas para fazer qualquer tentativa prática de quebrá-las inviáveis. As cifras de teclas simétricas são adequadas para encriptação em massa usando chaves compartilhadas e criptografia de chave pública usando certificados digitais podem fornecer uma solução prática para o problema de comunicar com segurança quando nenhuma chave é compartilhada com antecedência.
• O software de segurança do endpoint ajuda as redes na prevenção de infecção por malware e roubo de dados em pontos de entrada de rede tornados vulneráveis pela prevalência de dispositivos potencialmente infectados, como laptops, dispositivos móveis e drives USB.
• Firewalls servem como um sistema de gatekeeper entre redes, permitindo apenas o tráfego que combina regras definidas. Eles geralmente incluem registro detalhado e podem incluir detecção de intrusão e recursos de prevenção de intrusão. Eles são quase universitários entre as redes de área local da empresa e a Internet, mas também podem ser usados internamente para impor regras de tráfego entre redes se a segmentação de rede estiver configurada.
• Um hacker é alguém que procura violar defesas e explorar fraquezas em um sistema de computador ou rede.
• Os potes de mel são computadores que são intencionalmente deixados vulneráveis ao ataque por bolachas. Eles podem ser usados para pegar bolachas e identificar suas técnicas.
• Os sistemas de detecção de intrusão são dispositivos ou aplicativos de software que monitoram redes ou sistemas para atividades maliciosas ou violações de políticas.
• Um microkernel é uma abordagem para o projeto do sistema operacional que tem apenas a quantidade quase mínima de código em execução no nível mais privilegiado – e executa outros elementos do sistema operacional, como drivers de dispositivo, pilhas de protocolo e sistemas de arquivos, no espaço de usuário mais seguro e menos privilegiado.
• Ping. A aplicação de ping padrão pode ser usada para testar se um endereço IP está em uso. Se for, os atacantes podem então tentar uma varredura de porta para detectar quais serviços são expostos.
• Uma verificação da porta é usada para sondar um endereço IP para portas abertas para identificar serviços e aplicações de rede acessíveis.
• Um key logger é spyware que capta silenciosamente e armazena cada tecla que um usuário digita no teclado do computador.
• A engenharia social é o uso do engano para manipular os indivíduos para violar a segurança.
• bombas lógicas é um tipo de malware adicionado a um programa legítimo que fica adormecido até que seja desencadeado por um evento específico.
• Segurança de confiança zero significa que ninguém é confiável por padrão de dentro ou fora da rede, e a verificação é necessária de todos tentando obter acesso a recursos na rede.

Estudiosos notáveis