Ameaças, Vulnerabilidades e Ataques à Segurança Cibernética

[bernardino]

Domínios de Ameaça

Um domínio de ameaça é uma área de controle, autoridade ou proteção que os invasores podem explorar para obter acesso a um sistema. As categorias de ameaças digitais incluem ataques e erros de software, sabotagem, erro humano, roubo, falhas de hardware, interrupção de serviços públicos e desastres naturais. As ameaças internas são geralmente realizadas por funcionários atuais ou antigos e por outros parceiros de contrato. A fonte de uma ameaça externa geralmente vem de invasores amadores ou qualificados que podem explorar vulnerabilidades em dispositivos de rede ou usar técnicas de engenharia social. Um domínio de usuário inclui qualquer pessoa com acesso ao sistema de informações de uma organização. As ameaças comuns aos usuários incluem políticas de segurança mal aplicadas, roubo de dados, mídia e downloads não autorizados, VPNs e sites não autorizados e destruição de sistemas, aplicativos ou dados. Dispositivos individuais, LANs e nuvens públicas e privadas também são vulneráveis a ataques. Há ameaças complexas, como um APT e um ataque de algoritmo. Os criminosos digitais usam programas de backdoor para obter acesso não autorizado a um sistema ignorando os procedimentos normais de autenticação. Backdoors concedem aos cibercriminosos acesso contínuo a um sistema, mesmo que a organização tenha corrigido a vulnerabilidade original usada para atacar o sistema. A maioria dos rootkits explora vulnerabilidades de software para obter acesso a recursos e modificar arquivos do sistema. Os Rootkits também podem modificar as ferramentas forenses e de monitoramento do sistema, tornando-os muito difíceis de detectar.

Uma teia escura é um conteúdo da Web criptografado que não é indexado por mecanismos de pesquisa convencionais e requer software, autorização ou configurações específicas para acessar. IOCs, como assinaturas de malware ou nomes de domínio, fornecem evidências de violações de segurança. O AIS permite a troca em tempo real de indicadores de ameaças de segurança digital usando linguagens padronizadas e estruturadas chamadas STIX e TAXII.

Disfarce

A engenharia social é uma estratégia não técnica que tenta manipular indivíduos para realizar determinadas ações ou divulgar informações confidenciais. Pretexting é quando um indivíduo mente para obter acesso a dados privilegiados. Os ataques de contrapartida são uma solicitação de informações pessoais em troca de algo. Fraude de identidade é usar a identidade roubada de uma pessoa para obter bens ou serviços por meio de engano.

As táticas de engenharia social incluem se passar por uma figura de autoridade, intimidação, consenso ("todo mundo está fazendo isso"), fingir que algo é escasso ou que uma situação é urgente, criando familiaridade e confiança com um funcionário para, eventualmente, aproveitá-la no acesso. A ressaca é olhar sobre a ressaca do alvo para obter informações valiosas, como PINs, códigos de acesso ou detalhes de cartão de crédito. Os criminosos nem sempre precisam estar perto de suas vítimas para escapar da onda, eles podem usar binóculos ou câmeras de segurança para obter essas informações. O mergulho no lixo está passando pelo lixo de um alvo para ver quais informações foram jogadas fora. Piggybacking ou tailgating é quando um criminoso segue uma pessoa autorizada para obter entrada física em um local seguro ou em uma área restrita. Outros métodos de engano incluem fraudes de faturas, ataques de watering hole, typosquatting, prepending e campanhas de influência.

As organizações precisam promover a conscientização sobre as táticas de engenharia social e educar adequadamente os funcionários sobre as medidas de prevenção.

Ataques cibernéticos

Malware é qualquer código que pode ser usado para roubar dados, contornar controles de acesso, causar danos ou comprometer um sistema. Um vírus é um tipo de programa de computador que, quando executado, se replica e se anexa a outros arquivos inserindo seu próprio código nele. Um worm é um programa de software malicioso que se replica explorando independentemente vulnerabilidades nas redes. Um Trojan (Cavalo de Tróia) é um malware que realiza operações maliciosas mascarando sua verdadeira intenção. Uma bomba lógica é um programa malicioso que espera por um gatilho para detonar o código malicioso. Ransomware é projetado para manter um sistema de computador ou os dados que ele contém cativos até que um pagamento seja feito. Os ataques de DoS funcionam criando uma quantidade enorme de tráfego ou enviando pacotes mal-intencionados que não podem ser identificados por um aplicativo, fazendo com que o dispositivo receptor funcione lentamente ou trava. Os ataques DDoS são semelhantes, mas se originam de várias fontes coordenadas. Os ataques de DNS incluem spoofing e sequestro.

Os ataques de camada 2 incluem endereço MAC, spoofing de IP e ARP, inundação de MAC, homem no celular e homem no meio. Os ataques de dia zero exploram vulnerabilidades de software antes que elas se tornem conhecidas. O registro de teclado (keylogging) registra pressionamentos de teclas e configura o software keylogger para enviar o arquivo de log para o criminoso. Esse arquivo de log pode revelar nomes de usuário, senhas, sites visitados etc.

Para se defender contra esses ataques, use firewalls, mantenha-se atualizado sobre atualizações e correções, distribua a carga de trabalho entre sistemas de servidor e bloqueie pacotes ICMP externos com firewalls.

Ataques a dispositivos móveis e sem fio

Grayware é um aplicativo indesejado que se comporta de maneira irritante ou indesejável. SMiShing são mensagens de texto falsas que solicitam que você acesse um site mal-intencionado ou ligue para um número de telefone fraudulento, o que pode resultar no download de malware no dispositivo. Um ponto de acesso não autorizado é um ponto de acesso sem fio instalado em uma rede segura sem autorização. Um ataque de gêmeos do mal é onde o access point do invasor é configurado para parecer uma opção de conexão melhor. O congestionamento de radiofrequência está congestionando deliberadamente a transmissão de uma estação de rádio ou satélite para impedir que um sinal sem fio chegue à estação receptora.

Bluejacking envia mensagens não autorizadas ou imagens chocantes para outro dispositivo Bluetooth. Bluesnarfing é quando um invasor copia informações do dispositivo de um alvo usando Bluetooth. WEP e WPA são protocolos de segurança projetados para proteger redes sem fio. O WPA2 é um protocolo de segurança aprimorado. Ao contrário do WEP, um invasor não pode recuperar a chave de criptografia do WPA2 observando o tráfego de rede.

Para se defender contra ataques a dispositivos móveis e sem fio: altere as configurações padrão. Restrinja o posicionamento do access point colocando esses dispositivos fora do firewall ou em uma DMZ. Use ferramentas de WLAN para detectar access points não autorizados ou estações de trabalho não autorizadas. Tenha uma política para acesso de convidado a uma rede Wi-Fi. Os funcionários devem usar uma VPN de acesso remoto para acesso à WLAN.

Aplicativo e outros ataques

XSS é uma vulnerabilidade encontrada em muitos aplicativos da web. Os tipos de ataques de injeção de código incluem XML, SQL, DLL e LDAP. Um estouro de buffer ocorre quando os dados são gravados além dos limites de um buffer. A execução remota de código está explorando as vulnerabilidades do aplicativo para executar qualquer comando com os privilégios do usuário autorizado. Outros ataques a aplicativos incluem CSRF, condição de corrida, tratamento de entrada incorreto, tratamento de erro, API, reprodução, passagem de diretório e esgotamento de recursos.

Escreva um código sólido para se defender contra ataques a aplicativos. Trate e valide toda a entrada de fora de uma função como se fosse hostil. Mantenha todos os softwares atualizados. Spam é um e-mail não solicitado que geralmente é um método de publicidade. Alguns spam são enviados em massa por computadores infectados por vírus ou worms. Phishing é quando um usuário é contatado por e-mail ou mensagem instantânea por um agente de ameaças que se disfarça de pessoa legítima. O spear phishing envia e-mails personalizados para uma pessoa específica com base nas informações que o invasor conhece sobre elas. Outros golpes comuns incluem vishing, farmácia e caça às baleias. Outros tipos de ataques incluem ataques físicos a equipamentos, ataques adversários de inteligência artificial, ataques à cadeia de fornecimento e ataques na nuvem.

Use um software antivírus para se defender contra ataques de e-mail e navegadores. Nunca assuma que os anexos de e-mail são seguros. Sempre verifique os anexos antes de abri-los. Torne-se um membro do Grupo de Trabalho Anti-Phishing (APWG). Todos os softwares devem ser mantidos atualizados.

Pergunta 1

Que tipo de ataque de aplicativo ocorre quando os dados ultrapassam as áreas de memória alocadas para o aplicativo?

- Injeção de RAM
- RAM spoofing
- Buffer overflow
- Injeção de SQL

Pergunta 2

Qual das seguintes afirmações descreve um ataque distribuído de negação de serviço (DDoS)?

- Um invasor monitora o tráfego de rede para aprender as credenciais de autenticação
- Um invasor envia uma enorme quantidade de dados que um servidor não pode manipular
- Um computador aceita pacotes de dados com base no endereço MAC de outro computador
- Um botnet de zumbis, coordenado por um invasor, sobrecarrega um servidor com ataques de DoS

Pergunta 3

Os funcionários de uma empresa relatam que o acesso à rede é lento. Uma investigação mais aprofundada revela que um funcionário baixou um programa de digitalização de terceiros para a impressora.

Que tipo de malware pode ter sido introduzido?

- cavalo de troia
- Phishing
- Spam
- Worm

Pergunta 4

Os funcionários de uma empresa relatam que não podem acessar o banco de dados de clientes no servidor principal. Uma investigação mais aprofundada revela que o arquivo de banco de dados agora está criptografado. Pouco depois, a organização recebe um e-mail ameaçador exigindo o pagamento pela descriptografia do arquivo do banco de dados.

Qual tipo de ataque a empresa está sofrendo?

- Trojan (cavalo de troia)
- Ataque homem no celular
- Ransomware
- ataque de DoS

Pergunta 5

Um teste de penetração realizado por uma empresa identificou um backdoor na rede. Que ação a organização deve tomar para descobrir se seus sistemas foram comprometidos?

- Procurar por nomes de usuário que não tenham senhas
- Procurar contas não autorizadas
- Verificar os sistemas em busca de vírus
- Procurar alterações de política no Visualizador de eventos

Pergunta 6

Que método não técnico um cibercriminoso pode usar para coletar informações confidenciais de uma organização?

- Engenharia social
- Pharming
- homem no celular
- Ransomware

Pergunta 7

Uma secretária recebe um telefonema de alguém alegando que seu gerente está prestes a fazer uma apresentação importante, mas os arquivos da apresentação estão corrompidos.

O chamador pede severamente que a secretária envie a apresentação por e-mail imediatamente para um endereço de e-mail pessoal. O interlocutor também afirma que o secretário está sendo responsabilizado pessoalmente pelo sucesso desta apresentação.

Que tipo de tática de engenharia social o chamador está usando?

- Familiaridade
- Urgência
- Parceiros confiáveis
- Intimidação

Pergunta 8

Os funcionários de uma empresa recebem um e-mail informando que a senha da conta irá expirar imediatamente, e que é necessário redefinir uma senha dentro de 5 minutos.

Qual das afirmações a seguir descreve melhor a segurança cibernética

- É um ataque de imitação.
- É um embuste
- É um ataque de DDoS.
- É um ataque de carona.

Pergunta 9

Quais são as três melhores práticas que podem ajudar a defender contra-ataques de engenharia social?

Selecione as três respostas corretas

- Educar os funcionários sobre as políticas de segurança
- Implante dispositivos de firewall bem projetados
- Não forneça redefinições de senha em uma janela de bate-papo
- Adicionar mais guardas de segurança
- Habilite uma política que declare que o departamento de TI deve fornecer informações por telefone apenas aos gerentes
- Resista à tentação de clicar em links atraentes da web

Pergunta 10

Qual opção é um ataque de imitação que se aproveita de uma relação de confiança entre dois sistemas?

- homem no celular
- Spamming
- Spoofing
- Sniffing

Pergunta 11

Um criminoso virtual envia uma série de pacotes formatados maliciosamente para o servidor de banco de dados.

Que tipo de ataque é esse?

- pacote de injeção
- Inserção de SQL
- DoS
- homem no celular

Pergunta 12

A conscientização e a identificação de vulnerabilidades são funções essenciais para um especialista em segurança cibernética. Quais dos seguintes recursos eles podem usar para identificar detalhes específicos sobre vulnerabilidades?

- Estrutura NIST/NICE
- banco de dados nacional CVE
- Infragard
- Modelo ISO/IEC 27000

Leia Mais: Indicadores de Ameaças Cibernéticas

Leia Mais: Investigue um cenário de ameaças