Fundamentos de segurança de rede Flashcards
Agentes de ameaça
Invasores que obtêm acesso modificando ou explorando vulnerabilidades.
Ameaças comuns
Roubo de informações, perda e manipulação de dados, roubo de identidade e interrupção de serviço.
O que é vulnerabilidade?
É o grau de fraqueza em uma rede ou dispositivo. As três principais vulnerabilidades são as políticas tecnológicas, a configuração dos dispositivos e o nível de segurança. Todas podem ser agravadas ou fortificadas pelo usuário.
Principais vulnerabilidade tecnológicas
Ponto fraco do protocolo TCP/IP, pontos fracos dos SO e pontos fracos dos equipamentos de rede.
Pontos fracos do protocolo TCP/IP
HTTP, FTP, ICMP, SNMP e SMTP.
Principais vulnerabilidades de configuração
Contas não protegidas, senhas fracas, exposição de dados de acesso, serviços de internet mal configurados, configurações padrão que são inseguras e equipamentos de rede configurados incorretamente.
Principais vulnerabilidade de política
Falta de uma política de segurança consistente, escrita, problemas de autenticação e controle de acesso, instalações e alterações de hardware não seguem política e a falta de um plano de recuperação em caso de desastre.
Quais são as ameaças físicas aos recursos de rede?
Ameaças de hardware - Isso inclui danos físicos a qualquer dispositivo da rede.
Ameaças ambientais - Isso inclui extremos de temperatura (muito quente ou muito frio) ou extremos de umidade (muito úmido ou muito seco).
Ameaças elétricas - Isso inclui picos de tensão, tensão de alimentação insuficiente (quedas de energia), energia não condicionada (ruído) e perda total de energia.
Ameaças à manutenção - Isso inclui o uso dos principais componentes elétricos (descarga eletrostática), falta de peças de reposição críticas, cabeamento incorreto e rotulagem inadequada.
O que é malware?
Malware é a abreviação de software malicioso. É um código ou software projetado especificamente para danificar, interromper, roubar ou infligir ações “ruins” ou ilegítimas em dados, hosts ou redes. Vírus, worms e cavalos de Tróia são exemplos de tipos de malware.
O que é um vírus?
É um tipo de malware que se propaga inserindo uma cópia de si mesmo dentro de outro programa e se tornando parte dele, depende de execução, pode ser usado como porta para diversos ataques.
O que são worms?
É um tipo de malware capaz de se propagar sem ação alguma, utiliza recursos do sistema para viajar pela rede e infectar outros dispositivos. Não necessitam de hospedeiro.
O que são cavalos de Tróia?
Malware que depende de execução para infectar o disp. Se disfarça como software legítimo ou infecta um. Pode fazer diversos ataques, desde pop-ups, exclusão/roubo de dados, baixar outros malwares a criação de back doors.
Os ataques à rede podem ser classificados em três categorias principais:
Ataques de reconhecimento - A descoberta e o mapeamento de sistemas, serviços ou vulnerabilidades.
Ataques de acesso - A manipulação não autorizada de dados, acesso ao sistema ou privilégios do usuário.
Negação de serviço - A desativação ou corrupção de redes, sistemas ou serviços.
Ferramentas comuns do ataque de reconhecimento:
Consultas públicas, pesquisas, varreduras de IP e depois de portas nesses dispositivos.
Ataques de acesso comuns:
Ataques de senha (brute force, trojans, sniffers de pacotes), exploração de confiança, redirecionamento de porta para receber dados alheios (MITM).
Ataques de negação de serviços comuns:
Ataque DoS: nterrompem a comunicação e causam perda significativa de tempo e dinheiro. Esses ataques são relativamente simples de conduzir.
Ataque DDoS: o mesmo que o anterior, mas originado de váias fontes.
Exemplos de ataque DDoS
Um agente de ameaça cria uma rede de hosts infectados, conhecidos como zumbis. Uma rede de zumbis é chamada de botnet. O ator ameaça usa um programa de comando e controle (CNC) para instruir o botnet de zumbis para realizar um ataque DDoS.
Abordagem de defesa em camadas
É uma abordagem holística para proteger informações e sistemas contra inúmeros tipos e níveis de ameaças digitais. Esta metodologia envolve a implementação de múltiplas barreiras defensivas em diferentes partes do ecossistema digital, fornecendo resiliência e proteção.
Conceito AAA (autenticação, autorização e auditoria)
É uma maneira de controlar quem tem permissão para acessar uma rede (autenticar), quais ações eles executam enquanto acessam a rede (autorizar) e fazer um registro do que foi feito enquanto eles estão lá (auditoria).
O que são firewalls?
É um sistema de segurança que controla o tráfego de entrada e saída de uma rede, permitindo ou bloqueando pacotes de dados de acordo com regras pré-definidas.
Tipos de firewalls:
Filtragem de pacotes - Impede ou permite o acesso com base em endereços IP ou MAC;
Filtragem de aplicativos - impede ou permite o acesso por tipos de aplicativos específicos com base nos números de porta;
Filtragem de URL - impede ou permite o acesso a sites com base em URLs ou palavras-chave específicas;
Inspeção de pacotes com estado (SPI) - Os pacotes recebidos devem ser respostas legítimas às solicitações dos hosts internos. Os pacotes não solicitados são bloqueados, a menos que especificamente permitidos. O SPI também pode incluir o recurso de reconhecer e filtrar tipos específicos de ataques, como negação de serviço (DoS).
Os ataques de acesso exploram vulnerabilidades conhecidas em serviços de autenticação, serviços de FTP e serviços da Web. O objetivo desse tipo de ataque é obter acesso a contas da web, bancos de dados confidenciais e outras informações confidenciais.
VERDADEIRO OU FALSO
Verdadeiro
Os atores de ameaças usam ataques de acesso a dispositivos de rede e computadores para recuperar dados, obter acesso ou escalar privilégios de acesso ao status de administrador.
Ataque de acesso: senha
Em um ataque de senha, o agente de ameaça tenta descobrir senhas críticas do sistema usando vários métodos. Os ataques de senha são muito comuns e podem ser iniciados usando uma variedade de ferramentas de quebra de senha.
Ataque de acesso: falsificação (spooging)
Nos ataques de falsificação, o dispositivo do agente de ameaças tenta se passar por outro dispositivo falsificando os dados. Ataques comuns incluem falsificação IP (IP spoofing), falsificação MAC (MAC spoofing), e falsificação DHCP (DHCP spoofing).
