Gestão de riscos e análise de vulnerabilidade Flashcards
O que a gestão de riscos visa?
Determinar as medidas
apropriadas de controle e mitigação para reduzir os riscos a um nível aceitável, além de garantir
a proteção das informações e a continuidade dos negócios, minimizando os impactos negativos
causados por incidentes de segurança.
A ABNT NBR ISO/IEC 27005 fornece diretrizes para a implementação de um processo de
gestão de riscos de segurança da informação, que envolve as seguintes etapas:
Estabelecimento do Contexto, Avaliação de Riscos, Tratamento de Riscos, Aceitação de Riscos, Comunicação de Riscos, Monitoramento e Análise Crítica
Explique cada
Estabelecimento do Contexto:
A empresa X, que lida com informações sensíveis dos clientes, decide implementar um processo de gestão de riscos de segurança da informação. Para estabelecer o contexto, a empresa identifica seus ativos de informação, como dados do cliente, sistemas de pagamento e servidores.
Avaliação de Riscos:
A equipe de segurança da informação da empresa conduz uma avaliação de riscos para identificar ameaças, vulnerabilidades e possíveis impactos nos ativos de informação. Eles identificam ameaças como phishing, malware e acesso não autorizado, e avaliam as vulnerabilidades nos sistemas de TI.
Tratamento de Riscos:
Com base na avaliação de riscos, a empresa implementa controles de segurança para mitigar os riscos identificados. Isso pode incluir a instalação de firewalls, antivírus, políticas de acesso seguro e treinamento de conscientização em segurança para os funcionários.
Aceitação de Riscos:
Após implementar os controles de segurança, a empresa revisa os riscos restantes e decide se alguns deles são aceitáveis dentro dos limites toleráveis. Por exemplo, a empresa pode aceitar o risco de um ataque de phishing como baixo, desde que os funcionários sejam treinados para identificar e relatar e-mails suspeitos.
Comunicação de Riscos:
A empresa desenvolve um plano de comunicação de riscos para garantir que todas as partes interessadas estejam cientes dos riscos de segurança da informação e das medidas de mitigação implementadas. Isso pode incluir relatórios regulares para a alta administração, treinamento para funcionários e comunicações externas para clientes sobre práticas seguras de uso dos serviços da empresa.
Monitoramento:
A empresa estabelece um processo contínuo de monitoramento de riscos de segurança da informação para garantir que os controles estejam funcionando conforme planejado e para identificar novas ameaças e vulnerabilidades. Isso pode incluir monitoramento de logs de segurança, testes de penetração regulares e análise de tendências de ataques.
Análise Crítica:
A empresa realiza análises críticas periódicas do processo de gestão de riscos de segurança da informação para garantir sua eficácia contínua e fazer ajustes conforme necessário. Isso pode incluir revisões após incidentes de segurança, auditorias internas e feedback das partes interessadas.
Explique os principais componentes da análise de risco:
Identificação de Ativos
Avaliação de Ameaças
Avaliação de Vulnerabilidades
Análise de Impacto
Avaliação de Risco.
- Identificação de Ativos: Inclui a identificação de todos os ativos importantes, como hardware, software, dados e pessoal.
- Avaliação de Ameaças: Identificação de eventos que podem causar dano aos ativos, como ataques cibernéticos, falhas de hardware e erros humanos.
- Avaliação de Vulnerabilidades: Identificação de fraquezas que podem ser exploradas por ameaças.
- Análise de Impacto: Avaliação do impacto potencial que as ameaças podem causar aos ativos.
- Avaliação de Risco: Determinação da probabilidade de ocorrência e o impacto associado a cada combinação de ativos, ameaças e vulnerabilidades.
Explique algumas das metodologias de análise de risco:
Método qualitativo
Método Quantitativo
Método híbrido
- Método Qualitativo: Utiliza descrições como Baixo, Médio e Alto para avaliar os riscos.
- Método Quantitativo: Utiliza números para quantificar os riscos, como a perda financeira
potencial. - Método Híbrido: Combinação dos métodos qualitativos e quantitativos.
O que é uma ameaça?
Uma ameaça é qualquer evento ou ação que tem o potencial de causar danos aos
sistemas de informação, comprometendo a confidencialidade, integridade ou disponibilidade dos
dados.
Diferencie ameaça intencional de não intencional
- Ameaças intencionais: são aquelas causadas por agentes maliciosos, como hackers,
criminosos cibernéticos e espiões, que buscam explorar vulnerabilidades nos sistemas de
informação para obter acesso não autorizado, roubar dados ou causar interrupções nos
serviços. - Ameaças não intencionais: são aquelas que ocorrem devido a erros humanos, falhas de
software ou hardware, ou eventos naturais, como desastres naturais e falhas de energia.
O que é uma vulnerabilidade?
Uma vulnerabilidade é uma fraqueza ou falha em um sistema de informação que pode ser
explorada por uma ameaça para causar danos. A
Explique a vulnerabilidade SQL Injection
A vulnerabilidade SQL Injection é um tipo de falha de segurança que ocorre quando um aplicativo da web não valida corretamente a entrada do usuário antes de enviar comandos SQL para o banco de dados. Isso permite que um invasor injete código SQL malicioso nos campos de entrada de um formulário ou URL do aplicativo da web.
Explique a vulnerabilidade Buffer Overflow
Buffer Overflow (estouro de buffer) é uma vulnerabilidade de segurança que ocorre quando um programa tenta armazenar mais dados em um buffer (uma área de memória temporária) do que ele foi projetado para lidar. Isso pode ocorrer quando dados de entrada fornecidos pelo usuário, como strings, são inseridos em um buffer sem verificação adequada do tamanho, permitindo que dados em excesso sejam gravados na memória adjacente.
Quando um buffer overflow ocorre, os dados extras podem sobrescrever outros dados na memória, incluindo instruções de código ou informações de controle importantes. Isso pode levar a uma série de problemas de segurança
Explique a vulnerabilidade Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) é uma vulnerabilidade de segurança que ocorre quando um aplicativo da web aceita entradas não confiáveis de usuários e as exibe em suas páginas sem validação adequada. Isso permite que um invasor injete scripts maliciosos (geralmente JavaScript) nas páginas web visualizadas por outros usuários.
Dê a definição de impacto, no contexto de segurança da informação
O impacto é a consequência negativa que pode resultar da exploração de uma vulnerabilidade por uma ameaça.
Resposta a Incidentes de segurança da informação:
Preparação
Identificação
Contenção
Erradicação
Recuperação
Lições Aprendidas
Explique cada
- Preparação: Estabelecimento de políticas, planos e procedimentos; treinamento da equipe;
obtenção e manutenção de ferramentas necessárias. - Identificação: Detectar e reconhecer o incidente; determinar sua natureza e
escopo. Exemplo: Identificação de malware através de um sistema de detecção de intrusão. - Contenção: Implementar medidas para limitar o impacto do incidente; pode ser tanto a curto
prazo (contenção imediata) quanto a longo prazo (contenção estratégica). - Erradicação: Localizar e remover a raiz do incidente; eliminar componentes
afetados. Exemplo: Remoção de vírus e correção de vulnerabilidades exploradas. - Recuperação: Restaurar e validar a funcionalidade do sistema para o negócio; monitorar para
sinais de atividades maliciosas.
6.Lições Aprendidas: Revisar o incidente e a resposta; determinar o que foi feito corretamente
e o que poderia ter sido feito melhor; atualizar políticas e procedimentos conforme necessário.
Para que servem os testes de invasão?
Testes de invasão, ou penetration testing, são processos que envolvem a simulação de
ataques cibernéticos a sistemas computacionais, redes ou aplicações, com o objetivo de descobrir
vulnerabilidades que um invasor mal-intencionado possa explorar.