Módulo 2 - Ameaças à redes Flashcards
Diferença entre ameaças, vunerabilidades, superfície de ataque, exploit e risco.
Ameaça
Um perigo potencial para um ativo, como dados ou a própria rede.
Vulnerabilidade
Uma fraqueza em um sistema ou em seu design que pode ser explorada por uma ameaça.
Superfície de ataque
Uma superfície de ataque é a soma total das vulnerabilidades em um determinado sistema que são acessíveis a um invasor. A superfície de ataque descreve diferentes pontos em que um invasor pode entrar em um sistema e onde ele pode obter dados do sistema.
Exploit
O mecanismo que é usado para alavancar uma vulnerabilidade para comprometer um ativo. As explorações podem ser remotas ou locais. Uma exploração remota é aquela que funciona através da rede sem qualquer acesso prévio ao sistema de destino.
Risco
A probabilidade de uma determinada ameaça explorar uma vulnerabilidade específica de um ativo e resultar em uma consequência indesejável.
Quais quatro maneiras comuns de gerenciar o risco?
Aceitação de riscos
Isso ocorre quando o custo das opções de gerenciamento de risco supera o custo do próprio risco. O risco é aceito, e nenhuma ação é tomada.
Prevenção de riscos
Isto significa evitar qualquer exposição ao risco eliminando a atividade ou dispositivo que apresenta o risco. Ao eliminar uma atividade para evitar riscos, todos os benefícios possíveis da atividade também são perdidos.
Redução de risco
Isto reduz a exposição ao risco ou reduz o impacto do risco, tomando medidas para diminuir o risco. É a estratégia de mitigação de riscos mais utilizada. Essa estratégia requer uma avaliação cuidadosa dos custos de perda, da estratégia de mitigação e dos benefícios obtidos com a operação ou atividade que está em risco.
Transferência de risco
Parte ou todo o risco é transferido para um terceiro disposto, como uma companhia de seguros.
O que é freaking (ou phreaking) telefônico
Foi uma das primeiras atividades associadas à cultura hacker, que teve início nos anos 1960 e continuou ao longo das décadas seguintes. Essa prática envolvia explorar falhas e vulnerabilidades nos sistemas de telefonia para obter acesso gratuito a serviços telefônicos, realizar chamadas de longa distância sem custo ou mesmo realizar ações maliciosas.
Tipos diferentes de agentes de ameaça
Script kiddies surgiram na década de 1990 e se refere a adolescentes ou atores de ameaças inexperientes executando scripts, ferramentas e explorações existentes para causar danos, mas normalmente sem fins lucrativos.
Os corretores de vulnerabilidade normalmente se referem a hackers Grey Hat que tentam descobrir exploits e relatá-los aos fornecedores, às vezes por prêmios ou recompensas.
Hacktivistas é um termo que se refere a hackers Grey Hat que se manifestam e protestam contra diferentes ideias políticas e sociais. Os hacktivistas protestam publicamente contra organizações ou governos, publicando artigos, vídeos, vazando informações confidenciais e realizando ataques DDoS (Denial of Service, Negação de serviço).
Criminoso cibernético é um termo para hackers black hat que são autônomos ou trabalham para grandes organizações do crime cibernético. A cada ano, os criminosos virtuais são responsáveis por roubar bilhões de dólares de consumidores e empresas.
Os hackers patrocinados pelo Estado são atores de ameaças que roubam segredos do governo, coletam informações e sabotam redes de governos estrangeiros, grupos terroristas e corporações. A maioria dos países do mundo participam, em algum grau, em ataques de hackers patrocinados pelo estado. Dependendo da perspectiva de uma pessoa, estes são hackers de white hat ou black hat.
O que é indicadores de comprometimento (COI)?
Indicadores de compromisso são a evidência de que um ataque ocorreu. Os IOCs podem ser recursos que identificam arquivos de malware, endereços IP de servidores que são usados em ataques, nomes de arquivos e alterações características feitas no software final do sistema, entre outros.
O que é indicadores de ataque (IOA)?
Motivação por trás de um ataque e nos potenciais meios pelos quais os atores da ameaça têm, ou irão, comprometer vulnerabilidades para obter acesso a ativos. Os IOAs estão preocupadas com as estratégias usadas pelos atacantes.
O que é malvertising?
Email e publicidade maliciosa
exemplos de outros malwares:
Spyware
Usado para coletar informações sobre um usuário e enviar as informações para outra entidade sem o consentimento do usuário. Spyware pode ser um monitor de sistema, cavalo de Tróia, Adware, cookies de rastreamento e keyloggers.
Adware
Exibe pop-ups irritantes para gerar receita para seu autor. O malware pode analisar os interesses do usuário rastreando os sites visitados. Em seguida, ele pode enviar anúncios pop-ups relacionados a esses sites.
Scareware
Inclui software fraudulento que usa engenharia social para chocar ou induzir ansiedade criando a percepção de uma ameaça. Ele geralmente é direcionado a um usuário desavisado e tenta persuadir o usuário a infectar um computador, tomando medidas para resolver a ameaça falsa.
Phishing
Tenta convencer as pessoas a divulgar informações confidenciais. Exemplos incluem o recebimento de um e-mail do banco solicitando que os usuários divulguem suas contas e números PIN.
Rootkits
Instalado em um sistema comprometido. Depois de ser instalado, ele continua a ocultar sua intrusão e fornecer acesso privilegiado ao ator da ameaça.
Os computadores infectados com malware geralmente apresentam um ou mais dos seguintes sintomas:
Aparência de arquivos, programas ou ícones da área de trabalho estranhos
Programas antivírus e de firewall estão desativando ou reconfigurando configurações.
A tela do computador está congelando ou o sistema está travando.
E-mails são enviados espontaneamente sem o seu conhecimento para a sua lista de contatos.
Os arquivos foram modificados ou excluídos.
Maior uso da CPU e/ou da memória.
Problemas de conexão a redes.
Velocidade lenta do computador ou do navegador da Web
Processos ou serviços desconhecidos em execução.
Portas TCP ou UDP desconhecidas abertas.
Conexões são feitas para hosts na Internet sem ação do usuário.
Comportamento estranho do computador.
O que o Ataques de Acesso incluem?
Ataques de senha, Ataques de falsificação (spoofing), Exploração de confiança, Redirecionamento de porta, Ataque man in the middle e Ataque de saturação do buffer.
Informações sobre técnicas de engenharia social
Pretexting
Um ator de ameaça finge precisar de dados pessoais ou financeiros para confirmar a identidade do destinatário.
Phishing
Um agente de ameaças envia e-mails fraudulentos, disfarçados de fontes legítimas e confiáveis, para induzir o destinatário a instalar malware em seu dispositivo ou compartilhar informações pessoais ou financeiras.
Spear phishing
Um agente de ameaça cria um ataque de phishing direcionado, personalizado para um indivíduo ou organização específico.
Spam
Também conhecido como lixo eletrônico, este é um e-mail não solicitado que geralmente contém links prejudiciais, malware ou conteúdo enganoso.
Algo por Algo
Às vezes chamado de Algo por algo, é quando um ator da ameaça solicita informações pessoais de uma parte em troca de algo como um presente.
Iscas
Um agente de ameaça deixa uma unidade flash infectada por malware em um local público. Uma vítima encontra a unidade e a insere inconscientemente em seu laptop, instalando involuntariamente malware.
Representação
Nesse tipo de ataque, um ator de ameaça finge ser outra pessoa para ganhar a confiança da vítima.
Tailgating
É aqui que um agente de ameaças segue rapidamente uma pessoa autorizada para um local seguro para obter acesso a uma área segura.
Navegação bisbilhoteira
É aqui que o agente de ameaça olha discretamente por cima do ombro de alguém para roubar suas senhas ou outras informações.
Busca de informações na lixeira
É aqui que um ator de ameaças vasculha latas de lixo para descobrir documentos confidenciais.
Como funciona o DoS?
Os ataques de DoS são um grande risco, porque interrompem a comunicação e causam perda significativa de tempo e dinheiro. Esses ataques são relativamente simples de conduzir, mesmo por um invasor não capacitado.
Como funciona o DDos?
Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de negação de serviço (DoS), porém é originado por várias fontes coordenadas. Por exemplo, um agente de ameaça cria uma rede de hosts infectados, conhecidos como zumbis. O agente de ameaças usa um sistema de comando e controle (CnC) para enviar mensagens de controle aos zumbis. Os zumbis constantemente examinam e infectam mais hosts com malware bot. O malware bot é projetado para infectar um host, tornando-o um zumbi que pode se comunicar com o sistema CnC. Um grupo de zumbis é chamada de botnet. Quando pronto, o agente de ameaça instrui o sistema CnC a fazer com que o botnet de zumbis execute um ataque DDoS.
