Pular para conteúdo

Introdução a Controles de Segurança

Controles de segurança são contramedidas usadas para lidar com falhas e ataques contra a segurança do sistema e da empresa (https://www.ibm.com/topics/security-controls).

Os controles de segurança dificilmente previnem todas as ameaças de um sistema.

Um controle normalmente é referente a previnir ou mitigar uma ou algumas estratégias ou motivações. Diferentes grupos de ataque tem diferente motivações e estratégias, logo é indicado ter múltiplos controles de segurança. Nesse ponto, há a introdução do conceito de Defesa em Profundidade, que visa proteger o sistema em diferentes pontos dele através de múltiplas camadas e formas de defesa.

De quem estamos nos defendendo?

Uma introdução às categorias de atacantes/atores maliciosos e suas estratégias. Esse não é o foc desse módilo e só serve para dar um contexto

  • Script Kiddies: iniciantes em atividades hacker que normalmente utilizam scripts prontos postados na internet para atacar. Não costumam ter tanta motivação quanto os outros tipos de atores.
  • Hacktivistas: motivados por algum tipo de causa.
  • Crime Organizado: grupo sofitiscado com recursos para realizar ataques mais personalizados. Seus objetivos normalmente permeam ganho financeiro.
  • Advanced Persistant Threats (APTs): grupos organizados e normalmente patrocinados por nações. Eles sãõ diferentes dos grupos de crime organizados comuns por terem mais recursos disponíveis e serem ainda mais sofisticados. Seus objetivos podem ser os mesmos dos crimes organizados, mas também podem permear objetivos políticos, como atrapalhar algum evento político, espionagem, fraudar algum processo estatal, etc.
  • Insiders: ator malicioso que atua dentro da empresa. Suas motivações podem ser variadas, como vingança à empresa, espionagem, ganho financeiro individual, etc.
  • Competidores (de negócios): nem sempre são uma ameaça cibernética, mas podem atuar como uma ao plantar informações falsas, espionagem, etc.

Categorias de Controles de Segurança

  • Administrativo/Gerencial: padrões, políticas, processos, gerenciamento de riscos, controles regulatórios, etc.
  • Operacional/Técnico: Antivirus(AV), proteção de endpoint, controle de acesso, etc.
  • Físico: trancas, câmeras de vigilância, guardas, etc.

É interessante como ameaças cibernéticas usam estratégias parecidas com a segurança física.

NOTA: conceitos utilizados pela COMPTIA Sec+. Outras certificações usam outros termos para descrever essas categorias.

Tipos de Controles de Segurança

  • Dissuasivas/desencorajadoras: desencoraja pessoas de realizarem ações perigosas. Exemplos: avisos de monitoramento, placas de perigo, etc
  • Preventivas: impede que pessoas realizem ações perigosas. Exemplos: guardas, antivirus, etc
  • Detectoras: detecta ações perigosas e inicia algum tipo de ação a partir disso. Exemplos: detector de movimento com alarme, alerta, coletor de logs, etc.
  • Corretivas / Regeneradoras: controles usados para fazer um sistema voltar ao normal ou recuperar informações perdidas. Exemplos: backups, atualizar antivirus, instalar patches, etc.
  • Compensatórias: controles que contemplam alternativas seguras para outros controles em que há alguma dificuldade de implementação. Exemplos: possibilitar guardas ao invés de um sistema robusto de controle de acesso de entradas de um prédio.