Domain 1.0 – Threats, Attacks, and Vulnerabilities
1.6 Explain the security concerns associated with various types of vulnerabilities.
Domain 2.0 – Architecture and Design
2.1 Explain the importance of security concepts in an enterprise environment
Domain 5.0 – Governance, Risk, and Compliance
5.1 Compare and contrast various types of controls
Imagem gerada por Feng My Shui
Triad CIA e DAD
O CIA é o acrônimo para:
-
Confidentiality: Garantia de que indivíduos não autorizados não tenham acesso às informações. Ainda que tenham acesso a documentos e sistemas, não devem ser capazes de “ler os dados”. Firewalls, ACL e criptografia são usados para garantir a confidencialidade.
-
Integrity: Garantia de que alterações não autorizadas (intencionais ou não) não sejam feitas à informações e sistemas. Hashing é uma forma de garantir a integridade.
-
Availability: Garantia de que as informações e sistemas estarão disponíveis para os usuários legítimos sempre que eles precisarem. Clusters e backups são ferramentas para garantir a disponibilidade.
Já o DAD significa:
-
Disclosure: Quando informações sensíveis ficam disponíveis para indivíduos não autorizados (data loss).
-
Alteration: Modificação não autorizada de informação (violação da integridade). Digitação errada, oscilação de energia, e ataques podem causar alterações.
-
Denial: Impedimento de usuários autorizados acessarem determinada informação/sistema. Pode ser intencional (ataque DDoS), acidental, como falha de um servidor, ou acidente natural, por exemplo.
CIA e DAD são ferramentas úteis para o planejamento de cyber segurança e a análise de risco.
Security Incidents
Ocorrem quando uma organização tem uma brecha na Confidencialidade, Integridade ou Disponibilidade.
Podem ser resultados de um ataque, mal uso por parte de um funcionário, ou mesmo de um desastre natural.
Breach Impact
O impacto de um incidente de segurança pode variar, dependendo da natureza do incidente e do tipo de organização afetada.
Normalmente um risco vai atingir mais de uma categoria, e o potencial impacto pode ser categorizado em:
-
Financial Risk: Risco de prejuízo financeiro, que pode ser direto (reconstruir um DC que foi fisicamente destruído), ou custo de contratar um especialista para ajudar na análise do incidente. Ou indireto, como perder dados de um novo produto que seria lançado.
-
Reputation Risk: Ocorre quando há publicidade negativa, relacionada a brecha de segurança.
-
Strategic Risk: Quando a organização torna-se menos efetiva em atingir suas metas e objetivos, como resultado de uma brecha. Por exemplo perder dados sobre um produto que seria lançado, e não ter cópia do projeto. Isso causaria atraso no lançamento e as informações ainda poderiam cair nas mãos de concorrentes.
-
Operational Risk: O risco da organização não conseguir manter suas atividades do dia-a-dia. Não conseguir pagar funcionários, ou atrasar entregas, são exemplos de risco operacional.
-
Compliance Risk: Quando uma brecha faz a organização deixar de cumprir os requisitos regulatórios. Por exemplo, se um hospital perde dados de pacientes, ele não está cumprindo o HIPAA (Health Insurance Portability and Accountability Act) e PHI (Protected Health Information), e fica sujeito a punição dos órgãos reguladores.
Implementing Security Controls and Security Control Types
Security Controls são medidas específicas que atendem aos objetivos de segurança de uma organização, e são categorizados em:
-
Technical Controls: Garantem a confidencialidade, integridade e disponibilidade. Exemplos: Regras de firewalls, IPS, criptografia de dados, catraca e controle de acesso biométrico.
-
Operational Controls: Processos utilizados para gerenciar a tecnologia de maneira segura. Inclui: Avaliação dos direitos dos usuários, monitoramento de logs e gerenciamento de vulnerabilidades.
-
Managerial Controls: Mecanismos que focam no processo de gerenciamento de riscos. Por exemplo, Security Planning Exercises, Risk Assessments periódicos.
Os controles são divididos em tipos, baseados no efeito desejado.
-
Preventive: Tem a intenção de evitar um problema de segurança, antes dele acontecer. Ex. Firewalls, e criptografia.
-
Detective: Identificam eventos de segurança que já ocorreram. IDS e SIEM são exemplos.
-
Corrective: Controles que remediam um problema de segurança que já ocorreu. Restaurar o backup, depois de um ataque de ransomware, por exemplo.
-
Deterrent: Tem o objetivo de desestimular um ataque (cachorros e cercas, por exemplo).
-
Physical: Controles que impactam no mundo físico, como muros, alarmes e câmeras de segurança.
-
Compensating: Controles associados à mitigação dos riscos, considerando que a política de segurança pode ser “vazada”. Por exemplo, a organização precisa utilizar um servidor com SO desatualizado, por conta de uma aplicação específica. O servidor pode ser colocado em uma rede isolada, ter EDR e estar protegido por outros mecanismos. Estas seriam medidas de compensação.
Data Encryption
A criptografia utiliza algoritmos matemáticos para proteger informações, quando em trânsito ou armazenadas.
O dado criptografado só pode ser lido por quem tem acesso a chave de descriptografia.
DLP
Sistemas DLP-Data Loss Prevention, ajudam as organizações forçando as políticas de segurança, e assim prevenindo perda/roubo de dados. Podem bloquear a transmissão/acesso, gerar alertas ou criptografar os dados automaticamente.
-
Host-Based DLP: Usa agente instalado no host para garantir o controle dos dados.
-
Network-Based DLP: Fica na rede e monitoram o tráfego de saída, identificando dados sensíveis não criptografados.
Sistemas DLP tem dois mecanismos de ações:
-
Pattern Matching: Monitora sinais de informações sensíveis (número de cartão de crédito ou de seguro social, por exemplo).
-
Watermarking: Baseado em tags que o administrador aplicou aos documentos. Usado, por exemplo, em soluções DRM (Digital Rights Management).
Data Minimization
Técnica que busca diminuir a quantidade de dados sensíveis armazenados/transferidos. A melhor forma de alcançar a minimização, é destruindo dados quando eles não são mais necessários.
Se não for possível apagar, pode-se remover informações que liguem os dados a um indivíduo (de-identifying).
Outra opção é a ofuscação, onde a informação original torna-se inacessível.
-
Hashing: Usa uma função hash para transformar o dado em um hash correspondente. Não é possível obter o valor original a partir do hash. No entanto, se alguém tiver uma lista de possíveis valores para um campo, é possível fazer um ataque Rainbow Table. Neste caso o atacante pode gerar os hashes dos possíveis valores e verificar se ele existe na tabela de hashes.
-
Tokenization: Substitui informações sensíveis por um identificador único, usando uma “lookup table”. A tabela precisa estar segura.
-
Masking: Redigir as informações sensíveis, substituindo partes com caracteres em branco/especiais (substituir os últimos dígitos do cartão de crédito por *, por exemplo).
Até a próxima.
Muito bom, só colocaria o alarme da parte do Deterrent.
Olá, Kelvin.
É uma opção.