Segurança De Computadores

O campo está crescendo em importância devido à crescente dependência de sistemas de computadores, internet e redes sem fio, como Bluetooth e Wi-Fi, e devido ao crescimento de dispositivos "inteligentes", incluindo smartphones, televisores e vários dispositivos pequenos que constituem a internet das coisas. Devido à sua complexidade, tanto em termos de política quanto de tecnologia, é também um dos maiores desafios do mundo contemporâneo.

 Ver artigo principal: Vulnerabilidade (computação)

Uma vulnerabilidade é um ponto fraco no design, implementação, operação ou controle interno. A maioria das vulnerabilidades descobertas está documentada no banco de dados Common Vulnerabilities and Exposures (CVE). Uma vulnerabilidade explorável é aquela para a qual existe pelo menos um ataque funcional ou "exploit". Vulnerabilidades podem ser pesquisadas, submetidas a engenharia reversa, caçadas ou exploradas usando ferramentas automatizadas ou scripts personalizados. Para proteger um sistema de computador, é importante entender os ataques que podem ser feitos contra ele, e essas ameaças podem normalmente ser classificadas em uma das categorias abaixo:

Backdoor

Uma backdoor em um sistema de computador, um sistema criptográfico ou um algoritmo, é qualquer método secreto de contornar a autenticação normal ou os controles de segurança. Eles podem existir por uma série de razões, incluindo pelo design original ou configuração inadequada. Eles podem ter sido adicionados por uma parte autorizada para permitir algum acesso legítimo ou por um invasor por motivos maliciosos; mas, independentemente dos motivos de sua existência, eles criam uma vulnerabilidade. Backdoors podem ser muito difíceis de detectar, e a detecção de backdoors geralmente é feita por alguém que tem acesso ao código-fonte do aplicativo ou conhecimento íntimo do Sistema Operacional do computador.

Ataque de negação de serviço

Ataques de negação de serviço (DoS) são projetados para tornar uma máquina ou recurso de rede indisponível para seus usuários pretendidos. Os invasores podem negar o serviço a vítimas individuais, por exemplo, digitando deliberadamente uma senha errada várias vezes consecutivas para fazer com que a conta da vítima seja bloqueada ou eles podem sobrecarregar os recursos de uma máquina ou rede e bloquear todos os usuários de uma vez. Embora um ataque à rede de um único endereço IP possa ser bloqueado com a adição de uma nova regra de firewall, muitas formas de ataques negação de serviço distribuída (DDoS) são possíveis, onde o ataque vem de um grande número de pontos - e a defesa é muito mais difícil. Esses ataques podem se originar dos computadores zumbis de um botnet ou de uma série de outras técnicas possíveis, incluindo ataques de reflexão e amplificação, onde sistemas inocentes são enganados para enviar tráfego para a vítima.

Ataques de acesso direto

Um usuário não autorizado que obtém acesso físico a um computador provavelmente é capaz de copiar dados diretamente dele. Eles também podem comprometer a segurança fazendo modificações no sistema operacional, instalando software worms, keyloggers, dispositivos de escuta ou usando microfone sem fio. Mesmo quando o sistema está protegido por medidas de segurança padrão, elas podem ser contornadas inicializando outro sistema operacional ou ferramenta de um CD-ROM ou outra mídia inicializável. Criptografia de disco e o padrão Trusted Platform Module são projetados para evitar esses ataques.

Eavesdropping

Eavesdropping é o ato de escutar sorrateiramente uma "conversa" (comunicação) de um computador privado, normalmente entre hosts em uma rede. Por exemplo, programas como Carnivore e NarusInSight foram usados pelo FBI e Agência de Segurança Nacional (NSA) para espionar os sistemas de provedores de serviço internet. Mesmo as máquinas que operam como um sistema fechado (ou seja, sem contato com o mundo externo) podem ser espionadas por meio do monitoramento das fracas transmissões eletromagnéticas geradas pelo hardware; TEMPEST é uma especificação da Agência de Segurança Nacional (NSA) referente a esses ataques.

O comportamento dos funcionários pode ter um grande impacto na segurança da informação nas organizações. Conceitos culturais podem ajudar diferentes segmentos da organização a trabalhar com ou contra a eficácia em relação à segurança da informação dentro de uma organização. A prática de segurança da informação é a "... totalidade de padrões de comportamento em uma organização que contribui para a proteção de todos os tipos de informações."

Andersson e Reimers (2014) descobriram que os funcionários muitas vezes não se veem como participantes do esforço de manter a segurança da informação de sua organização e acabam muitas vezes por tomar medidas que impedem mudanças organizacionais. A pesquisa mostra que a cultura de segurança da informação precisa ser continuamente aprimorada. Em ″Cultura de Segurança da Informação: da Análise à Mudança″, os autores comentaram: ″É um processo sem fim, um ciclo de avaliação e mudança ou manutenção″. Para gerenciar a prática de segurança da informação, cinco etapas devem ser realizadas: pré-avaliação, planejamento estratégico, planejamento operacional, implementação e pós-avaliação.

• Pré-Avaliação: para identificar o nível de consciência acerca da segurança da informação entre os funcionários e para analisar a política de segurança em vigor.
• Planejamento Estratégico: para chegar a um melhor programa de conscientização, metas claras precisam ser definidas. Montar uma equipe de profissionais qualificados é essencial para alcançá-lo.
• Planejamento Operacional: uma boa prática de segurança pode ser estabelecida com base na comunicação interna, na aceitação da administração e na conscientização sobre segurança, assim como um programa de treinamento.
• Implementação: quatro etapas devem ser utilizadas para implementar a prática da segurança da informação. Elas são:

1. Compromisso da gestão
2. Comunicação entre os membros da organização
3. Cursos para todos os membros da organização
4. Compromisso dos funcionários

• Pós-Avaliação: para avaliar o sucesso do planejamento e da implementação, e também para identificar possíveis questões pendentes.

O crescimento no número de sistemas computacionais e a crescente dependência dos indivíduos, empresas, indústrias e governos neles mostra que há um número crescente de sistemas em risco.

Sistemas financeiros

Os sistemas computacionais de reguladores e instituições financeiras como a Comissão de Valores Mobiliários (Estados Unidos), SWIFT, bancos de investimento e bancos comerciais são alvos proeminentes de hackers interessados ​​em manipular mercados e obter ganhos ilícitos. Sites e aplicativos que aceitam ou armazenam números de cartão de crédito, contas de corretagem e informações de conta-corrente também são alvos proeminentes de hackers, por causa do potencial de ganho financeiro imediato com transferência de dinheiro, compra ou venda de informações no mercado negro . Sistemas de pagamento na própria loja e caixas eletrônicos também podem ser adulterados com o intuito de coletar dados da conta do cliente e PINs.

Utilitários e equipamentos industriais

Computadores controlam funções em níveis diversificados, tais como a coordenação de telecomunicações, a rede elétrica, usinas nucleares e abertura e fechamento de válvulas em redes de água e gás. A Internet é um vetor de um possível ataque à essas máquinas ( se conectadas ), mas o worm Stuxnet demonstrou que até mesmo equipamentos controlados por computadores não conectados à Internet podem ser vulneráveis. Em 2014, o CSIRT, uma divisão do Departamento de Segurança Interna dos Estados Unidos, investigou 79 incidentes de hackers em empresas de energia. Vulnerabilidades em medidores inteligentes (muitos dos quais usam ondas de rádio local ou comunicação celular) podem causar problemas com fraude de faturamento. ^{[carece de fontes?]}

Aviação

A indústria de aviação depende muito de uma série de sistemas complexos que podem ser atacados. Uma simples queda de energia em um aeroporto pode causar repercussões em todo o mundo , grande parte do sistema depende de transmissões de rádio que podem ser interrompidas, sem contar que controlar aeronaves sobre os oceanos é especialmente perigoso considerando o fato de que a vigilância por radar estende-se apenas por volta de 175 a 225 milhas da costa. Também há potencial para ataques vindos de dentro de uma aeronave.

Na Europa, com o serviço de rede europeu e NewPENS, e nos EUA com o programa NextGen, provedores de serviços de navegação aérea estão se movimentando para criar suas próprias redes dedicadas.

As consequências de um ataque bem-sucedido variam desde a perda de confidencialidade à perda de integridade do sistema, interrupções no controle de tráfego aéreo, perda de aeronaves e até mesmo perda de vidas.

Dispositivos do consumidor

Computadores desktops e laptops são comumente usados ​​para coletar senhas ou informações de contas financeiras ou para construir um botnet para atacar outro alvo. Smartphones, tablets, relógios inteligentes e outros dispositivos móveis com rastreadores de atividades possuem sensores como câmeras, microfones, receptores GPS, bússolas e acelerômetros que podem ser explorados de forma a coletar informações pessoais, incluindo informações confidenciais de saúde. Redes WiFi, Bluetooth e de telefone celular em qualquer um desses dispositivos podem ser usados como vetores de ataque, e os sensores podem ser ativados remotamente após uma violação bem-sucedida.

O número crescente de dispositivos de automação residencial, como o termostato inteligente Nest, também são alvos potenciais.

Grandes corporações

Grandes corporações são alvos comuns. Em muitos casos, os ataques visam obter ganhos financeiros por meio de roubo de identidade e envolvem violação de dados. Exemplos incluem a perda dos dados de cartão de crédito de milhões de clientes de lojas como Home Depot, Staples, Target, e a violação mais recente do Equifax.

Automóveis

 Ver artigos principais: Veículo Autônomo, en: Automated driving system e en: Automotive hacking

Os veículos estão cada vez mais informatizados, com cronometragem do motor, cruise control, freios ABS, tensionadores de cintos de segurança, travas de portas, airbags e sistemas avançados de assistência ao motorista em diversos modelos. Além disso, carros conectados podem usar WiFi e Bluetooth para se comunicar com dispositivos a bordo e com a rede de telefonia celular. Espera-se que os carros autônomos sejam ainda mais complexos. Todos esses sistemas apresentam algum risco de segurança, e esses problemas têm recebido grande atenção.

Exemplos simples de riscos incluem um CD malicioso usado como vetor de ataque, assim como os microfones de bordo do carro sendo usados para espionagem. No entanto, se for obtido acesso à área de rede do controlador interna de um carro, o perigo é muito maior - outro exemplo foi um teste amplamente divulgado em 2015, onde os hackers roubaram remotamente um veículo a 16 quilômetros de distância e o levaram para uma vala.

Quanto a isso, os fabricantes estão reagindo de várias maneiras, como por exemplo a Tesla em 2016 implementando algumas correções de segurança "pelo ar" nos sistemas de computador de seus carros. Na área de veículos autônomos, em setembro de 2016, o Departamento dos Transportes dos Estados Unidos anunciou alguns padrões de segurança iniciais e pediu que seus estados elaborassem políticas uniformes.

Governo

O governo e os sistemas de computador militares são comumente atacados por ativistas e potências estrangeiras. Infraestrutura do governo local e regional, como controles de semáforo, comunicações da polícia e da agência de inteligência, violação de dados do Escritório de Gestão de Pessoal | registros de pessoal, registros de alunos, e os sistemas financeiros também são alvos potenciais, uma vez que agora estão amplamente informatizados. Passaportes e documentos de identidade governamentais que controlam o acesso a instalações que usam RFID podem ser vulneráveis a clonagem.

Internet das coisas e vulnerabilidades físicas

A Internet das coisas (IoT) é a rede de objetos físicos, como dispositivos, veículos e edifícios que são incorporados com eletrônicos, softwares, sensores e acesso à Internet, o que lhes permite coletar e trocar dados - onde preocupações/questões foram levantadas de que isso está sendo desenvolvido sem a consideração apropriada dos desafios de segurança envolvidos.

Embora a Internet das Coisas(IoT) crie oportunidades para uma integração mais direta do mundo físico em sistemas baseados em computador, também oferece oportunidades para uso indevido. Em particular, como a Internet das Coisas se espalha amplamente, os ataques cibernéticos tendem a se tornar uma ameaça cada vez mais física (em vez de simplesmente virtual). Se a fechadura de uma porta da frente estiver conectada à Internet e puder ser bloqueada/desbloqueada a partir de um telefone, um criminoso pode entrar na casa pressionando um botão de um telefone roubado ou hackeado. As pessoas podem perder muito mais do que seus números de cartão de crédito em um mundo controlado por dispositivos habilitados para IoT. Ladrões já chegaram a usar meios eletrônicos para contornar as fechaduras de portas de hotéis não conectadas à Internet.

Um ataque que visa infra-estrutura física e / ou vidas humanas é às vezes referido como um ataque cibercinético. À medida que os dispositivos e dispositivos IoT ganham popularidade, os ataques cibercinéticos podem se tornar generalizados e significativamente prejudiciais.

Sistemas médicos

 Ver artigos principais: en: Medical device hijack e en: Medical data breach

Dispositivos médicos foram atacados com sucesso ou tiveram vulnerabilidades potencialmente mortais demonstradas, incluindo ambos os equipamentos de diagnóstico hospitalar e dispositivos implantados incluindo marcapassos e bombas de insulina. Existem muitos relatos de hospitais e organizações hospitalares sendo hackeados, incluindo ataques de ransomware, Windows XP exploits, viruses, e violação de dados confidenciais armazenados em servidores de hospitais. Em 28 de dezembro de 2016, os FDA dos EUA divulgaram suas recomendações sobre como os fabricantes de dispositivos médicos devem manter a segurança dos dispositivos conectados à Internet - mas nenhuma estrutura para fiscalização.

Setor de energia

Em sistemas de geração distribuída, o risco de um ataque cibernético é real, de acordo com o Daily Energy Insider . Um ataque pode causar perda de energia em uma grande área por um longo período de tempo e pode ter consequências tão graves quanto um desastre natural. O Distrito de Columbia está considerando a criação de uma Autoridade de Recursos de Energia Distribuída (DER) dentro da cidade, com o objetivo de que os clientes tenham mais informações sobre seu próprio uso de energia e dando à empresa de eletricidade local, Pepco, a chance de estimar melhor a demanda de energia. A proposta da DC, no entanto, "permitiria que fornecedores terceirizados criassem vários pontos de distribuição de energia, o que poderia criar mais oportunidades para os ciberataques ameaçarem a rede elétrica."

Sérios danos financeiros foram causados por violações de segurança, mas como não existe um modelo padrão para estimar o custo de um incidente, os únicos dados disponíveis são aqueles tornados públicos pelas organizações envolvidas. "Diversas empresas de consultoria de segurança de computador produzem estimativas de perdas mundiais totais atribuíveis a ataques de vírus e worm e a atos digitais hostis em geral. As estimativas de perda de 2003 por essas empresas variam de US$13 bilhões (worms e vírus apenas) a US$226 bilhões (para todas as formas de ataques secretos). A confiabilidade dessas estimativas é frequentemente questionada; a metodologia subjacente é basicamente anedótica." Security breaches continue to cost businesses billions of dollars but a survey revealed that 66% of security staffs do not believe senior leadership takes cyber precautions as a strategic priority.^{[carece de fontes?]}

No entanto, estimativas razoáveis do custo financeiro das violações de segurança podem realmente ajudar as organizações a tomar decisões racionais de investimento. De acordo com o clássico Modelo de Gordon-Loeb que analisa o nível ótimo de investimento em segurança da informação, pode-se concluir que o valor que uma empresa gasta para proteger as informações deve geralmente ser apenas uma pequena fração da perda esperada (ou seja, o valor esperado da perda resultante de umaviolação de segurança) cibernética.

Tal como acontece com a segurança física, as motivações para violações de segurança do computador variam entre os invasores. Alguns estão procurando emoção ou são só vândalos, alguns são ativistas, outros são criminosos em busca de ganhos financeiros. Os invasores patrocinados pelo estado agora são comuns e possuem bons recursos, mas começaram com amadores como Markus Hess que invadiu a KGB, conforme relatado por Clifford Stoll em Clifford Stoll .

Além disso, as motivações recentes dos invasores podem ser rastreadas até organizações extremistas que buscam obter vantagens políticas ou perturbar as agendas sociais. ^{[carece de fontes?]} O crescimento da Internet, tecnologias móveis e dispositivos de computação baratos levaram a um aumento das capacidades, mas também do risco para ambientes considerados vitais para as operações. Todos os ambientes visados críticos são suscetíveis a comprometimento e isso levou a uma série de estudos proativos sobre como migrar o risco, levando em consideração as motivações por esses tipos de atores. Existem várias diferenças gritantes entre a motivação de um estado-nação e de um hacker que buscam atacar com base em uma preferência ideológica.

Uma parte padrão do modelo de ameaça para qualquer sistema em particular é identificar o que pode motivar um ataque a esse sistema e quem pode estar motivado para violá-lo. O nível e os detalhes das precauções variam dependendo do sistema a ser protegido. Um computador pessoal doméstico, um banco e uma rede militar de informações confidenciais enfrentam ameaças muito diferentes, mesmo quando as tecnologias subjacentes em uso são semelhantes.

Se tratando da segurança de um computador, uma contramedida é uma ação, dispositivo, procedimento ou técnica que diminui uma ameaça, uma vulnerabilidade ou um ciberataque eliminando ou prevenindo-o, minimizando os danos que ele pode causar ou descobrindo e relatando-o para que ações corretivas possam ser tomadas.

Algumas contramedidas comuns estão listadas nas seções a seguir:

Segurança por design

 Ver artigo principal: en: Secure by design

Segurança por design, significa que o software foi projetado desde o início para ser seguro. Nesse caso, a segurança é considerada a principal característica.

Algumas das técnicas nesta abordagem incluem:

• O princípio de privilégios mínimos, onde cada parte do sistema possui apenas os privilégios necessários para sua função. Dessa forma, mesmo que um hacker obtenha acesso à essa parte, ele terá acesso limitado a todo o sistema.
• Prova automática de teoremas para provar a exatidão de subsistemas de software cruciais.
• Revisão de código e testes de unidade, abordagens para tornar os módulos mais seguros onde as provas formais de correção não são possíveis.
• Defesa em profundidade, onde o design é tal que mais de um subsistema precisa ser violado para comprometer a integridade do sistema e as informações que ele contém.
• Configurações padrão de segurança e design para uma "falha segura" em vez de "falha insegura" (consulte fail-safe para obter o equivalente em engenharia de segurança). Idealmente, um sistema seguro deve exigir uma decisão deliberada, consciente, bem informada e livre por parte das autoridades legítimas para torná-lo inseguro.
• Auditorias rastreando a atividade do sistema, de modo que, quando ocorrer uma violação de segurança, o mecanismo e a extensão da violação possam ser determinados. Armazenar trilhas de auditoria remotamente, onde elas só podem ser anexadas, pode impedir que invasores cubrem seus rastros.
• Divulgação total de todas as vulnerabilidades, para garantir que a " janela de vulnerabilidade" seja mantida o mais curta possível quando os bugs forem descobertos.

Arquitetura de segurança

A organização de Arquitetura de Segurança Aberta define a arquitetura de segurança de TI como "o design de artefatos que descrevem como os controles de segurança (contramedidas de segurança) são posicionados e como eles se relacionam com a arquitetura de tecnologia da informação. Esses controles têm como objetivo manter os atributos de qualidade do sistema: confidencialidade, integridade, disponibilidade, prestação de contas e serviços de garantia".

A Techopedia define a arquitetura de segurança como "um projeto de segurança unificado que atende às necessidades e riscos potenciais envolvidos em um determinado cenário ou ambiente. Também especifica quando e onde aplicar os controles de segurança. O processo de projeto é geralmente reproduzível." Os principais atributos da arquitetura de segurança são:

• a relação dos diferentes componentes e como eles dependem uns dos outros.
• a determinação de controles com base na avaliação de risco, boas práticas, finanças e questões legais.
• a padronização dos controles.

Aplicar a arquitetura de segurança fornece a base certa para abordar sistematicamente as questões de negócios, TI e segurança em uma organização.

Medidas de segurança

Um estado de "segurança" do computador é o ideal conceitual, alcançado pelo uso dos três processos: prevenção, detecção e resposta à ameaças. Esses processos são baseados em várias políticas e componentes do sistema, que incluem os seguintes componentes:

• Conta de usuário, controle de acesso e criptografia podem proteger arquivos de sistema e dados, respectivamente.

• Firewalls são de longe os sistemas de prevenção mais comuns do ponto de vista da segurança de rede, pois podem (se configurados corretamente) proteger o acesso aos serviços de rede internos e bloquear certos tipos de ataques por meio da filtragem de pacotes. Os firewalls podem ser baseados em hardware ou software.

• Sistema de detecção de intrusos (SDI) são produtos projetados para detectar ataques de rede em andamento e auxiliar na perícia [[[Ciência forense|forense]] pós-ataque, enquanto a trilha de auditoria e os logs têm uma função semelhante só que para sistemas individuais.

• Uma "Resposta" é necessariamente definida pelos requisitos de segurança avaliados de um sistema individual e pode abranger a faixa de simples atualização de proteções a notificação de autoridades legais, contra-ataques e similares. Em alguns casos especiais, a destruição completa do sistema comprometido é favorecida, pois pode acontecer que nem todos os recursos comprometidos sejam detectados.

Hoje, a segurança do computador compreende principalmente medidas "preventivas", como firewalls ou um procedimento de saída. Um firewall pode ser definido como uma forma de filtrar dados de rede entre um host ou uma rede e outra rede, como a Internet, e pode ser implementado como software em execução na máquina, conectando-se à pilha de rede (ou, no caso da maioria dos sistemas operacionais baseados em UNIX, como Linux, embutidos no sistema operacional kernel) para fornecer filtragem em tempo real e bloqueio. Outra implementação é o chamado "firewall físico", que consiste em uma máquina separada que filtra o tráfego de rede. Firewalls são comuns entre máquinas que estão permanentemente conectadas à Internet.

Algumas organizações estão se voltando para plataformas de big data, como Apache Hadoop, para estender a acessibilidade de dados e aprendizado de máquina para detectar ameaças persistentes avançadas.

No entanto, relativamente poucas organizações mantêm sistemas de computador com sistemas de detecção eficazes e menos organizações ainda têm mecanismos de resposta organizados em funcionamento. Como resultado, como aponta a Reuters: "As empresas pela primeira vez relatam que estão perdendo mais com o roubo eletrônico de dados do que com o roubo físico de ativos". O principal obstáculo para a erradicação efetiva do crime informático pode ser atribuído à dependência excessiva de firewalls e outros sistemas de "detecção" automatizados. No entanto, é a coleta de evidências básicas usando dispositivos de captura de pacotes que coloca os criminosos atrás das grades.^{[carece de fontes?]}

Para garantir a segurança adequada, a confidencialidade, integridade e disponibilidade de uma rede, mais conhecida como a tríade CIA, precisam ser protegidas e são consideradas a base para a segurança da informação. Para atingir esses objetivos, devem ser adotadas medidas administrativas, físicas e técnicas de segurança. A quantidade de segurança oferecida a um ativo só pode ser determinada quando seu valor é conhecido.

Gerenciamento de vulnerabilidades

 Ver artigo principal: en: Vulnerability management

O gerenciamento de vulnerabilidades é o ciclo de identificação e remediação ou mitigação de vulnerabilidades, especialmente em softwares e firmwares. O gerenciamento de vulnerabilidades é parte integrante da segurança do computador e da segurança da rede.

Vulnerabilidades podem ser descobertas com um scanner de vulnerabilidades, que analisa um sistema de computador em busca de vulnerabilidades conhecidas, como portas abertas, configuração de software insegura e suscetibilidade a malwares. Para que essas ferramentas sejam eficazes, elas devem ser mantidas atualizadas a cada nova atualização lançada pelos fornecedores. Normalmente, essas atualizações verificarão as novas vulnerabilidades introduzidas recentemente.

Além da varredura de vulnerabilidades, muitas organizações contratam auditores de segurança externos para executar testes regulares de intrusão em seus sistemas para identificar vulnerabilidades. Em alguns setores, esta é uma exigência contratual.

Reduzindo vulnerabilidades

Embora a verificação formal da correção dos sistemas de computador seja possível, ainda não é comum. Os sistemas operacionais verificados formalmente incluem L4, e SYSGO do PikeOS- mas constituem uma porcentagem muito pequena do mercado.

A autenticação de dois fatores é um método para mitigar o acesso não autorizado a um sistema ou informações confidenciais. Requer "algo que você conhece"; uma senha ou PIN e "algo que você tem"; um cartão, dongle, celular ou outra peça de hardware. Isso aumenta a segurança, pois uma pessoa não autorizada precisa de ambos para obter acesso.

Ataques de engenharia social e acesso direto ao computador (físico) só podem ser evitados por meios que não sejam de computador, o que pode ser difícil de aplicar, em relação à confidencialidade das informações. O treinamento é frequentemente envolvido para ajudar a mitigar esse risco, mas mesmo em ambientes altamente disciplinados (por exemplo, organizações militares), os ataques de engenharia social ainda podem ser difíceis de prever e prevenir.

A inoculação, derivada da teoria da inoculação, visa prevenir a engenharia social e outros truques ou armadilhas fraudulentas, instilando uma resistência às tentativas de persuasão por meio da exposição a tentativas semelhantes ou relacionadas.

É possível reduzir as chances de um invasor mantendo os sistemas atualizados com patches e atualizações de segurança, usando um scanner de segurançaPredefinição:Definition needed e / ou contratação de pessoas com experiência em segurança, embora nenhuma delas garanta a prevenção de um ataque. Os efeitos da perda / dano de dados podem ser reduzidos com backups e seguros cuidadosos.

Mecanismos de proteção de hardware

Embora o hardware possa ser uma fonte de insegurança, como vulnerabilidades de microchips introduzidos maliciosamente durante o processo de fabricação, a segurança de computador baseada em hardware ou assistida também oferece uma alternativa à segurança de computador somente por software. O uso de dispositivos e métodos como dongles, módulo de plataformas confiáveis, casos de detecção de intrusão, bloqueios de unidade, desativação de portas USB e acesso habilitado para celular pode ser considerado mais seguro devido ao acesso físico ( ou um backdoor sofisticado) necessário para ser comprometido. Cada um deles é abordado com mais detalhes abaixo:

• Dongles USB são normalmente usados em esquemas de licenciamento de software para desbloquear recursos de software, ^{[carece de fontes?]}, mas também podem ser vistos como uma forma de prevenir o acesso não autorizado a um computador ou outro dispositivo Programas. O dongle, ou chave, cria essencialmente um túnel criptografado seguro entre o aplicativo de software e a chave. O princípio é que um esquema de criptografia no dongle, como Advanced Encryption Standard (AES) fornece uma medida de segurança mais forte, pois é mais difícil hackear e replicar o dongle do que simplesmente copiar o software nativo para outra máquina e use-o. Outro aplicativo de segurança para dongles é usá-los para acessar conteúdo baseado na web, como software em nuvem ou uma rede privada virtual (VPNs). Além disso, um dongle USB pode ser configurado para bloquear ou desbloquear um computador.

• Módulo de plataformas confiáveis (TPMs) protegem os dispositivos integrando recursos criptográficos em dispositivos de acesso, por meio do uso de microprocessadores, ou os chamados computadores-em-um-chip. Os TPMs usados em conjunto com o software do lado do servidor oferecem uma maneira de detectar e autenticar dispositivos de hardware, evitando acesso não autorizado à rede e aos dados.

• Detecção de intrusão do gabinete do computador refere-se a um dispositivo, normalmente um botão de pressão, que detecta quando um gabinete do computador é aberto. O firmware ou BIOS é programado para mostrar um alerta ao operador quando o computador for inicializado na próxima vez.

• Os bloqueios de unidade são essencialmente ferramentas de software para criptografar discos rígidos, tornando-os inacessíveis aos ladrões. Existem ferramentas específicas para criptografar unidades externas também.

• Desativar as portas USB é uma opção de segurança para prevenir o acesso não autorizado e malicioso a um computador seguro. Os dongles USB infectados conectados a uma rede a partir de um computador dentro do firewall são considerados pela revista Network World como a ameaça de hardware mais comum enfrentada por redes de computadores.

• Desconectar ou desativar dispositivos periféricos (como câmera, GPS, armazenamento removível etc.), que não estão em uso.

• Dispositivos de acesso habilitados para celular estão crescendo em popularidade devido à natureza onipresente dos telefones celulares. Recursos integrados, como Bluetooth, o mais recente Bluetooth de baixa energia (BLE), Near field communication (NFC) em dispositivos não iOS e a validação biométrica, como como leitores de impressão digital, bem como software de leitura código QR projetado para dispositivos móveis, oferecem maneiras novas e seguras para telefones celulares se conectarem a sistemas de controle de acesso. Esses sistemas de controle fornecem segurança ao computador e também podem ser usados para controlar o acesso a edifícios seguros.

Sistemas operacionais seguros

 Ver artigo principal: en: Security-evaluated operating system

Um uso do termo "segurança de computador" refere-se à tecnologia usada para implementar sistemas operacionais seguros. Na década de 1980, o Departamento de Defesa dos Estados Unidos (DoD) usou os padrões dos "Orange Books", mas o atual padrão internacional ISO / IEC 15408, "Critérios Comuns" (CC), define um número de níveis de garantia de avaliação progressivamente mais rigorosos. Muitos sistemas operacionais comuns atendem ao padrão EAL4 de "Projetado, Testado e Revisado Metodicamente", mas a verificação formal exigida para os níveis mais altos significa que eles são incomuns. Um exemplo de um sistema EAL6 ("Semiformally Verified Design and Tested") é Integrity-178B, que é usado no Airbus A380 e em vários jatos militares.

Programação segura

 Ver artigo principal: en: Secure coding

Na engenharia de software, a codificação segura visa proteger contra a introdução acidental de vulnerabilidades de segurança. Também é possível criar software projetado desde o início para ser seguro. Esses sistemas são "seguros por design". Além disso, a verificação formal visa provar a corretude (lógica) dos algoritmos subjacentes a um sistema; importante para protocolos criptográficos, por exemplo.

Listas de capacidades e de controle de acesso

 Ver artigos principais: en: Access control list, en: Role-based access control e en: Capability-based security

Dentro dos sistemas de computador, dois dos principais modelos de segurança capazes de impor a separação de privilégios são lista de controle de acessos (ACLs) e controle de acesso baseado em funções (RBAC).

Uma lista de controle de acesso (ACL), com relação a um sistema de arquivos de computador, é uma lista de permissões associadas a um objeto. Uma ACL especifica quais usuários ou processos do sistema têm acesso concedido aos objetos, bem como quais operações são permitidas em determinados objetos.

O controle de acesso baseado em função é uma abordagem para restringir o acesso do sistema a usuários autorizados, usado pela maioria das empresas com mais de 500 funcionários, e pode implementar controle de acesso obrigatório (MAC) ou controle de acesso discricionário (DAC).

Uma abordagem adicional, segurança baseada em capacidade foi principalmente restrita a sistemas operacionais de pesquisa. Os recursos podem, entretanto, também ser implementados no nível da linguagem, levando a um estilo de programação que é essencialmente um refinamento do design orientado a objetos padrão. Um projeto de código aberto na área é a linguagem E.

Treinamento de segurança do usuário final

O usuário final é amplamente reconhecido como o elo mais fraco na cadeia de segurança e estima-se que mais de 90% dos incidentes e violações de segurança envolvem algum tipo de erro humano. Entre as formas de erros e erros de julgamento mais comumente registradas estão o gerenciamento incorreto de senhas, o envio de e-mails contendo dados confidenciais e anexos para o destinatário errado, a incapacidade de reconhecer URLs enganosos e de identificar sites falsos e anexos de e-mail perigosos. Um erro comum que os usuários cometem é salvar sua ID de usuário / senha em seus navegadores para facilitar o login em sites de bancos. Este é um presente para invasores que obtiveram acesso a uma máquina por algum meio. O risco pode ser mitigado pelo uso de autenticação de dois fatores.

Como o componente humano do risco cibernético é particularmente relevante na determinação do risco cibernético global que uma organização enfrenta, o treinamento de conscientização de segurança, em todos os níveis, não apenas fornece conformidade formal com os mandatos regulamentares e do setor, mas é considerado essencial na redução do risco cibernético e na proteção de indivíduos e empresas contra a grande maioria das ameaças cibernéticas.

O foco no usuário final representa uma profunda mudança cultural para muitos profissionais de segurança, que tradicionalmente abordam a segurança cibernética exclusivamente de uma perspectiva técnica e seguem as linhas sugeridas pelos principais centros de segurança s to develop a culture of cyber awareness within the organization, recognizing that a security-aware user provides an important line of defense against cyber attacks.

Higiene digital

Relacionado ao treinamento do usuário final, 'higiene digital' ou 'higiene cibernética' é um princípio fundamental relacionado a segurança da informação e, como mostra a analogia com higiene pessoal, é o equivalente a estabelecer medidas simples de rotina para minimizar os riscos das ameaças cibernéticas. A suposição é que boas práticas de higiene cibernética podem dar aos usuários da rede outra camada de proteção, reduzindo o risco de um nó vulnerável ser usado para montar ataques ou comprometer outro nó ou rede, especialmente de ataques cibernéticos comuns.

Ao contrário de uma defesa puramente baseada em tecnologia contra ameaças, a higiene cibernética envolve principalmente medidas de rotina que são tecnicamente simples de implementar e dependem principalmente de disciplina ou educação. Pode ser considerada uma lista abstrata de dicas ou medidas que demonstraram ter um efeito positivo na segurança digital pessoal e / ou coletiva. Como tal, essas medidas podem ser realizadas por leigos, não apenas especialistas em segurança.

A higiene cibernética está relacionada à higiene pessoal, assim como os vírus de computador estão relacionados a vírus biológicos (ou patógenos). No entanto, embora o termo vírus de computador tenha sido cunhado quase simultaneamente com a criação dos primeiros vírus de computador funcionais, o termo higiene cibernética é uma invenção muito posterior, talvez em 2000 pelo pioneiro da Internet Vint Cerf. Desde então, foi adotado pelo Congresso e pelo Senado dos Estados Unidos, the FBI, instituições da UE e chefes de estado.

A higiene cibernética também não deve ser confundida com a defesa cibernética proativa, um termo militar.

Resposta a violações

Responder às tentativas de violações de segurança costuma ser muito difícil por vários motivos, incluindo:

• Identificar invasores é difícil, pois eles podem operar por meio de proxies, contas dial-up anônimas temporárias, conexões sem fio e outros procedimentos de anonimato que tornam o rastreamento difícil - e geralmente estão localizados em outra jurisdição. Se eles violam a segurança com sucesso, eles também freqüentemente ganham acesso administrativo suficiente para permitir que excluam logs para cobrir seus rastros.
• O número absoluto de tentativas de ataque, geralmente por scanner de vulnerabilidades e worms automatizados, é tão grande que as organizações não podem perder tempo procurando por cada um.
• Policiaiss muitas vezes não têm as habilidades, interesse ou orçamento para perseguir os invasores. Além disso, a identificação de invasores em uma rede pode exigir logs de vários pontos da rede e em muitos países, o que pode ser difícil ou demorado para obter.

Onde um ataque é bem-sucedido e ocorre uma violação, muitas jurisdições já possuem leis de notificação de violação de segurança obrigatórias.

Tipos de segurança e privacidade

A resposta a incidentes é uma abordagem organizada para abordar e gerenciar as consequências de um incidente ou comprometimento da segurança do computador, com o objetivo de prevenir uma violação ou impedir um ataque cibernético. Um incidente que não é identificado e gerenciado no momento da intrusão geralmente se transforma em um evento mais prejudicial, como uma violação de dados ou falha do sistema. O resultado pretendido de um plano de resposta a incidentes de segurança de computador é limitar os danos e reduzir o tempo e os custos de recuperação. Responder a compromissos rapidamente pode mitigar vulnerabilidades exploradas, restaurar serviços e processos e minimizar perdas. ^{[carece de fontes?]} O planejamento de resposta a incidentes permite que uma organização estabeleça uma série de práticas recomendadas para impedir uma intrusão antes que ela cause danos. Os planos de resposta a incidentes típicos contêm um conjunto de instruções escritas que descrevem a resposta da organização a um ataque cibernético. Sem um plano documentado implementado, uma organização pode não detectar com sucesso uma intrusão ou comprometimento e as partes interessadas podem não entender suas funções, processos e procedimentos durante uma escalada, retardando a resposta e resolução da organização.

Existem quatro componentes principais de um plano de resposta a incidentes de segurança de computador:

1. 'Preparação' : Preparar as partes interessadas sobre os procedimentos para lidar com incidentes ou comprometimentos de segurança de computador
2. 'Detecção e Análise' : Identificar e investigar atividades suspeitas para confirmar um incidente de segurança, priorizando a resposta com base no impacto e coordenando a notificação do incidente
3. 'Contenção, erradicação e recuperação' : isolar os sistemas afetados para evitar a escalada e limitar o impacto, identificando a gênese do incidente, removendo malware, sistemas afetados e malfeitores do ambiente e restaurando sistemas e dados quando uma ameaça não mais permanece
4. 'Atividade pós-incidente' : Análise post mortem do incidente, sua causa raiz e a resposta da organização com a intenção de melhorar o plano de resposta ao incidente e os esforços de resposta futuros.

Alguns exemplos ilustrativos de diferentes tipos de violações de segurança de computador são fornecidos abaixo.

Robert Morris e o primeiro worm de computador

 Ver artigo principal: en: Morris worm

Em 1988, apenas 60.000 computadores estavam conectados à Internet, e a maioria eram mainframes, minicomputadores e estações de trabalho profissionais. Em 2 de novembro de 1988, muitos começaram a desacelerar, pois estavam executando um código malicioso que demandava tempo de processador e que se espalhava para outros computadores - o primeiro "worm" da internet. O software foi rastreado até o aluno pós-graduação Robert Tappan Morris da Universidade Cornell de 23 anos de idade, que disse "ele queria contar quantas máquinas estavam conectadas à Internet". Este worm foi projetado para se espalhar em sistemas UNIX e utilizou diversas técnicas de propagação.

Laboratório de Roma

Em 1994, mais de uma centena de intrusões foram feitas por crackers não identificados no Laboratório de Roma, o principal comando e instalação de pesquisa da Força Aérea dos Estados Unidos. Usando cavalos de tróia, os hackers foram capazes de obter acesso irrestrito aos sistemas de rede de Roma e remover rastros de suas atividades. Os invasores conseguiram obter arquivos confidenciais, como dados de sistemas de ordens de tarefas aéreas e, além disso, foram capazes de penetrar nas redes conectadas do Goddard Space Flight Center da NASA, da Base Aérea de Wright-Patterson, de alguns contratados da Defesa , e outras organizações do setor privado, fazendo-se passar por um usuário confiável do centro de Roma.

Detalhes do cartão de crédito do cliente da TJX

No início de 2007, a empresa americana de roupas e produtos domésticos TJX anunciou que foi vítima de uma intrusão não autorizada de sistemas de computador e que os hackers acessaram um sistema que armazenava dados em cartão de crédito, cartão de débito, cheque e transações de devolução de mercadorias.

Ataque Stuxnet

Em 2010, o worm de computador conhecido como Stuxnet supostamente arruinou quase um quinto das centrífugas nucleares do Irã. Ele fez isso interrompendo os controladores lógicos programáveis (PLCs) industriais em um ataque direcionado. Em geral, acredita-se que tenha sido lançado por Israel e pelos Estados Unidos para interromper o programa nuclear iraniano - embora nenhum o tenha admitido publicamente.

Divulgações de vigilância global

 Ver artigo principal: en: Global surveillance disclosures (2013–present)

No início de 2013, os documentos fornecidos por Edward Snowden foram publicados por The Washington Post e The Guardian expondo a escala massiva da vigilância global NSA. Também houve indicações de que a NSA pode ter inserido uma porta dos fundos em um padrão INTP para criptografia. Este padrão foi posteriormente retirado devido a críticas generalizadas. Além disso, foi revelado que a NSA interceptou os links entre os data centers do Google.

Violações na Target e no Home Depot

Em 2013 e 2014, um grupo de hackers Rússia n / Ucraniano conhecido como "Rescator" invadiu os computadores da Target Corporation em 2013, roubando cerca de 40 milhões de cartões de crédito, e então nos computadores do Home Depot em 2014, roubando entre 53 e 56 milhões de números de cartão de crédito. Os avisos foram entregues em ambas as empresas, mas ignorados; Acredita-se que as máquinas de autopagamento tenham desempenhado um grande papel nas violações de segurança física. "O malware utilizado é absolutamente sem sofisticação e desinteressante", disse Jim Walter, diretor de operações de inteligência de ameaças da empresa de tecnologia de segurança McAfee - o que significa que os assaltos poderiam ter sido facilmente interrompidos pelo antivírus existente se os administradores tivessem respondido aos avisos. O tamanho dos roubos atraiu grande atenção das autoridades estaduais e federais dos Estados Unidos, e a investigação está em andamento.

Violação de dados do Escritório de Gestão de Pessoal

Em abril de 2015, o Escritório de Gestão de Pessoal descobriu que havia sido hackeado mais de um ano antes em uma violação de dados, resultando em roubo de aproximadamente 21,5 milhões de registros de pessoal tratados pelo escritório. A violação do Escritório de Gestão de Pessoal foi descrito por funcionários federais como uma das maiores violações de dados do governo na história dos Estados Unidos. Os dados visados na violação incluíam informações de identificação pessoal, como números do seguro social, nomes, datas e locais de nascimento, endereços e impressões digitais de funcionários do governo atuais e antigos, bem como de qualquer pessoa que tinha passado por uma verificação de antecedentes do governo. Acredita-se que a violação foi perpetrada por hackers chineses.

Violação de Ashley Madison

 Ver artigo principal: Ashley Madison Data Breach

Em julho de 2015, um grupo de hackers conhecido como "The Impact Team" violou com sucesso o site de relacionamento extraconjugal Ashley Madison, criado pela Avid Life Media. O grupo alegou que havia coletado não apenas dados da empresa, mas também dados do usuário. Após a violação, The Impact Team despejou e-mails do CEO da empresa, para provar seu ponto, e ameaçou despejar dados do cliente, a menos que o site fosse retirado do ar permanentemente. " Quando a Avid Life Media não tirou o site do ar, o grupo lançou mais dois arquivos compactados, um de 9,7 GB e outro de 20 GB. Após o segundo despejo de dados, o CEO da Avid Life Media, Noel Biderman, renunciou; mas o site continuou funcionando.

As questões jurídicas internacionais de ataques cibernéticos são complicadas por natureza. Não existe uma base global de regras comuns para julgar e, eventualmente, punir, cibercrimes e cibercriminosos - e onde as empresas de segurança ou agências localizam o cibercriminoso por trás da criação de uma determinada peça de malware ou forma de ataque cibernético, muitas vezes as autoridades locais não podem agir devido à falta de leis sob as quais processar. Provar a atribuição de cibercrimes e ataques cibernéticos também é um grande problema para todas as agências de aplicação da lei. "Os vírus de computador mudam de um país para outro, de uma jurisdição para outra - movendo-se ao redor do mundo, usando o fato de que não temos a capacidade de policiar globalmente operações como esta. Portanto, a Internet é como se alguém tinha dado passagens de avião grátis para todos os criminosos online do mundo." O uso de técnicas como DNS dinâmico, fluxo rápido e servidores "à prova de balas" aumenta a dificuldade de investigação e fiscalização.

O papel do governo é fazer regulamentações para forçar as empresas e organizações a proteger seus sistemas, infraestrutura e informações de quaisquer ataques cibernéticos, mas também proteger sua própria infraestrutura nacional, como a rede elétrica.

O papel regulador do governo no ciberespaço é complicado. Para alguns, o ciberespaço foi visto como um espaço virtual que deveria permanecer livre da intervenção do governo, como pode ser visto em muitas das discussões blockchain e bitcoin libertárias de hoje.

Muitos funcionários e especialistas do governo acham que o governo deve fazer mais e que há uma necessidade crucial de melhorar a regulamentação, principalmente devido ao fracasso do setor privado em resolver com eficiência o problema da segurança cibernética. R. Clarke disse durante um painel de discussão na RSA Security Conference em São Francisco, que acredita que "a indústria só responde quando você ameaça a regulamentação. Se a indústria não responder (a a ameaça), você tem que seguir em frente." Por outro lado, executivos do setor privado concordam que melhorias são necessárias, mas pensam que a intervenção do governo afetaria sua capacidade de inovar com eficiência. Daniel R. McCarthy analisou essa parceria público-privada na cibersegurança e refletiu sobre o papel da cibersegurança na constituição mais ampla da ordem política.

Em 22 de maio de 2020, o Conselho de Segurança da ONU realizou sua segunda reunião informal sobre segurança cibernética para enfocar os desafios cibernéticos à paz internacional. Segundo o Secretário-Geral da ONU António Guterres, as novas tecnologias são utilizadas com demasiada frequência para violar direitos.

Existem muitas equipes e organizações diferentes, incluindo:

• O Fórum de Equipes de Resposta a Incidentes e Segurança (FIRST) é a associação global de CSIRTs. O US-CERT, AT&T, Apple, Cisco, McAfee, Microsoft são todos membros desta equipe internacional.
• O Conselho da Europa ajuda a proteger as sociedades em todo o mundo contra a ameaça do cibercrime por meio da Convenção sobre o Cibercrime.
• O objetivo do Messaging Anti-Abuse Working Group (MAAWG) é reunir o setor de mensagens para trabalhar de forma colaborativa e abordar com sucesso as várias formas de abuso de mensagens, como spam, vírus, negação de serviço ataques e outras explorações de mensagens. . France Telecom, Facebook, AT&T, Apple, Cisco, Sprint são alguns dos membros do MAAWG.
• ENISA: A Agência Europeia para a Segurança das Redes e da Informação (ENISA) é uma agência da União Europeia com o objetivo de melhorar a segurança da informação nas redes e na União Europeia.

Europa

Em 14 de abril de 2016, o Parlamento Europeu e o Conselho da União Europeia adotaram o Regulamento Geral sobre a Proteção de Dados (RGPD) (UE) 2016/679. O GDPR, que se tornou obrigatório a partir de 25 de maio de 2018, fornece proteção de dados e privacidade para todos os indivíduos na União Europeia (UE) e no Espaço Econômico Europeu (EEE). O GDPR exige que os processos de negócios que lidam com dados pessoais sejam desenvolvidos com proteção de dados por design e por padrão. O GDPR também exige que certas organizações designem um DPO (Data Protection Officer).

Equipes de resposta a emergências informáticas

 Ver artigo principal: CSIRT

A maioria dos países tem sua própria equipe de resposta a emergências de computador para proteger a segurança da rede.

Brasil

Em dezembro de 2020, a Anatel aprovou o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, que, a partir de janeiro de 2021, deve ser seguido por todas as grandes operadoras de telecomunicações que atuam no Brasil.

Em dezembro de 2023 o presidente Luiz Inácio Lula da Silva publicou o decreto nº 11.856, que estabeleceu a Política Nacional de Cibersegurança (PNCiber) e o Comitê Nacional de Cibersegurança (CNCiber).

Canadá

Desde 2010, o Canadá tem uma estratégia de segurança cibernética. Esta funciona como um documento de contrapartida à Estratégia Nacional e Plano de Ação para Infraestruturas Críticas. A estratégia tem três pilares principais: proteger os sistemas governamentais, proteger os sistemas cibernéticos privados vitais e ajudar os canadenses a se protegerem online. Há também uma Estrutura de Gerenciamento de Incidentes Cibernéticos para fornecer uma resposta coordenada no caso de um incidente cibernético.

O Canadian Cyber Incident Response Centre (CCIRC) é responsável por mitigar e responder às ameaças à infraestrutura crítica e aos sistemas cibernéticos do Canadá. Ele fornece suporte para mitigar ameaças cibernéticas, suporte técnico para responder e se recuperar de ataques cibernéticos direcionados e fornece ferramentas online para membros dos setores de infraestrutura crítica do Canadá. Ele publica boletins de segurança cibernética regulares e opera uma ferramenta de relatório online onde indivíduos e organizações podem relatar um incidente cibernético.

Para informar o público em geral sobre como se proteger online, a segurança públçica do Canadá (PSC) fez parceria com STOP.THINK.CONNECT, uma coalizão de organizações sem fins lucrativos, do setor privado e do governo, , e lançou o Programa de Cooperação em Segurança Cibernética. Eles também administram o portal GetCyberSafe para cidadãos canadenses e o Mês de Conscientização sobre Segurança Cibernética em outubro.

A Segurança Pública do Canadá pretende iniciar uma avaliação da estratégia de segurança cibernética do Canadá no início de 2015.

China

O Grupo líder central para segurança e informatização da Internet da China (em chinês: 中央 网络 安全 和 信息 化 化 领导) foi estabelecido em 27 de fevereiro de 2014. Este pequeno grupo líder (LSG) do Partido Comunista da China é chefiado pelo próprio Secretário-Geral Xi Jinping e conta com uma equipe de responsáveis ​​pelas decisões do Partido e do Estado. O LSG foi criado para superar as políticas incoerentes e responsabilidades sobrepostas que caracterizavam os antigos mecanismos de tomada de decisão no ciberespaço da China. O LSG supervisiona a formulação de políticas nos campos econômico, político, cultural, social e militar no que se refere à segurança de rede e estratégia de TI. Este LSG também coordena as principais iniciativas de políticas na arena internacional que promovem normas e padrões favorecidos pelo governo chinês e que enfatizam o princípio da soberania nacional no ciberespaço.

Alemanha

Berlim cria a Iniciativa Nacional de Defesa Cibernética: Em 16 de junho de 2011, o Ministro de Assuntos Internos da Alemanha abriu oficialmente o novo NCAZ (Centro Nacional de Defesa Cibernética) Nationales Cyber-Abwehrzentrum localizado em Bonn. O NCAZ coopera estreitamente com o BSI (Federal Office for Information Security) Bundesamt für Sicherheit in der Informationstechnik, BKA (Federal Police Organization) Bundeskriminalamt, BND (Serviço Federal de Inteligência) Bundesnachrichtendienst, MAD (Serviço Militar de Inteligência) Amt für den Militärischen Abschirmdienst e outras organizações nacionais na Alemanha que cuidam dos aspectos de segurança nacional. De acordo com o Ministro, a principal tarefa da nova organização fundada em 23 de fevereiro de 2011, é detectar e prevenir ataques contra a infraestrutura nacional e incidentes mencionados como o Stuxnet. A Alemanha também estabeleceu a maior instituição de pesquisa para segurança de TI da Europa, o Centro de Pesquisa em Segurança e Privacidade (CRISP) em Darmstadt.

Índia

Algumas disposições de cibersegurança foram incorporadas às regras enquadradas na Lei de Tecnologia da Informação de 2000.

A Política Nacional de Segurança Cibernética 2013 é uma estrutura de política do Ministério da Eletrônica e Tecnologia da Informação (MeitY) que visa proteger a infraestrutura pública e privada de ataques cibernéticos e salvaguardar "informações, como informações pessoais (de usuários da web) , informações financeiras e bancárias e dados soberanos ". CERT-In é a agência nodal que monitora as ameaças cibernéticas no país. O posto de [[:en:National Cyber Coordination Centre|Coordenador Nacional da Cibersegurança] também foi criado no Gabinete do Primeiro Ministro (PMO).

O lei das empresas indianas ( Indian Companies Act ) 2013 também introduziu obrigações de lei e segurança cibernética por parte dos diretores indianos. Algumas disposições de cibersegurança foram incorporadas às regras enquadradas na Atualização da Lei de Tecnologia da Informação de 2000 em 2013.

Coréia do sul

Após os ataques cibernéticos no primeiro semestre de 2013, quando o governo, a mídia, a estação de televisão e os sites de bancos foram comprometidos, o governo nacional se comprometeu a treinar 5.000 novos especialistas em segurança cibernética até 2017. O governo sul-coreano culpou seu homólogo do norte por esses ataques, bem como incidentes ocorridos em 2009, 2011, e 2012, mas Pyongyang nega as acusações.

Estados unidos

Legislação

O 18 U.S.C. § 1030 de 1986, a Lei de Fraude e Abuso de Computador é a legislação chave. Ela proíbe o acesso não autorizado ou dano de "computadores protegidos" conforme definido em 18 U.S.C. § 1030(e)(2). Embora várias outras medidas tenham sido propostas- nenhuma foi bem sucedida.

Em 2013, foi assinada a ordem executiva 13636 Melhorando a segurança cibernética da infraestrutura crítica , que levou à criação da Estrutura de segurança cibernética do NIST

Serviços de testes governamentais padronizados

A Administração de Serviços Gerais (GSA) padronizou o serviço de "teste de intrusão" (pen test) como um serviço de suporte pré-aprovado, para abordar rapidamente vulnerabilidades em potencial e impedir os adversários antes que eles afetem os governos federal, estadual e local dos EUA. Esses serviços são comumente chamados de Highly Adaptive Cybersecurity Services (HACS) e estão listados no site US GSA Advantage. Veja mais informações aqui: Teste de intrusão: Serviços padronizados de teste de penetração do governo.

Agências

O Departamento de Segurança Interna tem uma divisão dedicada responsável pelo sistema de resposta, programa de gerenciamento de riscos e requisitos para segurança cibernética nos Estados Unidos, chamada de Divisão Nacional de Segurança Cibernética. A divisão abriga as operações US-CERT e o Sistema Nacional de Alerta Cibernético. O Centro Nacional de Integração de Segurança Cibernética e Comunicações reúne organizações governamentais responsáveis pela proteção de redes de computadores e infraestrutura de rede.

A terceira prioridade do FBI é: "Proteger os Estados Unidos contra ataques cibernéticos e crimes de alta tecnologia", e eles, junto com o National White Collar Crime Center (NW3C) e o Departamento de Ajuda à Justiça (BJA), fazem parte da força-tarefa de várias agências, o Centro de Reclamações dos crimes da internet, também conhecido como IC3.

Além de suas próprias funções específicas, o FBI participa ao lado de organizações sem fins lucrativos, como InfraGard.

Na divisão criminal do Departamento de Justiça dos Estados Unidos opera uma seção chamada Seção de Crimes Informáticos e Propriedade Intelectual. A CCIPS é responsável pela investigação de crimes de crimes informáticos e de propriedade intelectual e é especializada na procura e apreensão de provas digitais em computadores e redes. Em 2017, o CCIPS publicou A Estrutura para um Programa de Divulgação de Vulnerabilidade para Sistemas Online para ajudar as organizações "a descrever claramente a divulgação autorizada de vulnerabilidade e conduta de descoberta, portanto reduzindo substancialmente a probabilidade de que tais atividades descritas resultem em uma violação civil ou criminal da lei sob a Lei de Fraude e Abuso de Computador (18 U.S.C. § 1030)."

O Comando Cibernético dos Estados Unidos, também conhecido como USCYBERCOM, " tem a missão de dirigir, sincronizar e coordenar o planejamento e as operações do ciberespaço para defender e promover os interesses nacionais em colaboração com parceiros domésticos e internacionais . " Não tem função na proteção de redes civis.

O papel da Comissão Federal de Comunicações dos EUA na segurança cibernética é fortalecer a proteção da infraestrutura crítica de comunicações, ajudar a manter a confiabilidade das redes durante desastres, ajudar na rápida recuperação após e garantir que os primeiros socorros tenham acesso a serviços de comunicação eficazes.

A Food and Drug Administration (FDA) emitiu orientações para dispositivos médicos, e a Administração Nacional de Segurança de Tráfego Rodoviário está preocupado com a segurança cibernética automotiva. Depois de ser criticado pelo Escritório de contabilidade do governo, e após ataques bem-sucedidos a aeroportos e alegados ataques a aviões, a Administração Federal de Aviação dedicou fundos para proteger os sistemas a bordo de aviões de fabricantes privados e o ACARS. Também foram levantadas preocupações sobre o futuro Sistema de Transporte Aéreo de Próxima Geração.

Equipe de resposta à emergências em computadores

"Equipe de resposta à emergências em computadores" é o nome dado a grupos de especialistas que lidam com incidentes de segurança em computadores. Nos Estados Unidos, existem duas organizações distintas, embora trabalhem juntas.

• US-CERT: parte da Divisão Nacional de Segurança Cibernética do [Departamento de Segurança Interna dos Estados Unidos]].

• CERT / CC: criado pela DARPA e administrado pelo Instituto de Engenharia de Software (SEI).

 Ver artigo principal: en: Cyberwarfare

Há uma preocupação crescente de que o ciberespaço se torne o próximo palco de guerra. Como Mark Clayton de The Christian Science Monitor descrito em um artigo intitulado "The New Cyber Arms Race":

No futuro, as guerras não serão travadas apenas por soldados armados ou com aviões que lançam bombas. Eles também serão combatidos com o clique de um mouse a meio mundo de distância, que desencadeia programas de computador cuidadosamente armados que interrompem ou destroem setores críticos como serviços públicos, transporte, comunicações e energia. Esses ataques também podem desativar as redes militares que controlam o movimento das tropas, o caminho dos caças, o comando e o controle dos navios de guerra.

Isso levou a novos termos como ciberguerra e ciberterrorismo . O Comando Cibernético dos Estados Unidos foi criado em 2009 e muitos outros países têm forças semelhantes.

Existem algumas vozes críticas que questionam se a segurança cibernética é uma ameaça tão significativa quanto parece ser.

A segurança cibernética é um campo de rápido crescimento da TI preocupada em reduzir o risco de hackeamento ou violação de dados nas organizações. De acordo com uma pesquisa do Enterprise Strategy Group, 46% das organizações dizem que têm uma "escassez problemática" de habilidades de segurança cibernética em 2016, contra 28% em 2015. Organizações comerciais, governamentais e não governamentais empregam profissionais de segurança cibernética. Os aumentos mais rápidos na demanda por funcionários de segurança cibernética estão em setores que gerenciam volumes crescentes de dados do consumidor, como finanças, saúde e varejo. ^{[carece de fontes?]} No entanto, o uso do termo "cibersegurança" é mais prevalente nas descrições de cargos do governo.

As descrições típicas de cargos de segurança cibernética incluem:

Analista de segurança

Analisa e avalia vulnerabilidades na infraestrutura (software, hardware, redes), investiga usando as ferramentas e contramedidas disponíveis para remediar as vulnerabilidades detectadas e recomenda soluções e melhores práticas. Analisa e avalia os danos aos dados / infraestrutura como resultado de incidentes de segurança, examina as ferramentas e processos de recuperação disponíveis e recomenda soluções. Testes de conformidade com políticas e procedimentos de segurança. Pode auxiliar na criação, implementação ou gerenciamento de soluções de segurança.

Engenheiro de segurança

Executa monitoramento de segurança, análise de dados / logs de segurança e análise forense para detectar incidentes de segurança e monta a resposta a incidentes. Investiga e utiliza novas tecnologias e processos para aprimorar os recursos de segurança e implementar melhorias. Também pode revisar o código ou executar outras metodologias de engenharia de segurança.

Arquiteto de segurança

Projeta um sistema de segurança ou componentes principais de um sistema de segurança e pode liderar uma equipe de design de segurança que cria um novo sistema de segurança.

Administrador de segurança

Instala e gerencia sistemas de segurança em toda a organização. Essa posição também pode incluir assumir algumas das tarefas de analista de segurança em organizações menores.

Diretor de Segurança da Informação (CISO)

Uma posição de alto nível gerencial responsável por toda a divisão / equipe de segurança da informação. A posição pode incluir trabalho técnico prático.

Diretor de Segurança (CSO)

Uma posição de gerenciamento de alto nível responsável por toda a divisão / equipe de segurança. Uma posição mais nova agora considerada necessária conforme os riscos de segurança aumentam.

Consultor de Segurança / Especialista / Inteligência

Títulos abrangentes que abrangem qualquer uma ou todas as outras funções ou títulos com a tarefa de proteger computadores, redes, software, dados ou sistemas de informação contra vírus, worms, spyware, malware, detecção de intrusão, acesso não autorizado, ataques de negação de serviço, e uma lista cada vez maior de ataques de hackers agindo como indivíduos ou como parte do crime organizado ou de governos estrangeiros.

Os programas para estudantes também estão disponíveis para pessoas interessadas em iniciar uma carreira em segurança cibernética. Enquanto isso, uma opção flexível e eficaz para profissionais de segurança da informação de todos os níveis de experiência continuarem estudando é o treinamento de segurança online, incluindo webcasts. Uma grande variedade de cursos certificados também estão disponíveis.

No Reino Unido, um conjunto nacional de fóruns de cibersegurança, conhecido como Fórum de segurança cibernética do Reino Unido, foi estabelecido com o apoio da estratégia de cibersegurança do governo A fim de encorajar start-ups e inovação e abordar a falta de competências identificado pelo Governo do Reino Unido.

Os seguintes termos usados em relação à segurança de computadores são explicados abaixo:

• Acesso autorização restringe o acesso a um computador a um grupo de usuários por meio do uso de sistemas autenticação. Esses sistemas podem proteger todo o computador, como por meio de uma tela login interativa, ou serviços individuais, como um servidor FTP. Existem muitos métodos para identificar e autenticar usuários, como senhas, documento de identidade, cartão inteligente e sistemas biométricos.
• Antivírus consiste em programas de computador que tentam identificar, impedir e eliminar vírus de computador e outro software malicioso (malware).
• Aplicativos são códigos executáveis, então a prática geral é desabilitar o poder dos usuários de instalá-los; para instalar apenas aqueles que são conhecidos por serem confiáveis - e para reduzir a superfície de ataque instalando o mínimo possível. Eles são normalmente executados com privilégio mínimo, com um processo robusto em vigor para identificar, testar e instalar quaisquer patchs de segurança ou atualizações lançadas para eles.
• As técnicas de autenticação podem ser usadas para garantir que os terminais de comunicação sejam quem dizem ser.
• Prova automática de teoremas e outras ferramentas de verificação podem permitir que algoritmos e códigos críticos usados em sistemas seguros sejam matematicamente comprovados para atender às suas especificações.
• Backups são uma ou mais cópias mantidas de arquivos importantes do computador. Normalmente, várias cópias são mantidas em locais diferentes para que, se uma cópia for roubada ou danificada, outras cópias ainda existam.
• A Capacidade e listas de controle de acesso técnicas podem ser usadas para garantir a separação de privilégios e o controle de acesso obrigatório.
• As técnicas de Cadeia de confiança podem ser usadas para tentar garantir que todo o software carregado foi certificado como autêntico pelos projetistas do sistema.
• Confidencialidade é a não divulgação de informações, exceto para outra pessoa autorizada.
• Técnicas de criptografia podem ser usadas para defender dados em trânsito entre sistemas, reduzindo a probabilidade de que dados trocados entre sistemas possam ser interceptados ou modificados.
• Ciberguerra é um conflito baseado na Internet que envolve ataques com motivação política contra a informação e os sistemas de informação. Esses ataques podem, por exemplo, desativar sites e redes oficiais, interromper ou desativar serviços essenciais, roubar ou alterar dados classificados e paralisar sistemas financeiros.
• Integridade de dados é a precisão e consistência dos dados armazenados, indicada pela ausência de qualquer alteração nos dados entre duas atualizações de um registro de dados.

 

• Criptografia é usada para proteger a confidencialidade de uma mensagem. Cifras criptograficamente seguras são projetadas para fazer qualquer tentativa prática de quebrá-las inviável. As cifras de chave simétrica são adequadas para criptografia em massa usando chave compartilhada e criptografia de chave pública com um certificado digital podem fornecer uma solução prática para o problema de comunicação segura quando nenhuma chave é compartilhada com antecedência.
• O software de segurança de endpoint auxilia as redes na prevenção de infecção por malware e roubo de dados em pontos de entrada de rede tornados vulneráveis pela prevalência de dispositivos potencialmente infectados, como laptops, dispositivos móveis e drives USB.
• Firewalls servem como um sistema de gatekeeper entre as redes, permitindo apenas o tráfego que corresponda às regras definidas. Eles geralmente incluem log de dados detalhado e podem incluir recursos como a detecção de intrusão. Eles são quase universais entre a empresa redes locais e a Internet, mas também podem ser usados internamente para impor regras de tráfego entre as redes se segmentação de rede estiver configurada.
• Um hacker é alguém que busca violar as defesas e explorar os pontos fracos de um sistema de computador ou rede.
• Honeypots são computadores que são deixados intencionalmente vulneráveis a ataques de crackers. Eles podem ser usados para pegar biscoitos e identificar suas técnicas.
• Sistemas de detecção de intrusões são dispositivos ou aplicativos de software que monitoram redes ou sistemas quanto a atividades maliciosas ou violações de políticas.
• Um microkernel é uma abordagem ao design do sistema operacional que tem apenas a quantidade quase mínima de código em execução no nível mais privilegiado - e executa outros elementos do sistema operacional, como drivers de dispositivos, pilhas de protocolo e sistemas de arquivos, no espaço do usuário mais seguro e menos privilegiado.
• Pinging. O aplicativo "ping" padrão pode ser usado para testar se um endereço IP está em uso. Se for, os invasores podem tentar utilizar um port scanner para detectar quais serviços estão expostos.
• Um port scanner é usada para sondar um endereço IP para portas abertas para identificar serviços e aplicativos de rede acessíveis.
• Um Keylogger é um spyware que captura e armazena silenciosamente cada tecla que um usuário digita no teclado do computador.
• Engenharia social é o uso de engano para manipular indivíduos para violar a segurança.
• Bomba lógica é um tipo de malware adicionado a um programa legítimo que permanece adormecido até ser disparado por um evento específico.