image

Acesse bootcamps ilimitados e +650 cursos

50
%OFF
Lista de conteúdos

ES

Eduardo Santos02/06/2025 18:32
Compartilhe
WEX - End to End EngineeringRecomendados para vocêWEX - End to End Engineering

Segurança da Informação: Grimório do Cyber Aventureiro

    O Começo da Jornada

    Antes de empunhar uma espada digital, todo aventureiro que se preze deve conhecer as regras do jogo. A primeira delas? Segurança da Informação, tão ignorada, mal aplicada, desconhecida por muitos, mas tão importante.

    Não é fácil defini-la em uma palavra, é uma área muito ampla, mas basicamente, envolve formas de proteger informações valiosas para pessoas ou grupos, evitando roubos ou perdas, ou minimizando os danos já causados.

    Tríade CIA

    Um dos tópicos mais básicos da Segurança da Informação são os 3 pilares, chamado de CIA (ou CID em português):

    • Confidencialidade (Confidentiality): Só quem tem a chave certa pode abrir os portões.
    • Integridade (Integrity): Os dados não podem ser alterados no caminho, ou seja, o que entra é o mesmo que sai.
    • Disponibilidade (Availability): As informações devem estar acessíveis sempre que for necessário.

    Ou seja, suas informações devem ser confidenciais (somente você ter acesso), íntegras (da mesma forma como você deixou) e disponíveis (sempre acessíveis para você).

    Senhas Fracas

    Um problema comum em empresas é colocar senhas fracas nos computadores dos usuários comuns, acreditando que eles "não têm nada que pode acabar com a empresa", sem considerar o risco de escalonamento de privilégios.

    Um ataque hacker normalmente não começa no topo. Os computadores mais básicos, que geralmente têm menos segurança, são os primeiros alvos. Uma vez dentro, o atacante executa o escalonamento de privilégios.

    Escalonamento de Privilégios

    Não existe uma única forma de escalonar privilégios, cada sistema é diferente. A “arte de escalonar privilégios” consiste em obter acesso aos privilégios de outros usuários, geralmente explorando as permissões deles.

    Escalonamento Horizontal

    Transitar entre contas do mesmo nível, como de um funcionário comum para outro. Por exemplo:

    • Um atacante acessa computadores de um setor administrativo e transita entre eles.
    • Dados de colaboradores podem ser acessados se contas de ex-funcionários não forem removidas.

    Escalonamento Vertical

    Subir de nível, como de um funcionário para o administrador do sistema. Por exemplo:

    • Um atacante acessa o computador de um usuário básico e usa técnicas para escalar para usuários mais privilegiados, como o administrador.

    Controle de Acesso

    Controlar o acesso é impedir que qualquer um acesse qualquer coisa. Por exemplo, no ambiente empresarial, impedir que funcionários acessem documentos da diretoria.

    Sem controle de acesso, qualquer colaborador poderia:

    • Apagar dados do servidor.
    • Acessar folhas de pagamento.
    • Instalar programas não confiáveis, contaminando a empresa com vírus.

    Boas Práticas de Controle de Acesso

    • Criar usuários/grupos e permissões definidos por setor.
    • Implementar autenticação multifator (MFA) quando viável.
    • Fazer revisões de permissões frequentemente.
    • Remover acessos de ex-funcionários imediatamente após a demissão.
    • Não permitir contas compartilhadas com nomes genéricos.

    Resposta a Incidentes

    Nenhuma empresa ou instituição é uma muralha inquebrável. O que se pode fazer é prevenir ou minimizar os danos.

    Responder a incidentes envolve:

    1. Identificar o que aconteceu.
    2. Investigar como e quando aconteceu.
    3. Barrar o avanço.
    4. Recuperar-se.

    Por exemplo, em um ataque de phishing seguido de ransomware, uma boa resposta seria:

    • Bloquear o usuário e isolar a máquina.
    • Remover a ameaça antes que se espalhe.
    • Realizar um relatório com lições aprendidas e reforçar medidas preventivas.

    Princípio do Mínimo Privilégio

    Se um usuário só precisa acessar conteúdo X para exercer sua função, ele não precisa de acesso ao Y. Por exemplo:

    • Um estagiário de logística não deve ter acesso ao sistema financeiro.

    Boas Práticas de Mínimo Privilégio

    • Limitar os acessos pelas funções.
    • Não permitir contas com acesso de administrador para usuários comuns.
    • Realizar revisões constantes.
    • Remover acessos de antigos funcionários.

    Caso tenha gostado, podem ver mais do que faço e se conectar no LinkedIn e no GitHub

    LinkedIn: https://www.linkedin.com/in/eduardo-s-b39896205/

    GitHub: https://github.com/TheEddu

    Compartilhe
    Recomendados para você
    TONNIE - Java and AI in Europe
    Microsoft - Azure Administrator Certification (AZ-104)
    WEX - End to End Engineering
    Comentários (3)

    ES

    Eduardo Santos - 03/06/2025 13:31

    Muito obrigado pelo retorno e comentários, me dediquei bastante para elaborar esse conteúdo, inclusive, para deixar em uma linguagem que mesmo pessoas de fora da área de Cyber possam apreciar.

    Respondendo a pergunta sobre o "escalonamento horizontal" e o "escalonamento vertical", acredito que o vertical representa ameaças maiores, por poder chegar a usuários com mais acesso (e "poder" dentro da empresa), mas o horizontal também não pode ser subestimado, pois por ter mais "alvos" horizontalmente o dano pode ser maior em quantidade, além da possibilidade de escalar verticalmente depois do horizontal.

    ÊS

    Ênica Santos - 03/06/2025 11:14

    Gostei muito do artigo! A linguagem clara e acessível facilitou muito a compreensão, especialmente para quem não é da área. Além disso, o texto ressalta de forma muito pertinente a importância da segurança da informação em todos os contextos, mostrando como esse tema é essencial nos dias de hoje. Parabéns pelo excelente trabalho!

    DIO Community
    DIO Community - 03/06/2025 09:37

    Excelente, Eduardo! Seu artigo é um guia muito claro e didático sobre os pilares da segurança e as principais ameaças. A analogia com "empunhar uma espada digital" e "portões" torna o tema ainda mais envolvente e acessível.

    Considerando que "o escalonamento de privilégios" é um passo crítico em ataques, qual você diria que é a maior diferença entre o "escalonamento horizontal" e o "escalonamento vertical" em termos de risco para a segurança de uma empresa?

    Leia a seguir
    Edson Mitsuoka
    De Iniciante a Referência: Como o DIO Campus Expert Moldou Minha TrajetóriaEdson Mitsuoka - 04 de Junho
    Gustavo Santos
    DIO Campus Expert: Lições de Liderança e Protagonismo na CarreiraGustavo Santos - 04 de Junho
    #Autoconhecimento#Liderança
    Willy Silva
    Do Consumo ao Compartilhamento: Meu Principal Aprendizado como DIO Campus ExpertWilly Silva - 04 de Junho
    Recomendados para vocêWEX - End to End Engineering