O analista de segurança é responsável por prover projetos, realizar as manutenções devidas e monitorar um sistema computacional de forma a deixa-lo seguro e livre de ataques maliciosos ou algum outro tipo de violação não desejada.

O convidado Thiago Matias começou sua experiência com informática realizando cursos técnicos em manutenção de computadores logo na adolescência, e assim ele se interessou pela área. Logo após surgiu a oportunidade de trabalhar no exército, pelo qual ficou encarregado por cuidar de uma rede de computadores em determinada missão. Após essa experiência no exército, ele ingressou na universidade no curso Bacharelado em Ciência da Computação.

Após a graduação, Thiago se especializou na área de Segurança da Informação e tirou diversas certificações. Entre elas estão: Fortinet (NSE 1, 2, 3 e 4), Microsoft (MCP) e Aker Firewall (AFCP).

Atualmente Thiago Matias é dono da sua própria empresa, a TDM Consultoria e Serviços em Segurança de Redes, a qual presta serviços na área de segurança da informação para diversas empresas. Entre os serviços prestados estão:

• Proteção contra ameaças de rede e produtividade web:
• Proteção em Dispositivos físicos, virtuais e nuvem:
• Gestão de backups;
• Gestão de Atualizações.

Para exercer a profissão a pessoa não necessariamente precisa cursar um ensino superior na área, porém é altamente recomendável pois serve de base para as empreses que irão contratar o serviço ou o profissional. Além disso o profissional da área deve ter bastante conhecimento em protocolos de redes, sistemas operacionais, configuração de firewalls e conhecer ferramentas importantes como os sniffers pois são frequentemente aplicados no dia-a-dia da profissão.

Além dos conhecimentos técnicos, o profissional deve ter aptidão para descobrir novas tecnologias e aperfeiçoar suas técnicas, pois a cada dia surgem problemas e soluções novas.

As principais ferramentas utilizadas por um analista de segurança são:

• Sniffers de rede, como por exemplo o WireShark e tcpdump, que são programas que analisam o tráfego de rede, e o organizam por protocolo;
• Firewall, como por exemplo o Firewall Fortigate;
• Web Application Firewall (WAF) que é um sistema que fica entre o seu site ou aplicativo e o restante da internet, funcionando como uma barreira que bloqueia e protege seu servidor contra ataques de Hackers, Spammers, DDoS, Injeções SQL e muito outros tipos de Cyber Ataques;
• Sistemas de controle de acesso;
• Protocolos de segurança e criptografia.

A criptografia , é uma ferramenta essencial, para o analista de segurança, já que é graças a esta ferramenta que o profissional é capaz de dificultar o acesso aos dados da empresa, para pessoas não autorizadas.

• Criptografia, trate-se de um conjunto de regras, que tem o objetivo de codificar uma informação de forma que apenas que manda a mensagem e seu receptor sejam capazes de decifra-la. Para isso várias técnicas são usadas, e são aperfeiçoadas conforme são descobertas outras maneiras mais seguras de cumprir esse objetivo.
• Na computação, o método utilizado são as chaves, essas "chaves criptográficas", trata-se de um conjunto de bits que são baseados em um algoritmo capaz tanto de codificar, quanto de decodificar informações. Caso o receptor use uma chave incompatível, este será incapaz de conseguir a informação.
• Uma maneira mais simples de explicar o que são as "chaves criptográficas", essa chave é um valor secreto que modifica um algoritmo de encriptação. Podemos associar a uma chave da porta de alguma casa, quando a chave é posta na fechadura, cada um dos pinos é movido para uma posição especifica. Se essas posições são as que a fechadura precisa para ser aberta ela abre, caso contrário não. Ou seja, se a chave criptográfica mudar de maneira correta o algoritmo, o usuário é capaz de entender a mensagem que lhe foi passada.
• Com a criptografia o analista de segurança pode:
  • Proteger os dados sigilosos armazenados no banco de dados da empresa, como dados pessoais, senhas, dados bancários, etc.
  • Proteger os backups contra o acesso de pessoas indevidas, principalmente os que são enviados para áreas de armazenamento externo de mídias.
  • Proteger as comunicações realizadas pela internet, pelos clientes com os atendentes da empresa, estes e-mails que podem conter transações bancárias e comerciais.

Outra ferramenta importante para essa profissão é o banco de dados:

• Banco de dados é um conjunto de dados inter-relacionados, que representam informações sobre um domínio especifico. Ou seja, sempre que é possível organize informações que se relacionam e tratam de um mesmo assunto, pode-se dizer que este é um banco de dados. Nesse assunto temos, o sistema de banco de dados, este sendo o conjunto de quatro componentes, dados,hardware,software e usuários.
• Os objetivos de um sistema de banco de dados são o de isolar o usuário dos detalhes internos do banco de dados (promover a abstração de dados) e promover a independência dos dados em relação às aplicações, ou seja, tornar independente da aplicação, a estratégia de acesso e a forma de armazenamento.
• Esta abstração é dividida em três níveis sendo ele:
  • Nível de visão do usuário: a parte que o usuário tem acesso.
  • Nível conceitual: define quais dados estão armazenados e seu relacionamento.
  • Nível físico: define efetivamente a maneira como os dados estão armazenados.

• Um analista de segurança, tem acesso ao banco de dados da empresa onde este trabalha. Portanto, ele possui acesso a informações tanto de clientes, como de outros

profissionais da empresa. Nesse banco de dados, provavelmente, irá contar informações sobre cartões dos clientes da empresa, além de informações de contas bancárias dos funcionários da empresa. Ou seja, são dados que podem ser de grande interesse para criminosos, com o interesse de clonar cartões, por exemplo. Logo, cabe ao profissional analista de segurança não vender esses dados para criminosos. E caso este seja desligado da empresa, por ele ter participado diretamente do sistema de segurança da empresa, ele poderia ajudar algum grupo de criminosos a invadir esse banco de dados, então também cabe a ele ter ética de não ajuda de maneira alguma alguém a invadir o sistema de sua antiga empresa.

• TDM consultoria e serviços.

Apresentação: http://www.sourceinnovation.com.br/w/images/2/20/Analista_de_seguran%C3%A7a.pdf

• 01. O que é um ramsoware? Explique seus possíveis impactos.
  • O Ransomware é um tipo de software malicioso (malware) que após se instalar no computador, passa a criptografar os dados do usuário, impedindo assim o acesso a arquivos e sistemas, para forçar a vítima a pagar um resgate em moeda virtual para liberá-los. A infecção do sistema ocorre como em qualquer outro tipo de vírus: através de e-mail, páginas web maliciosas, escondidos em um instalador ou aproveitando-se de vulnerabilidades na rede e aplicações. No ambiente corporativo, em que a concorrência acirrada pela liderança do mercado conta com fatores como integridade nas informações a vulnerabilidade de um sistema pode colocar em risco toda sua operação. O sequestro das informações por um longo período pode comprometer, e muito, o desempenho da companhia, além do prejuízo causado pelos resgates solicitados para liberação dos dados.

• 02. Para que serve o Wireshark? Mostre sucintamente o que ele pode fornecer de interessante.
  • É um programa que analisa o tráfego de rede, e o organiza por protocolos. Através dessa aplicação é possível controlar o tráfego de uma rede e monitorar a entrada e saída de dados do computador, em diferentes protocolos, ou da rede à qual o computador está ligado.

• 03. Por quê profissionais de segurança em algum momento, snifam portas?
  • O sniffing (interceptação e registro do tráfego de uma rede digital) pode ser utilizado tanto para propósitos maliciosos como também para o gerenciamento de rede, monitoramento e diagnóstico de ambientes computacionais. Profissionais de segurança podem realizar esse processo para verificar a integridade dos pacotes da rede que são utilizadas no ambiente de trabalho.

• 04. O que é um pain test? Em que momento pode ou deve ser usado?
  • Pentest (teste de penetração) é um método que avalia a segurança de um sistema de computador ou de uma rede, simulando um ataque de uma fonte maliciosa. O processo envolve uma análise nas atividades do sistema, que envolvem a busca de alguma vulnerabilidade em potencial que possa ser resultado de uma má configuração do sistema, falhas em hardwares/softwares desconhecidas, deficiência no sistema operacional ou técnicas contra medidas. Todas as análises submetidas pelos testes escolhidos são apresentadas no sistema, junto com uma avaliação do seu impacto e muitas vezes com uma proposta de resolução ou de uma solução técnica. São utilizados para simular ataques com o intuito de mensurar o impacto da varredura caso seja bem sucedido e seja descoberto falhas ou bug. Desta forma é possível descobrir o conjunto de vetores de ataques, vulnerabilidade de alto e baixo risco, identificar os que podem ser difíceis ou impossíveis de detectar, os impactos operacionais, testar a capacidade defensiva da rede e identificar a reação do sistema aos ataques.

• 05. Qual a diferença na atuação de um Analista de Segurança x Analista de Redes x Analista da Informação?
  • Um Analista de Redes atua com gerenciamento e manutenção de redes local e remota realizando a instalação e configuração de computadores e ativos de rede.
  • O analista de segurança propõe, implementa e monitora a política de segurança quanto ao uso de recursos computacionais.
  • O analista de informação mapeia e processa conteúdos de sites, sistemas e da internet como um todo e com esses dados, desenvolve soluções para a empresa e facilita o acesso a essa informação.

• 06. Qual a diferença entre fazer o CCNE e o CCNA?
  • CCNA: o principal objetivo dessa certificação Cisco é prover uma certificação de nível-associativo para entusiastas e iniciantes que já tiveram alguma experiencia com redes. É uma credencial que tornou-se uma das certificações de rede de nível de entrada mais altamente reputadas na indústria. Essa certificação se destina à pessoas com 1 a 2 anos de experiência em engenharia de redes e é muito acessível.
  • CCNP: é uma certificação intencionada aos profissionais procurando programas de treinamento especializado em implementação, manutenção e planejamento do grande alcance de produtos de soluções de alto desempenho da Cisco. Essa certificação é para profissionais de IT com ao menos um ano de experiência profissional em redes.

• 07. Para que serve o TCP/IP? Cite algum exemplo de aplicação que o usa?
  • Os protocolos TCP/IP formam o grupo de protocolos de comunicação que implementam a pilha de protocolos sobre a qual a internet e a maioria das redes comerciais funcionam. Sites HTTP utilizam TCP/IP como protocolo padrão para se conectarem na rede.

• 08. O que é EDR? Como isso pode ajudar a segurança da informação?
  • EDR(Endpoint Detection and Response), um endpoint inteligente é aquele automatizado com capacidade de detectar problemas de segurança da forma mais rápida , reponde imediatamente e corrigir os problemas da maneira mais completa. Quando são desenvolvidos corretamente, esses endpoints oferecem informações e dados valiosos sobre os comportamentos das ameaças. Existem duas principais características que devem estar em uma solução EDR: integração com base em arquitetura comum e gerenciamento generalizado. Na maioria dos casos as empresas já possuem vários programas de segurança, como antiviros, IPS,gateways e firewalls em suas estruturaras de segurança. Por isso a melhor abordagem é ter um arquitetura integrada comum, que permita que essas e outras soluções possam trabalhar juntas para compartilhar informações e responder da forma mais rápida e automatizada. Já o gerenciamento centralizada melhora a visibilidade, reduzindo a complexidade e impedindo que existam lacunas e sobreposições de soluções diferentes. OS endpoints também oferecem mais informações sobre o comportamento, as origens e os métodos que são usados pelas ameaças, para que os analistas de segurança possam usar desses detalhes para melhorar seus sistemas de segurança

• 09. O que é DPO ou CISO? Quais as tarefas executadas por eles?
  • O Diretor de Segurança da Informação (CISO) é responsável por coordenar todas as atividades relacionadas a segurança da informação em uma organização, tais como: desenvolver a lista de requisitos das partes interessadas, coordenar todos os esforços relacionados a proteção de dados pessoais, permanecer em contato contínuo com autoridades e grupos especiais de interesse, entre outros, ser responsável pela revisão e atualização dos principais documentos, ensinar aos empregados como realizar a análise/avaliação de riscos, propor a seleção de salvaguardas, propor as datas limite para a implementação de salvaguardas, realizar a verificação de históricos de candidatos a emprego, realizar treinamentos de integração em tópicos de segurança para novos colaboradores, propor ações disciplinares contra empregados que cometeram infrações de segurança, reportar os resultados de medições, propor melhorias de segurança e ações corretivas, notificar a alta direção sobre os principais riscos, assegurar que todas as ações corretivas são realizadas, manter um inventário de todos os ativos de informação importantes, excluir os registros que não são mais necessários, definir cláusulas de segurança que devem fazer parte de um acordo, definir que tipos de canais de comunicação são aceitáveis e quais não são, receber informações sobre incidentes de segurança, coordenar a resposta a incidentes de segurança, coordenar o processo de análise de impacto no negócio e a criação de planos de resposta, coordenar os exercícios e testes dos planos, realizar revisão pós incidente dos planos de recuperação, propor métodos de autenticação, política de senhas, métodos de encriptação, propor regras para trabalho remoto seguro, definir funcionalidades de segurança requeridas para serviçoes de internet, entre outros.
  • O DPO é a pessoa que atuará como canal de comunicação perante os titulares dos dados pessoais e aos órgãos reguladores. Ele deverá supervisionar todas as práticas de tratamento de dados pessoais dentro da organização e verificar se estas estão em conformidade com a futura Lei Geral e setoriais de proteção de dados pessoais.

• 10. Fortgate, Fortnet, são tecnologias? Para que servem?
  • Fortinet: é uma corporação multinacional que desenvolve e comercializa softwares de cybersegurança, aplicações e serviços, como firewalls, anti-vírus, prevenção de intrusão e endpoint security, dispositivos de segurança para redes corporativas, além de outros. Fortigate: é um aparelho de segurança de borda de rede (firewall), que consiste em uma solução de firewall com vários ouros recursos de segurança já embarcados, o que permite uma proteção mais ampla da rede corporativa.