Pular para o conteúdo principal

Conceitos de Segurança da Informação

cuidado

Em 2025, esses conceitos ainda são cobrados em provas!

Confidencialidade, integridade e disponibilidade são os pilares da segurança da informação. Certo / Errado 🤔

Certo. Banca Quadrix / 2025 / CFO - Analista de Desenvolvimento.

Princípios

Confidencialidade – Visa zelar pela privacidade e sigilo dos dados de tal modo que estes devem ser acessados e visualizados somente por aqueles de direito, ou seja, a informação só deve estar disponível para aqueles com a devida autorização.

Integridade (Confiabilidade) - Objetivo garantir que os dados trafegados sejam os mesmos do início ao fim.

Disponibilidade – Neste princípio, temos como principal objetivo o fato de determinado recurso poder ser utilizado quando este for requisitado em um determinado momento.

Autenticidade - O princípio da autenticidade busca garantir que determinada pessoa ou sistema é, de fato, quem ela diz ser.

Não-Repúdio (Irretratabilidade) – Neste princípio, busca-se garantir que o usuário não tenha condições de negar ou contrariar o fato de que foi ele quem gerou determinado conteúdo ou informação.

Irretroatividade – Um outro princípio importante diretamente associado ao processo de autenticidade, integridade e não repúdio é a Irretroatividade, ou seja, não é possível reverter o ato ou questionar a data/momento da sua realização.

Legalidade – O aspecto de legislação e normatização é fundamental nos processos relacionados à Segurança da Informação.

Banca: Cebraspe Ano: 2024 Prova: CNJ - Analista Judiciário - Área Apoio Especializado - Especialidade: Analista de Sistemas

Autenticidade é um princípio que visa garantir que o autor não negue ter criado e assinado determinada informação, a qual pode estar materializada em uma mensagem ou em um documento. Certo / Errado 🤔

Errado.

Controle de Acesso

Está diretamente ligado ao princípio da autenticidade e autorização.
Tanto no contexto físico e lógico.

Mandatory Access Control (MAC)

O administrador do sistema é responsável por atribuir as devidas permissões para os usuários. Este modelo utiliza o conceito de “label” para identificar o nível de sensibilidade a um determinado objeto. O label do usuário é verificado pelo gerenciador de acesso e através desta avaliação, é verificado o nível de acesso do usuário e quais recursos ele é capaz de usar.

No dia a dia de um data center, o Mandatory Access Control (MAC), como o SELinux, é utilizado para atribuir diferentes níveis de acesso a usuários com base em suas funções e permissões. O administrador define labels de segurança para arquivos, processos e serviços, garantindo que apenas usuários autorizados possam acessar recursos sensíveis.

Discretionary Access Control (DAC)

É um modelo de controle de acesso onde o proprietário de um recurso (geralmente um arquivo ou diretório) tem a liberdade de definir e controlar quem pode acessar ou modificar aquele recurso. No DAC, o administrador do sistema pode permitir que os usuários definam permissões para outros usuários, o que significa que o acesso pode ser dado ou revogado com base na decisão do proprietário. As permissões geralmente incluem leitura, gravação e execução, e podem ser aplicadas a indivíduos ou grupos. Embora seja mais flexível, o DAC é considerado menos seguro do que o Mandatory Access Control (MAC), pois depende da confiança no usuário para gerenciar corretamente as permissões, o que pode ser vulnerável a erros ou intenções maliciosas.

Exemplos: Windows NTFS, Google Drive, Banco de dados, etc.

Role-Based Access Control (RBAC)

Também conhecido como controle baseado em papéis. Nesta técnica, o administrador garante privilégios de acordo com a função exercida pelo usuário. Esta estratégia simplifica o gerenciamento das permissões dadas aos usuários.

RBAC 0: Esse modelo não possui hierarquia de papéis, o que significa que cada usuário teria que ter permissões específicas configuradas individualmente. Isso seria inviável em um ambiente com muitos usuários e diferentes níveis de acesso.

RBAC 1: Esse modelo introduz a hierarquia de papéis, permitindo que os administradores definam conjuntos de permissões que podem ser atribuídos a diferentes grupos de usuários. No entanto, o RBAC 1 não permite a delegação de permissões, o que pode ser uma limitação em ambientes complexos.

No RBAC 1, a hierarquia permite que um Editor tenha permissões mais restritas que o Admin, e o Leitor tenha permissões ainda mais limitadas, criando uma estrutura mais flexível e fácil de gerenciar em sistemas complexos.

RBAC 2: Esse modelo é o mais adequado para ambientes corporativos em geral. Ele permite a definição de hierarquias de papéis, a delegação de permissões e a restrição de acesso a recursos específicos. Isso oferece maior flexibilidade e granularidade no controle de acesso.

RBAC 3: Esse modelo é uma extensão do RBAC 2 que inclui suporte para controle de acesso baseado em tempo e em contexto. Estamos diante de um recurso de maior complexidade e que envolve um contexto corporativo mais maduro e gerenciável.

Exemplo: Sistema de Banco de Dados com Controle de Acesso Detalhado (como o MySQL ou PostgreSQL).

RBAC 4: Esse modelo é uma proposta recente que ainda não está totalmente implementada. Oferece papéis dinâmicos + Integração com ABAC.

dica

  • RBAC 0:
    Sem hierarquia, configuração manual e individual.
    (Atribuição direta de permissões a usuários, sem papéis ou estrutura de hierarquia).

  • RBAC 1:
    Com hierarquia de papéis.
    (Permissões são atribuídas a papéis, e usuários são associados a esses papéis).

  • RBAC 2:
    Com hierarquia de papéis e restrições baseada em atributos ⚠ (usuário, localização, recursos, papéis).

  • RBAC 3:
    Com hierarquia de papéis, restrições e adição de restrições temporais ⏱ e condições.
    (Além da hierarquia e restrições, permite controlar o acesso com base em tempo e outras condições contextuais).

Attribute-Based Access Control (ABAC)

É uma técnica de controle de acesso que concede ou nega acesso a recursos com base em atributos do sujeito, objeto e contexto.

Exemplo: "Permitir que usuários do departamento de vendas acessem documentos de vendas apenas durante horário comercial e a partir do escritório". Nesse caso, os atributos seriam a identidade do usuário, o departamento, o horário e a localização, e a decisão de acesso dependerá de como esses atributos se relacionam com a política.

Gestão de Acesso

IAM (Gerenciamento de Identidade e Acesso)

Conceito:
O Gerenciamento de Identidade e Acesso (IAM - Identity and Access Management) é um conjunto de práticas, políticas e tecnologias que garantem o gerenciamento adequado das identidades de usuários e o controle do acesso a recursos em uma organização. O IAM permite que apenas usuários autorizados acessem sistemas e dados específicos com base em suas funções e permissões.

Exemplo:
Uma empresa utiliza IAM para garantir que apenas os funcionários da área financeira possam acessar as informações confidenciais de contas bancárias. Acesso é concedido através de autenticação multifatorial (MFA) e controle de permissões.

PAM (Gerenciamento de Acesso Privilegiado)

Conceito:
O Gerenciamento de Acesso Privilegiado (PAM - Privileged Access Management) envolve a prática de controlar e monitorar o acesso de usuários privilegiados a sistemas críticos e dados sensíveis. PAM ajuda a prevenir o uso indevido de permissões de alto nível, como as de administradores de sistema, limitando o acesso a essas funções com base em políticas e auditando todas as ações realizadas.

Exemplo:
Em um ambiente corporativo, apenas um pequeno número de administradores tem permissões para acessar servidores críticos. A ferramenta PAM rastreia todas as ações feitas por esses administradores e exige credenciais temporárias para cada acesso privilegiado.

NTLM (NT LAN Manager)

Conceito:
O NTLM (NT LAN Manager) é um protocolo de autenticação utilizado principalmente em redes Microsoft. Ele foi projetado para autenticar usuários e permitir a comunicação segura em redes Windows, embora já tenha sido substituído pelo Kerberos em sistemas modernos. O NTLM funciona com base em um sistema de "desafio-resposta", onde o servidor verifica a autenticidade da senha do usuário sem transmiti-la diretamente pela rede.

Exemplo:
Quando um usuário tenta acessar um compartilhamento de rede em um ambiente Windows, o NTLM é utilizado para autenticar a identidade do usuário e garantir que ele tenha permissões para acessar o recurso.