Assinale a opção correta acerca de prevenção e tratamento de...

Vamos analisar a questão sobre a prevenção e o tratamento de incidentes decorrentes de ataques a redes de computadores. A alternativa correta é a A.

Alternativa A: O uso de honeypots facilita a análise de tendências de ataques a redes de computadores.

Os honeypots são sistemas ou dispositivos configurados para atrair atacantes, funcionando como armadilhas que simulam vulnerabilidades. Eles não apenas ajudam a identificar tentativas de invasão, mas também coletam dados sobre as técnicas dos atacantes, permitindo uma análise aprofundada das tendências de ameaças. Isso torna a alternativa correta, pois os honeypots são ferramentas valiosas para a análise e melhoria contínua das defesas de uma rede.

Alternativa B: O uso de antivírus é uma prática efetiva de prevenção de ataques por botnets.

Embora os antivírus sejam importantes para detectar e remover malwares, eles não são suficientes para prevenir ataques de botnets. As botnets são redes de computadores infectados que podem ser controladas remotamente para realizar ataques coordenados, e a prevenção eficaz contra esses tipos de ataques requer uma combinação de medidas de segurança, como firewalls, sistemas de detecção de intrusão (IDS) e outras práticas de segurança de rede. Portanto, essa alternativa está incorreta.

Alternativa C: Apenas os eventos adversos à segurança que tenham sido confirmados podem ser enquadrados como incidentes de segurança de rede.

Essa afirmação está incorreta porque, na prática, todos os eventos adversos à segurança, confirmados ou não, devem ser tratados como potenciais incidentes. A rápida resposta a qualquer evento suspeito é crucial para mitigar possíveis danos enquanto se investiga e confirma a natureza do incidente.

Alternativa D: A mudança de políticas de segurança não influencia a identificação da ocorrência de incidentes em redes de computadores.

Esta afirmação é incorreta. A mudança de políticas de segurança pode ter um impacto significativo na identificação e resposta a incidentes. Novas políticas podem introduzir novos controles, modificar a forma como eventos são monitorados, ou mesmo mudar a definição do que constitui um incidente. Portanto, políticas de segurança influenciam diretamente a detecção e o tratamento de incidentes.

Alternativa E: O monitoramento de eventos em uma rede de computadores depende do estabelecimento prévio de um processo de triagem de incidentes.

Embora a triagem de incidentes seja uma prática importante, o monitoramento de eventos em uma rede pode e deve ocorrer independentemente dela. O monitoramento contínuo é necessário para detectar atividades suspeitas em tempo real. A triagem é um passo subsequente, onde eventos monitorados são avaliados e classificados quanto à sua criticidade. Assim, esta alternativa está incorreta.

Espero que esta análise ajude a entender melhor o tema e a lógica por trás da escolha da alternativa correta. Se tiver mais dúvidas ou precisar de mais explicações, estou à disposição!

Por dedução lógica de todas as opções disponíveis:

A) CORRETA - Sim, honeypots podem ajudar e facilitar a análise de tendências em ataques a hosts e redes.

B) O Antivirus somente, não é efetivo. Precisa de um IDS para analisar tráfego fora do padrão vindo de uma estação, um firewall que efetua o bloqueio/filtro do acesso, um IPS que com base nos dados do IDS consiga bloquear tráfego ilegítimo, um Proxy para filtrar acessos a downloads de mais módulos de uma botnet(ou para evitar que o usuário faça a cagada de clicar em um scam), uma solução endpoint para evitar que em primeira mão, software não catalogado pela instituição tenha sido instalado na estação(ou uma whitelist dos executáveis confiáveis para evitar a carga do mesmo em memória). Ou seja, o Antivirus é só a ponta do iceberg na luta contra botnets.

C) Novos tipos de ataque são criados diariamente e com assinaturas distintas. É burrice achar que eventos de segurança dependam de taxonomia prévia.

D) Mudança de políticas influenciam na identificação de incidentes. O que antes poderia ser um tráfego normal, agora pode ser considerado um incidente com políticas mais restritivas.

E) Imagina, só poder monitorar depois de triar toooooooooodos os incidentes possíveis? Seria um caos, e uma tarefa impossível de ser atingida.

Letra A está perfeita.

Fonte: Segurança de Redes em Ambientes Cooperativos - Capítulo 8 - Nakamura

Gabarito: A

Definição de honeypots de acordo com a CERT.br:

Um honeypot é um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido.

SENTE A PEDRADA:

LECIONA NAKAMURA: Uma característica dos honeypots é que não existem falsos positivos como em IDS tradicionais, pois todo o tráfego direcionado ao sistema é real.

Logicamente: por que ele pode facilitar a análise de tendências de ataques?

Porque ele não dá falso positivo.

Porque, a partir do momento em que ele detecta determinado tipo de ataque várias vezes, isso pode ser um indicativo de que mais desses tipos de ataques podem aparecer.