Capitolul 1: Nevoia de securitate cibernetică

Acest capitol explică ce este securitatea cibernetică, precum și motivele pentru care cererea de profesioniști în
domeniul securității informatice este tot mai mare. Veți afla ce înseamnă o identitate online și ce sunt datele
personale online, unde se află acestea, precum și motivele pentru care infractorii cibernetici sunt interesați de
ele.

Acest capitol analizează și subiectul datelor organizaționale și de ce trebuie protejate. Explică cine sunt atacatorii
cibernetici și ce vor. Profesioniștii în domeniul securității cibernetice trebuie să dețină aceleași competențe ca
atacatorii cibernetici, însă trebuie să acționeze conform legislației locale, naționale și internaționale. De
asemenea, profesioniștii în domeniul securității cibernetice trebuie să-și folosească aceste competențe în mod
etic.

În acest capitol veți afla, pe scurt, ce este un război cibernetic și motivele pentru care națiunile și guvernele au
nevoie de profesioniști în domeniul securității cibernetice pentru a-și proteja cetățenii și infrastructura.

Ce este securitatea cibernetică?

Rețeaua de informații electronice a devenit parte integrantă din viața noastră. Toate tipurile de organizații, cum ar
fi instituțiile medicale, financiare și de învățământ, utilizează această rețea pentru a funcționa eficient.
Organizațiile utilizează rețeaua pentru colectarea, procesarea, stocarea și partajarea unor cantități mari de
informații digitale. Pe măsură ce sunt colectate și partajate tot mai multe informații digitale, protecția acestor date
devine și mai importantă atât pentru securitatea națională, cât și pentru stabilitatea economică.

Securitatea cibernetică reprezintă un efort continuu de protejare a sistemelor de rețea și datelor împotriva
utilizărilor sau atacurilor neautorizate. Trebuie să vă protejați identitatea, datele și dispozitivele electronice atât la
nivel personal, cât și profesional. La nivel organizațional, este responsabilitatea fiecăruia dintre noi să protejăm
reputația, datele și clienții companiei pentru care lucrăm. La nivel de stat, se află în joc securitatea națională,
siguranța și bunăstarea cetățenilor.

Identitatea online și offline

Petrecem tot mai mult timp online, iar acțiunile din acest mediu pot avea efecte asupra vieții noastre. Identitatea
offline este reprezentată de persoana cu care interacționează prietenii și familia dvs. zilnic acasă, la școală sau
la serviciu. Ei cunosc informații personale, cum ar fi numele, vârsta sau unde locuiți. Identitatea online se referă
la cine sunteți în spațiul cibernetic. Identitatea online se
referă la modul în care vă prezentați online celorlalți.
Identitatea online trebuie să ofere informații limitate
despre dvs.

Trebuie să aveți grijă atunci când alegeți un nume de

utilizator sau un alias pentru identitatea online. Numele
de utilizator nu trebuie să conțină niciun fel de informații
personale. Trebuie să fie adecvat și decent. Numele de
utilizator nu trebuie să conducă în niciun fel la ideea că
ați putea cădea ușor țintă atacatorilor cibernetici.

Datele

Orice informație despre dvs. are valoare de dată

personală. Informațiile personale vă pot identifica în
mod unic ca individ. Aceste date includ imaginile și
mesajele pe care le schimbați online cu familia și
prietenii. Alte informații, cum ar fi numele, CNP-ul, data
și locul nașterii sau numele de fată al mamei, sunt
cunoscute de dvs. și utilizate pentru a vă identifica. Și
alte informații, cum ar fi cele medicale, financiare, legate de educație și locul de muncă pot fi, de asemenea,
folosite pentru a vă identifica online.

Fișa medicală

De fiecare dată când mergeți la medic, sunt adăugate informații în dosarul medical electronic. Rețetele de la
medicul de familie intră și ele în fișa medicală. Fișa medicală include informații despre starea generală de
sănătate, sănătatea mentală și alte informații personale, nu neapărat medicale. De exemplu, dacă ați fost la
psiholog în copilărie, atunci când în familia dvs. au avut loc niște schimbări majore, și acest lucru va apărea în
dosarul dvs. medical. Pe lângă istoricul medical și informațiile personale, fișa medicală electronică poate include
și informații despre familia dvs.

Dispozitivele medicale, cum ar fi brățările pentru fitness, utilizează platforme cloud pentru a permite transferul
wireless, stocarea și afișarea datelor clinice precum pulsul, tensiunea și valorile glicemiei. Aceste dispozitive pot
genera o cantitate enormă de date clinice, care ar putea fi înregistrate în fișa medicală.

Fișa educațională

Pe măsură ce parcurgeți diferite etape de școlarizare, informațiile despre notele și scorurile obținute la teste,
participarea la cursuri, premiile și diplomele obținute, precum și rapoartele disciplinare se pot regăsi în fișa
matricolă. Aceasta poate include, de asemenea, informații de contact, date medicale și cursuri de specialitate.

Fișa de angajare și fișa fiscală

Fișa fiscală poate include informații despre veniturile și cheltuielile dvs. Fișa fiscală ar putea include detalii
referitoare la pachetul salarial, extrase de card, rating-ul de credit și alte informații bancare. Fișa de angajare
poate include locurile de muncă anterioare și performanțele obținute.

Unde sunt datele dvs.?

Toate aceste informații sunt despre dumneavoastră. Există legi care vă protejează viața privată și datele
personale. Știți unde sunt datele dvs.?

La cabinetul medical, conversația pe care o aveți cu doctorul este înregistrată în fișa medicală. Această
informație poate fi partajată cu compania de asigurări pentru plăți ulterioare. Așadar, o parte a istoricului dvs.
medical se află și la compania de asigurări.

Cardurile de fidelitate ale magazinelor pot fi o modalitate convenabilă de a economisi bani la cumpărături. Cu
toate acestea, magazinul alcătuiește un profil al achizițiilor dvs. și utilizează aceste informații pentru uz propriu.
De exemplu, acest profil poate arăta că un client achiziționează în mod regulat o anumită marcă de pastă de
dinți. Magazinul utilizează aceste informații pentru a prezenta clientului oferte speciale de la parteneri. Prin
utilizarea cardului de fidelitate, magazinul și partenerii săi au profilul comportamentului de cumpărare al unui
client.

Atunci când partajați fotografii online cu prietenii, știți cine altcineva poate avea o copie a fotografiilor? Copii ale
fotografiilor se află pe dispozitivele proprii. Prietenii dvs. pot avea copii ale acestor fotografii pe dispozitivele lor.
Dacă imaginile sunt partajate în mod public, persoane necunoscute pot avea și ele copii ale fotografiilor dvs.
Aceste persoane pot descărca imaginile sau pot face capturi de ecran. Deoarece fotografiile au fost postate
online, ele sunt salvate pe servere localizate în diferite părți ale lumii. Astfel, fotografiile nu se mai află doar în
dispozitivele dvs.

Dispozitivele personale

Dispozitivele personale nu vă stochează doar datele. Aceste dispozitive generează și informații despre dvs. Cu
excepția cazului în care ați ales să primiți informații legate de conturile dvs. pe hârtie, utilizați dispozitive
electronice pentru a vă accesa datele. Dacă doriți o copie a ultimului extras de cont, utilizați calculatorul sau
smartphone-ul pentru a accesa site-ul web al băncii care v-a emis cardul. Dacă doriți să vă plătiți online o rată,
accesați site-ul web al băncii dvs. pentru a transfera fondurile necesare, prin internet banking. Pe lângă faptul că
vă permit să vă accesați informațiile, dispozitivele pe care le folosiți pot genera și informații despre dvs.
Deoarece toate aceste informații sunt disponibile online, datele dvs. personale au devenit profitabile pentru
hackeri.

Vor banii voștri

Infractorii vor tot ce aveți de valoare.

Datele de autentificare online sunt valoroase. Aceste date le oferă hackerilor acces la conturile dvs. Poate credeți
că milele de zbor acumulate nu sunt valoroase pentru criminalii cibernetici. Mai gândiți-vă. Infractorii cibernetici
au spart aproximativ 10.000 de conturi American Airlines și United și au rezervat bilete gratuite și diverse
upgrade-uri utilizând date de autentificare furate. Chiar dacă ulterior milele de zbor au fost restituite clienților de
către companiile aeriene, acest incident demonstrează cât de valoroase sunt datele de autentificare. Un hacker
ar putea, de asemenea, să profite de relațiile dvs. personale. Ar putea să vă acceseze conturile online, pentru a
vă păcăli să vă conectați și să trimiteți bani prietenilor sau familiei. Un hacker ar putea trimite mesaje sub
pretextul că aceștia nu mai pot ajunge acasă din străinătate, pentru că și-au pierdut portofelul.

Criminalii cibernetici au o imaginație foarte bogată atunci când încearcă să vă păcălească să le oferiți bani. Nu
numai că vă fură banii; ar putea, de asemenea, să vă fure identitatea și să vă distrugă viața.

Vă vor identitatea

Hackerii vă fură banii pentru câștiguri imediate, însă pentru profituri pe termen lung recurg la furtul de identitate.

Pe măsură ce cresc costurile serviciilor medicale, se intensifică și furturile de date medicale personale. Hoții de
identitate vă pot fura asigurarea medicală și pot să se folosească de beneficiile medicale pe care le aveți în
interes propriu, acțiuni care ulterior se vor regăsi în fișa dvs. medicală.

Procedurile de depunere a declarațiilor de impozit anuale pot varia de la o țară la alta. Pentru infractorii
cibernetici, această perioadă reprezintă o oportunitate. De exemplu, contribuabilii din Statele Unite trebuie să
depună declarațiile de impozit până la data de 15 aprilie a fiecărui an. Agenția de Administrare Fiscală a Statelor
Unite (Internal Revenue Service, IRS) nu confruntă declarația fiscală cu informațiile furnizate de angajator până
în luna iulie. Un hoț de identitate poate depune o declarație fiscală falsă și poate colecta rambursările.
Contribuabilii legitimi vor observa greșeala doar în momentul în care declarațiile lor sunt respinse de IRS. Hoții
de identitate mai pot deschide conturi de card și pot acumula datorii în numele dvs. Acest lucru vă va afecta
scoring-ul bancar, iar obținerea de împrumuturi va fi mai dificilă.

De asemenea, datele de autentificare personale le pot permite hoților accesul la date corporate și
guvernamentale.

Tipuri de date organizaționale

Date tradiționale

Datele companiei includ informații despre angajați, drepturi de proprietate intelectuală și date financiare.
Informațiile despre angajați includ fișe de angajare, salarizare, scrisori de ofertă, contracte și orice alte informații
legate de procesul de angajare. Drepturile de proprietate intelectuală, adică brevetele, mărcile comerciale și
ideile de produse noi, permit unei companii să obțină un avantaj economic față de concurenții săi. Proprietatea
intelectuală poate fi considerată un secret comercial, iar pierderea acestor informații poate fi dezastruoasă pentru
viitorul companiei. Datele financiare, cum ar fi declarațiile de venit, bilanțurile și situația fluxurilor de numerar ale
unei companii oferă o perspectivă asupra viabilității firmei.

Internet of Things și „Big Data”

Odată cu apariția Internet of Things (IoT), tot mai multe date trebuie gestionate și protejate. IoT este o rețea
vastă de obiecte fizice, cum ar fi senzori și echipamente, care se extinde dincolo de rețeaua de calculatoare
tradițională. Aceste conexiuni, dar și extinderea capacității și serviciilor de stocare prin intermediul Cloud-ului și
virtualizării, conduc la creșterea exponențială a datelor. Aceste date au creat un nou pol de interes pentru
specialiștii din tehnologie și afaceri numit „Big Data”. Având în vedere viteza, volumul și varietatea datelor
generate de IoT și operațiunile zilnice ale companiilor, confidențialitatea, integritatea și disponibilitatea acestor
date sunt vitale pentru supraviețuirea organizației.
Confidențialitate, integritate și disponibilitate

Confidențialitatea, integritatea și disponibilitatea, cunoscută sub

numele de triada CIA (C - Confidentiality, I - Integrity, A - Availability;
Figura 1), reprezintă un ghid pentru securitatea informațiilor unei
organizații. Confidențialitatea asigură protecțidatelor prin
restricționarea accesului și criptarea autentificării. Integritatea asigură
faptul că informațiile sunt corecte și demne de încredere.
Disponibilitatea garantează că informațiile sunt accesibile
persoanelor autorizate.

Confidențialitatea

Un alt termen pentru confidențialitate ar fi intimitate. Politicile

companiei ar trebui să limiteze accesul la informații pentru personalul
autorizat și să se asigure că doar persoanele autorizate vizualizează
aceste date. Datele pot fi divizate în funcție de nivelul de securitate
sau de sensibilitate al informațiilor. De exemplu, un dezvoltator de
programe Java nu ar trebui să aibă acces la informațiile personale
ale tuturor angajaților. În plus, angajații ar trebui să beneficieze de
instruire pentru a înțelege care sunt cele mai bune practici de
securizare a informațiilor sensibile, pentru a se proteja pe ei înșiși și
compania de atacuri. Metodele de asigurare a confidențialității includ
criptarea datelor, ID-ul de utilizator și parola, autentificarea cu doi factori și un grad redus de expunere a
informațiilor sensibile.

Integritatea

Integritatea reprezintă acuratețea, coerența și fiabilitatea

datelor pe parcursul întregului ciclu de viață al acestora.
Datele trebuie să fie neschimbate în timpul tranzitului și să nu
fie modificate de entități neautorizate. Nivelurile de
permisiune atribuite unor fișiere și controlul accesului
utilizatorilor pot împiedica infiltrările neautorizate. Controlul
versiunilor poate fi folosit pentru a împiedica modificările
accidentale de către utilizatorii autorizați. Trebuie să fie
disponibile copii de rezervă pentru a recupera datele corupte,
iar procedura „checksum hashing” poate fi utilizată pentru a
verifica integritatea datelor în timpul transferului.

„Checksum” este utilizat pentru a verifica integritatea fișierelor

sau a șirurilor de caractere, după ce au fost transferate de la
un dispozitiv la altul prin rețeaua locală sau prin Internet.
„Checksum” se calculează cu ajutorul funcțiilor hash. Unele
dintre „checksum”-urile comune sunt MD5, SHA-1, SHA-256
și SHA-512. O funcție hash folosește un algoritm matematic
pentru a transforma datele în valori cu lungimi fixe, care
reprezintă datele, așa cum se arată în Figura 2. Valoarea
hashed este acolo doar pentru comparație. Din valoarea
hashed, datele originale nu pot fi preluate direct. De exemplu,
dacă ați uitat parola, parola dvs. nu poate fi recuperată din valoarea hashed. Parola trebuie resetată.

După descărcarea unui fișier, puteți inspecta integritatea acestuia verificând valorile hash din sursă cu cele
generate folosind orice calculator hash. Comparând valorile hash, puteți garanta că fișierul nu a fost modificat
sau deteriorat în timpul transferului.

Disponibilitatea

Întreținerea echipamentelor, efectuarea reparațiilor hardware, actualizarea sistemelor de operare și a software-

ului și crearea de copii de siguranță garantează disponibilitatea rețelei și a datelor pentru utilizatorii autorizați. De
asemenea, trebuie să existe planuri de recuperare rapidă a datelor în urma unor dezastre naturale sau provocate
de om. Echipamente de securitate sau software, precum firewall, oferă protecție în cazul perioadelor de
nefuncționare generate de atacurile de tip denial of service (DoS). Denial of service se referă la acțiunea prin
care un hacker încearcă să suprasoliciteze resursele, astfel încât serviciile să nu fie disponibile utilizatorilor.
Consecințele unei breșe de securitate

O organizație nu se poate proteja împotriva tuturor atacurilor

cibernetice, din câteva motive. Expertiza necesară pentru crearea și
întreținerea unei rețele securizate poate fi costisitoare. Atacatorii vor
continua să găsească noi modalități de a viza rețelele. În cele din urmă,
un atac cibernetic avansat și țintit va reuși să penetreze sistemele de
securitate. În acel moment, prioritatea va fi rapiditatea cu care echipa
dvs. de securitate răspunde la atac, pentru a micșora pierderile de date,
timpii de nefuncționare a sistemelor și pierderile financiare.

Ați aflat deja că orice conținut postat online poate rămâne online pentru
totdeauna, chiar dacă ați reușit să ștergeți toate copiile aflate în posesia
dvs. Dacă serverele dvs. au fost sparte, informațiile confidențiale
despre angajați ar putea fi făcute publice. Un hacker (sau un grup de
hackeri) poate vandaliza site-ul companiei prin postarea de informații
false și distruge astfel reputația companiei, construită în ani de zile. De
asemenea, hackerii pot opri funcționarea site-ului companiei, generând
pierderi de venituri. În cazul în care site-ul web nu poate fi accesat
perioade mai lungi de timp, compania își poate pierde credibilitatea.
Dacă site-ul web sau rețeaua companiei au suferit o breșă de
securitate, pot avea loc scurgeri de informații confidențiale, dezvăluiri
de secrete comerciale și furturi de proprietate intelectuală. Pierderea
acestor informații poate împiedica dezvoltarea viitoare a companiei.

Costul unei breșe de securitate este semnificativ mai mare decât simpla înlocuire a dispozitivelor pierdute sau
furate, investițiile în infrastructura de securitate și consolidarea securității fizice a clădirii. Compania este
responsabilă de contactarea tuturor clienților afectați de breșa de securitate și poate fi nevoită să se pregătească
pentru soluționarea unor litigii. Din cauza acestor incidente, angajații pot alege să părăsească compania. În loc
să se concentreze pe creștere, organizația este nevoită să se gândească la modalități de restabilire a reputației
pierdute.

Exemplul 1 - breșă de securitate

Managerul online de parole LastPass a detectat o activitate neobișnuită în rețea în iulie 2015. S-a dovedit că
hackerii au furat adrese de e-mail, remindere de parole și hash-uri de autentificare. Din fericire pentru utilizatori,
hackerii nu au reușit să obțină parolele criptate cu ajutorul programelor de securizare a parolelor.

Chiar dacă a fost afectat de o breșă de securitate, LastPass putea să protejeze în continuare informațiile privind
conturile utilizatorilor. LastPass solicită verificare prin intermediul e-mailului sau autentificare multi-factor ori de
câte ori este făcută o autentificare nouă de la un dispozitiv sau o adresă IP necunoscute. Pentru a accesa contul,
hackerii ar avea nevoie de parola master.

Utilizatorii LastPass sunt, de asemenea, responsabili de protejarea propriilor conturi. Utilizatorii trebuie să
folosească întotdeauna parole complexe și să le modifice periodic. Utilizatorii trebuie să fie întotdeauna atenți la
atacurile de tip Phishing. Un exemplu de atac Phishing se referă la primirea unor e-mailuri false care pretind că
vin de la LastPass. E-mailurile solicită utilizatorilor să dea click pe un link și să schimbe parola. Link-ul din e-mail
trimite către o versiune frauduloasă a site-ului, folosit pentru furtul parolei. Utilizatorii nu trebuie să acceseze
niciodată link-urile încorporate într-un e-mail. De asemenea, trebuie să fie atenți atunci când apelează la serviciul
de reamintire a parolei. Acesta nu ar trebui să conțină elemente care să trădeze parola. Nu în ultimul rând, e
foarte important ca utilizatorii să permită autentificarea multi-factor ori de câte ori aceasta este disponibilă.

Dacă utilizatorii și furnizorii de servicii folosesc instrumentele și procedurile adecvate de securizare a

informațiilor, datele utilizatorilor vor putea fi protejate, chiar și în cazul unei breșe de securitate.

Exemplul 2 - breșă de securitate

Vtech, un producător de jucării high-tech pentru copii, a suferit o breșă de securitate în noiembrie 2015. Breșa de
securitate ar fi putut afecta milioane de clienți din întreaga lume, inclusiv copii. În urma atacului, au fost expuse
informații sensibile, inclusiv numele clienților, adresele de e-mail, parolele, fotografiile și conversațiile chat.
Ținta hackerilor a fost o tabletă pentru copii. Clienții au partajat fotografii și au folosit funcțiile de chat pe tablete.
Informațiile nu au fost securizate corespunzător, iar site-ul web al companiei nu suporta o comunicare SSL
securizată. Chiar dacă nu au fost expuse informații despre carduri și date de identificare personală, compania a
fost suspendată la bursă, din cauza îngrijorărilor cauzate de atac.

Vtech nu a protejat corespunzător informațiile clienților, iar baza de date a fost expusă pe durata atacului. Chiar
dacă Vtech și-a informat clienții că parolele lor au fost atacate, hackerii ar fi putut încă să le descifreze. Parolele
din baza de date erau codificate cu funcția hash MD5, dar întrebările și răspunsurile de securitate au fost stocate
sub formă de text. Din păcate, funcția hash MD5 este vulnerabilă. Hackerii pot determina parolele originale prin
compararea a milioane de valori hash pre-calculate.

Pe baza informațiilor obținute în urma acestui atac, infractorii cibernetici ar putea să creeze conturi de e-mail, să
solicite credite bancare și să comită infracțiuni. De asemenea, infractorii cibernetici puteau viza și alte conturi
online ale părinților, deoarece mulți oameni reutilizează parolele pentru diferite site-uri și conturi.

Breșa de securitate a afectat viața privată a clienților și a distrus reputația companiei, activitatea acesteia fiind
suspendată la bursă.

Acest incident este un avertisment pentru părinți să fie mai vigilenți în ceea ce privește viața privată online a
copiilor lor și să solicite o mai bună securitate a produselor pentru copii. Furnizorii de produse conectate la rețea
trebuie să asigure o mai bună securitate a datelor, pe măsură ce peisajul atacurilor cibernetice evoluează.

Exemplul 3 - breșă de securitate

Equifax Inc. este una dintre agențiile naționale de raportare a creditelor de consum din Statele Unite. Această
companie colectează informații despre milioane de clienți și companii din întreaga lume. Pe baza informațiilor
colectate, sunt create scoring-uri și rapoarte de credit despre clienți. Aceste informații pot avea un impact asupra
clienților atunci când solicită împrumuturi și când caută un loc de muncă.

În septembrie 2017, Equifax a anunțat în mod public că a suferit o breșă de securitate. Atacatorii au exploatat o
vulnerabilitate în software-ul aplicației web Apache Struts. Compania crede că milioane de date personale ale
consumatorilor americani au fost accesate de infractorii cibernetici între mai și iulie 2017. Datele personale includ
numele complet al clienților, CNP-urile, datele de naștere, adresele și alte informații personale de identificare.
Există dovezi că în urma atacului pot fi afectați și clienții din Marea Britanie și Canada.

Equifax a creat un site web dedicat, care permite consumatorilor să determine dacă informațiile lor au fost
compromise și să solicite protecție împotriva furtului de informații și monitorizare a creditelor. Folosirea unui
nume de domeniu nou, în loc de un subdomeniu al equifax.com, a permis infractorilor cibernetici să creeze site-
uri web neautorizate cu nume similare. Aceste site-uri web pot fi folosite ca parte a unei scheme de phishing
pentru a vă păcăli să oferiți informații personale. Mai mult decât atât, un angajat Equifax a postat în social media
un link web incorect pentru clienții îngrijorați. Din fericire, acest site web a fost dezactivat în 24 de ore. A fost
creat de o persoană care l-a utilizat în scop educațional, pentru a expune vulnerabilitățile existente în pagina de
răspuns a Equifax.

În calitate de client, sunteți îngrijorat și vreți să verificați rapid dacă datele dvs. au fost compromise, astfel încât
să puteți micșora posibilul impact. Într-o perioadă de criză, ați putea fi păcălit să utilizați site-uri web neautorizate.
Ar trebui să fiți precaut în ceea ce privește furnizarea de informații personale, pentru a nu deveni din nou victimă.
În plus, companiile sunt responsabile pentru păstrarea informațiilor noastre în siguranță față de orice acces
neautorizat. Companiile trebuie să folosească patch-uri și să actualizeze constant programele software pentru a
limita riscurile legate de exploatarea vulnerabilităților cunoscute. Angajații lor ar trebui să fie educați și informați
asupra procedurilor de securitate a datelor și a acțiunilor care trebuie întreprinse în cazul unei breșe de
securitate.

Victimele unei breșe de securitate sunt persoanele ale căror date e posibil să fi fost compromise. În acest caz,
Equifax are sarcina de a proteja datele colectate de la consumatori când fac verificări de credit, deoarece clienții
nu au ales să utilizeze serviciile oferite de Equifax. Consumatorul trebuie să aibă încredere că organizația îi va
proteja informațiile personale. În plus, atacatorii pot folosi aceste date pentru a-și asuma o altă identitate, fiind
foarte dificil de dovedit clientul real, deoarece atât atacatorul, cât și victima cunosc aceleași informații. În aceste
situații, tot ce puteți face este să aveți grijă atunci când furnizați informații personale de identificare pe Internet.
Verificați regulat rapoartele dvs. de credit (o dată pe lună sau o dată pe trimestru). Raportați imediat orice
informație falsă, cum ar fi cereri de credit pe care nu le-ați inițiat sau achiziții prin card pe care nu le-ați făcut.
Tipuri de atacatori

Atacatorii sunt indivizi sau grupuri de persoane care încearcă să exploateze vulnerabilități pentru câștiguri
personale sau financiare. Atacatorii sunt interesați de orice informație valoroasă, de la carduri de credit la design
de produs.

Amatori – se mai numesc și Script Kiddies. Acești atacatori au puține abilități sau deloc și folosesc instrumentele
sau instrucțiunile găsite pe Internet pentru a lansa atacuri. Unii dintre ei sunt doar curioși, în timp ce alții încearcă
să-și demonstreze abilitățile și să facă rău. Chiar dacă instrumentele folosite nu sunt sofisticate, rezultatele pot fi
devastatoare.

Hackeri – atacă rețele sau computere pentru a avea acces la informații. În funcție de intenția de atac, acești
atacatori sunt clasificați astfel: white hats, gray hats și black hats. Atacatorii de tip „white hats” penetrează rețele
sau sisteme informatice pentru a descoperi vulnerabilități, astfel încât să îmbunătățească securitatea sistemelor.
Aceste atacuri sunt realizate cu permisiunea proprietarului, iar rezultatele sunt raportate acestuia. Atacatorii de
tip „black hats” profită de orice vulnerabilitate pentru câștiguri personale, financiare sau politice ilegale. Atacatorii
de tip „gray hats” se situează între atacatorii „white hats” și cei „black hats”. Atacatorii „gray hats” pot găsi o
vulnerabilitate într-un sistem. Atacatorii „gray hats” pot găsi o vulnerabilitate într-un sistem, pe care s-o raporteze
ulterior proprietarilor, dacă acea acțiune coincide cu agenda lor. Unii hackeri „gray hats” publică informațiile
despre vulnerabilități pe Internet, astfel încât alți atacatori să le poată exploata.

Figura alăturată oferă detalii despre următorii termeni: white hat hacker, black hat hacker și gray hat hacker.

Hackeri organizați – Se referă la organizațiile de infractori cibernetici, hacktiviști, teroriști și hackeri sponsorizați
de state. Infractorii cibernetici sunt, de obicei, grupuri de infractori profesioniști, al căror scop este să obțină
control, putere și bani. Infractorii sunt extrem de sofisticați şi organizați, şi își pot chiar oferi serviciile pentru alţi
infractori. Hacktiviștii fac declarații politice pentru a sensibiliza publicul asupra unor probleme importante pentru
ei. Atacatorii sponsorizați de stat colectează informații sau comit acțiuni de sabotaj în numele guvernului lor.
Acești atacatori sunt, de obicei, foarte bine instruiți și plătiți, iar atacurile lor au obiective specifice, în beneficiul
guvernelor lor.

Hackeri White Hat – Acestia sunt hackeri etici care isi folosesc abilitatile de programare in scopuri bune, etice si
legale. Atacatorii de tip „white hats” penetreaza retele sau sisteme informatice pentru a descoperi vulnerabilitati,
astfel incat sa imbunatateasca securitatea sistemelor. Vulnerabilitatile de securitate sunt raportate dezvoltatorilor
pentru ca acestia sa le remedieze inainte ca ele sa fie exploatate. Unele organizatii ofera premii sau recompense
hackerilor white hats atunci cand acestia le informeaza despre o vulnerabilitate.

Hackeri Grey Hat – Indivizi care comit infractiuni si actioneaza neetic, dar nu pentru un castig personal sau
pentru a provoca pagube. Cineva care penetreaza o retea fara permisiune si face publica vulnerabilitatea. Un
hacker grey hat poate penetra si gasi o vulnerabilitate intr-un sistem, pe care s-o raporteze ulterior proprietarilor.
Acest lucru permite organizatiei sa rezolve problema.

Hackeri Black Hat – Indivizi neetici, care penetreaza retelele pentru un castig personal sau din dorinta de a
ataca reteaua. Hackerii de tip Black hat exploateaza vulnerabilitati pentru a compromite sistemele si reteaua.

Amenințări interne și externe

Amenințări de securitate interne

Atacurile pot proveni din interiorul unei organizații, sau din afara organizației, așa cum se arată în figură. Un
utilizator intern, adică un angajat sau un partener contractual, poate accidental sau intenționat:

 să utilizeze necorespunzător informații confidențiale

 să compromită buna funcționare a serverelor interne sau ale dispozitivelor de infrastructură de rețea
 să faciliteze lansarea unor atacuri din exterior, prin conectarea la rețeaua companiei a unor dispozitive
USB infectate

 să permită pătrunderea în rețea, în mod accidental, a unor programe malware prin intermediul e-mail-
ului sau site-urilor web rău intenționate
 Amenințările interne au
potențialul de a provoca
daune mai mari decât
amenințările externe,
deoarece utilizatorii
interni au acces direct în
clădire și la infrastructură.
Angajații au, de
asemenea, cunoștințe
despre rețeaua
companiei, resursele și
datele confidențiale,
precum și despre
nivelurile de utilizare sau
privilegiile acordate.

Amenințări de
securitate externe

Amenințările externe din

partea amatorilor sau
atacatorilor calificați pot exploata vulnerabilitățile din dispozitivele de rețea sau de calcul, sau pot folosi tehnici
precum social engineering pentru a avea acces la date.

Ce este Cyberwarfare?

Cyberspace (spațiul cibernetic) a devenit o zonă importantă de război, în care națiunile se pot lupta fără să
comaseze trupe și aparatura tradițională de război. Acest lucru permite țărilor cu o prezență militară redusă să fie
la fel de puternice ca alte națiuni din spațiul cibernetic. Cyberwarfare (războiul cibernetic) reprezintă un conflict
derulat pe internet, care presupune penetrarea sistemelor informatice și rețelelor altor națiuni. Acești atacatori au
resursele și expertiza pentru a lansa atacuri masive pe internet împotriva altor națiuni, pentru a provoca daune
sau pentru a întrerupe servicii, cum ar fi oprirea unei rețele energetice.

Un exemplu de atac sponsorizat de stat este cel legat de programul malware Stuxnet, care a fost conceput
pentru a ataca facilități nucleare din Iran. Stuxnet nu a furat informații din calculatoarele infectate. A fost proiectat
pentru a distruge echipamentele fizice controlate de calculatoare. A folosit o codificare modulară programată
pentru a efectua o anumită sarcină în cadrul malware. Deoarece a utilizat certificate digitale furate, acțiunile au
fost considerate legitime de către sistem. Clic Play, pentru a urmări un videoclip despre Stuxnet.

Clic aici pentru a citi transcrierea acestui video. Clic aici pentru a vedea un alt videoclip și a afla mai multe despre
Stuxnet.

Scopul Cyberwarfare

Scopul principal al războiului cibernetic este de a obține un avantaj în fața adversarilor.

O națiune poate ataca infrastructura altei națiuni în mod constant, îi poate fura secretele militare și colecta
informații despre tehnologie, pentru a reduce decalajele industriale și militare. Pe lângă spionajul industrial și
militar, războiul cibernetic poate sabota infrastructura altor națiuni și duce la pierderi de vieți omenești. De
exemplu, un atac poate perturba activitatea centralei electrice a unui mare oraș. Traficul rutier ar putea fi
întrerupt. Schimbul de bunuri și servicii nu ar mai avea loc. Pacienții nu ar putea beneficia de îngrijirea necesară
în situații de urgență. Accesul la Internet poate fi, de asemenea, perturbat. Un atac asupra rețelei electrice poate
afecta viața de zi cu zi a cetățenilor obișnuiți.

În plus, accesul la date sensibile le oferă atacatorilor posibilitatea de a șantaja personalul guvernamental. Astfel,
un atacator poate pretinde că este un utilizator autorizat pentru a accesa informații sau echipamente sensibile.

Dacă guvernul nu se poate apăra împotriva atacurilor cibernetice, cetățenii își pot pierde încrederea în
capacitatea guvernului de a-i proteja. Războiul cibernetic poate destabiliza o națiune, poate perturba comerțul și
poate decredibiliza guvernul în fața cetățenilor, fără ca țara vizată de toate aceste acțiuni să fie invadată militar.
Rezumat capitolul 1: Nevoia de securitate cibernetică

În acest capitol sunt explicate caracteristicile securității cibernetice. Sunt explicate motivele pentru care cererea
de profesioniști în domeniul securității informatice va continua să crească. În acest capitol aflați de ce identitatea
și datele dvs. personale online sunt vulnerabile în fața infractorilor cibernetici. De asemenea, aflați ce măsuri
puteți lua pentru a vă proteja identitatea și datele personale online.

Acest capitol abordează și subiectul datelor organizaționale: ce sunt, unde se află și de ce trebuie protejate.
Explică cine sunt atacatorii cibernetici și ce vor. Profesioniștii în domeniul cibernetic trebuie să aibă aceleași
competențe ca atacatorii cibernetici. Profesioniștii în domeniul securității informatice trebuie să lucreze în limitele
legislației locale, naționale și internaționale. De asemenea, profesioniștii în domeniul securității cibernetice
trebuie să-și folosească aceste competențe în mod etic.

De asemenea, acest capitol explică pe scurt războiul cibernetic, precum și motivele pentru care națiunile și
guvernele au nevoie de profesioniști în domeniul securității informatice pentru a-și proteja cetățenii și
infrastructura.

Dacă doriți să aflați detalii despre noțiunile prezentate în acest capitol, vă rugăm să consultați pagina Additional
Resources and Activities din Student Resources.

Capitolul 2: Atacuri, concepte și tehnici

Acest capitol abordează modalitățile prin care profesioniștii din domeniul securității informatice analizează ce s-a
întâmplat după un atac cibernetic. Capitolul explică vulnerabilitățile de securitate software și hardware, precum și
diferitele categorii de vulnerabilități de securitate.

Sunt discutate diferitele tipuri de software rău intenționat (cunoscut sub numele de malware) și simptomele
programelor malware. Sunt abordate diferitele moduri prin care atacatorii se pot infiltra într-un sistem, precum și
atacurile de tip „denial of service”.

Majoritatea atacurilor cibernetice moderne sunt considerate atacuri mixte. Atacurile mixte utilizează tehnici
multiple pentru a penetra și a ataca un sistem. Atunci când un atac nu poate fi prevenit, este de datoria unui
profesionist în domeniul cibernetic să reducă impactul acestui atac.

Găsirea vulnerabilităților de securitate

Vulnerabilitățile de securitate reprezintă orice tip de eroare software sau hardware. După ce au dobândit
cunoștințe despre o vulnerabilitate, utilizatorii rău intenționați doresc să o exploateze. Un exploit este termenul
utilizat pentru a descrie un program scris pentru a profita de o vulnerabilitate cunoscută. Acțiunea de a folosi un
„exploit” împotriva unei vulnerabilități este numită atac. Scopul atacului este de a avea acces la sistem, la datele
pe care le găzduiește sau la o anumită resursă.

Vulnerabilitățile software

Vulnerabilitățile software apar în urma unor erori în sistemul de operare sau în codul de aplicație. În ciuda
eforturilor lansate de companii în găsirea și repararea vulnerabilităților software, tot timpul apar noi vulnerabilități.
Microsoft, Apple și alți producători de sisteme de operare lansează patch-uri și actualizări aproape în fiecare zi.
Foarte des întâlnite sunt și actualizările de aplicații. Aplicații precum browserele web, aplicațiile mobile și
serverele web sunt adesea actualizate de companiile sau organizațiile responsabile de ele.

În 2015, o vulnerabilitate majoră, numită SYNful Knock, a fost descoperită în Cisco IOS. Această vulnerabilitate a
permis atacatorilor să obțină control asupra unor routere de tip enterprise, precum Cisco 1841, 2811 și 3825.
Atacatorii pot astfel monitoriza comunicarea din rețea și pot avea capacitatea de a infecta alte dispozitive de
rețea. Această vulnerabilitate a fost introdusă în sistem în urma instalării unei versiuni IOS modificate. Pentru a
evita acest lucru, verificați întotdeauna integritatea versiunii IOS descărcate și limitați accesul la echipamentele
fizice doar pentru personalul autorizat.

Scopul actualizărilor software este să asigure un grad sport de protecție împotriva amenințărilor de securitate și
să evite exploatarea vulnerabilităților. Unele companii au echipe de testare dedicate care caută, identifică și
remediază vulnerabilitățile software înainte ca acestea să poată fi exploatate. De asemenea, există terțe grupuri
de cercetători în securitate care se specializează în depistarea vulnerabilităților software.

Project Zero de la Google este un foarte bun exemplu al unei astfel de practici. După ce a descoperit o serie de
vulnerabilități în diverse programe software folosite de utilizatorii finali, Google a format o echipă permanentă
dedicată depistării vulnerabilităților software. Google Security Research poate fi găsită aici.

Vulnerabilitățile hardware

Vulnerabilitățile hardware apar ca urmare a unor erori de design hardware. Memoria RAM, de exemplu,
înseamnă, în esență, condensatoare instalate foarte aproape unul de celălalt. S-a descoperit că, din cauza
apropierii, modificările constante aplicate unuia dintre aceste condensatoare pot influența condensatorii vecini.
Pe baza acestui defect de proiectare, a fost creat un exploit numit Rowhammer. Prin rescrierea memoriei în mod
repetat în aceleași adrese, exploit-ul Rowhammer permite ca datele să fie preluate din celulele de memorie din
apropiere, chiar dacă celulele sunt protejate.

Vulnerabilitățile hardware sunt specifice diferitelor modele de dispozitive și în general nu sunt exploatate prin
încercări de compromitere aleatorii. În timp ce exploit-urile hardware sunt mai frecvente în atacurile bine
direcționate, măsurile obișnuite de securitate împotriva malware reprezintă o protecție suficientă pentru
utilizatorul de zi cu zi.

Clasificarea vulnerabilităților de securitate

Majoritatea vulnerabilităților de securitate software se încadrează în una din următoarele categorii:

Buffer overflow – Această vulnerabilitate apare atunci când datele sunt scrise dincolo de limitele unui buffer.
Buffer-ele sunt zone de memorie alocate unei aplicații. Prin schimbarea datelor dincolo de limitele unui buffer,
aplicația accesează memoria alocată altor procese. Acest lucru poate duce la căderea sistemului, compromiterea
datelor sau poate permite extinderea privilegiilor de acces.

Non-validated input –Programele funcționează prin introduceri de date (data input). Datele care intră în
program ar putea transporta conținut rău intenționat, conceput pentru a forța programul să se comporte anormal.
Imaginați-vă un program care primește o imagine pentru procesare. Un utilizator rău intenționat poate crea un
fișier imagine cu dimensiuni nevalide. Dimensiunile greșite ar putea forța programul să aloce buffere de
dimensiuni incorecte și neașteptate.

Race conditions – Această vulnerabilitate apare atunci când output-ul unui eveniment depinde de ieșirile
comandate sau temporizate. O „race condition” devine o vulnerabilitate, atunci când evenimentele comandate
sau temporizate nu se produc în ordinea corectă sau la momentul potrivit.

Puncte slabe în practicile de securitate – Sistemele și datele sensibile pot fi protejate prin tehnici precum
autentificare, autorizare și criptare. Dezvoltatorii nu ar trebui să încerce să creeze algoritmi de securitate proprii,
deoarece cel mai probabil vor introduce vulnerabilități. Este recomandat ca dezvoltatorii să folosească librării de
securitate care au fost deja create, testate și verificate.

Probleme de control al accesului– Controlul accesului este procesul prin care este controlată utilizarea rețelei
și presupune activități precum gestionarea accesului fizic la echipament, până la a impune cine are acces la o
resursă, cum ar fi un fișier, și ce poate face cu acesta, cum ar fi citirea sau modificarea fișierului. Multe
vulnerabilități de securitate sunt create de utilizarea necorespunzătoare a proceselor de control al accesului.

Aproape toate procesele de control al accesului și practicile de securitate pot fi eludate dacă atacatorul are acces
fizic la echipamentele țintă. De exemplu, indiferent de cum ați stabilit permisiunile unui fișier, sistemul de operare
nu poate împiedica pe cineva să ocolească sistemul de operare și să citească datele direct de pe disc. Pentru a
proteja mașina și datele pe care aceasta le conține, accesul fizic trebuie să fie restricționat și trebuie utilizate
tehnici de criptare pentru a proteja datele împotriva furturilor sau distrugerilor.

Tipuri de malware

Prescurtare de la „Malicious software” (software rău intenționat), malware este orice cod care poate fi folosit
pentru a fura date și a ocoli procesele de control al accesului, pentru a provoca daune sau a compromite un
sistem. Iată câteva tipuri comune de malware:
Spyware – Acest tip de malware este proiectat pentru a urmări și spiona utilizatorul. Spyware includ adesea
sisteme de urmărire a activității, sisteme keystroke collection care strâng informații despre succesiunea în care
sunt lovite tastele și captarea de date. În încercarea de a ocoli măsurile de securitate, aplicațiile spyware
modifică adesea setările de securitate. Spyware se îmbină deseori cu software legitim sau cu troieni.

Adware – Software-ul pentru publicitate este conceput pentru a livra anunțuri în mod automat. Adware este
adesea instalat cu unele versiuni de software. Unele programe adware sunt concepute să difuzeze numai
reclame, dar sunt foarte des întâlnite și situațiile în care adware este însoțit de programe spyware.

Bot – De la cuvântul robot, un bot este un malware conceput pentru a efectua automat acțiuni, de obicei online.
Majoritatea boților sunt inofensivi, însă utilizarea boților în scopuri ilegitime devine tot mai ridicată. Botnet-urile se
referă la infectarea mai multor calculatoare cu bots care sunt programați să aștepte comenzile furnizate de
atacator.

Ransomware – Acest malware este conceput pentru a ține captiv un sistem informatic sau datele pe care acesta
le conține până la efectuarea unei plăți. Ransomware funcționează de obicei prin criptarea datelor din computer
cu o cheie necunoscută utilizatorului. Alte versiuni de ransomware pot profita de anumite vulnerabilități ale
sistemului pentru blocarea în întregime a sistemului. Ransomware se răspândește prin intermediul unui fișier
descărcat sau printr-o vulnerabilitate software.

Scareware – Acesta este un tip de malware conceput pentru a convinge utilizatorul să întreprindă o acțiune
specifică bazată pe frică. Scareware deschide ferestre pop-up care seamănă cu ferestrele de dialog din sistemul
de operare. Aceste ferestre transmit mesaje false care anunță că sistemul este în pericol sau are nevoie de
executarea unui program specific pentru a reveni la funcționarea normală. În realitate, nu există probleme, iar
dacă utilizatorul este de acord și șterge programul menționat pentru a fi rulat, sistemul său va fi infectat cu
malware.

Rootkit – Acest malware este conceput pentru a modifica sistemul de operare, astfel încât să creeze o portiță de
acces. Atacatorii folosesc apoi această portiță pentru a accesa computerul de la distanță. Majoritatea rootkit-
urilor profită de vulnerabilitățile software pentru a extinde privilegiile de acces și a modifica fișierele de sistem.
Rootkit-urile modifică instrumentele de monitorizare ale sistemului, ceea ce le face foarte greu de detectat. Un
calculator infectat cu un rootkit are nevoie de o curățare completă și de o reinstalare a sistemului de operare.

Virus - Un virus este un cod executabil malware, atașat la alte fișiere executabile, adesea programe legitime.
Majoritatea virușilor necesită declanșarea de către utilizatorul final și se pot activa la un anumit moment sau o
anume dată. Virușii pot fi inofensivi și pot afișa o imagine sau pot fi distrugători, cum sunt cei care modifică sau
șterg date. Virușii pot fi, de asemenea, programați să se modifice, pentru a evita detectarea. În prezent,
majoritatea virușilor se răspândesc prin intermediul unităților USB, discurilor optice, partajărilor în rețea sau e-
mail-ului.

Troian Un troian este un malware care execută operațiuni rău intenționate disimulate ca operațiuni dorite. Acest
cod rău intenționat exploatează privilegiile utilizatorului care îl execută. Adesea, troienii se găsesc în fișiere
imagine, fișiere audio sau jocuri. Un Troian diferă de un virus, deoarece se atașează de fișiere non-executabile.

Worms – este un cod rău intenționat care se repetă prin exploatarea independentă a vulnerabilităților din rețele.
De obicei, worms încetinesc rețelele. În timp ce un virus necesită un program gazdă pentru a rula, worms pot rula
singuri. În afară de infecția inițială, ei nu mai implică ulterior utilizatorii. După ce o gazdă este infectată, worm-ul
se poate răspândi foarte repede în rețea. Worms au tipare similare. Au o vulnerabilitate activă, o modalitate de a
se propaga singuri și conțin un payload.

Worms sunt responsabili pentru unele dintre cele mai devastatoare atacuri pe Internet. Așa cum se arată în
Figura 1, în 2001, worm-ul Code Red a infectat 658 de servere. În 19 ore, worm-ul a infectat peste 300.000 de
servere, așa cum se arată în Figura 2.

Man-In-The-Middle (MitM) – MitM permite atacatorului să preia controlul asupra unui dispozitiv fără știrea
utilizatorului. Cu acest nivel de acces, atacatorul poate intercepta informațiile despre utilizator înainte ca acestea
să fie transmise la destinația dorită. Atacurile MitM sunt utilizate pe scară largă pentru a fura informații financiare.
Există multe programe malware și tehnici care oferă atacatorilor capabilități MitM.

Man-In-The-Mobile (MitMo) – O variantă a MitM, MitMo este tipul de atac folosit pentru a prelua controlul asupra
unui dispozitiv mobil. Atunci când este infectat, dispozitivul mobil poate fi instruit să extragă informații sensibile
de la utilizator și să le trimită atacatorilor. ZeuS, un exemplu de exploit cu capabilități MitMo, permite atacatorilor
să intercepteze mesajele SMS cu verificare în doi pași trimise utilizatorilor.
Simptome de malware

Indiferent de tipul de malware cu care a fost infectat un sistem, există câteva simptome malware comune:

 creșterea utilizării CPU.

 scăderea vitezei calculatorului.

 computerul se blochează sau se oprește des.

 scăderea vitezei de navigare pe Web.

 probleme inexplicabile cu conexiunile la rețea.

 fișierele sunt modificate.

 fișierele sunt șterse.

  prezența unor fișiere, programe sau pictograme necunoscute.

 rularea unor procese necunoscute.

 programele se opresc sau se reconfigurează singure

 trimiterea de email-uri fără știința sau acordul utilizatorului.

Inginerie socială

Social engineering (ingineria socială) este un tip de atac prin care se încearcă manipularea indivizilor în
efectuarea de acțiuni sau în divulgarea de informații confidențiale. Social engineers se bazează adesea pe
dorința oamenilor de a fi de ajutor, dar profită și de slăbiciunile acestora. De exemplu, un atacator ar putea suna
un angajat autorizat cu privire la o problemă urgentă care necesită acces imediat la rețea. Atacatorul poate face
apel la vanitatea angajatului, poate invoca numele unor persoane cu autoritate sau poate profita de aviditatea
angajatului.

Iată câteva tipuri de atacuri social engineering:

 Pretexting - un atacator sună un individ și îl minte în încercarea de a primi acces la date privilegiate. Un
exemplu este acela al unui atacator care pretinde că are nevoie de date personale sau financiare pentru a
confirma identitatea destinatarului.

 Tailgating - un atacator intră într-o locație restricționată, în spatele persoanei care are acces autorizat.

 Quid pro quo - un atacator solicită informații personale de la cineva, în schimbul a ceva.

Spargerea parolei Wi-Fi

Spargerea parolei Wi-Fi este procesul prin care e descoperită parola utilizată pentru protejarea unei rețele Wi-Fi.
Iată câteva tehnici utilizate în spargerea de parole:

Social engineering – Atacatorul convinge o persoană care cunoaște parola să i-o dezvăluie, prin tehnici de
manipulare.

Atacurile de forță – Atacatorul încearcă mai multe parole posibile, în încercarea de a ghici parola. Dacă parola
este formată dintr-un număr de 4 cifre, de exemplu, atacatorul ar trebui să încerce fiecare din cele 10.000 de
combinații. Atacurile de forță presupun de obicei existența unui fișier cu liste de cuvinte. Acesta este un fișier text
care conține o listă de cuvinte preluate dintr-un dicționar. Un program încearcă apoi toate cuvintele și
combinațiile posibile. Pentru că atacurile de forță necesită timp, durează mult mai mult să fie ghicite parole
complexe. Iată câteva instrumente folosite pentru astfel de atacuri: Ophcrack, L0phtCrack, THC Hydra,
RainbowCrack și Medusa.

Network sniffing – Prin ascultarea și captarea pachetelor trimise în rețea, un atacator ar putea descoperi parola,
dacă aceasta este trimisă necriptată (ca text simplu). Chiar dacă parola este criptată, atacatorul ar putea să o
afle folosind un instrument de spargere a parolelor.

Phishing

Phishing reprezintă trimiterea de către o persoană rău intenționată a unui e-mail fraudulos, disimulat ca fiind
dintr-o sursă legitimă și de încredere. Scopul mesajului este de a păcăli destinatarul să instaleze malware pe
dispozitivul său, sau de a împărtăși informații personale sau financiare. Un exemplu de phishing este un e-mail
falsificat pentru a arăta ca și cum a fost trimis de către un magazin, care solicită utilizatorului să acceseze un link
pentru a revendica un premiu. Link-ul duce către un site fals, care solicită informații personale, sau poate instala
un virus.
Spear phishing este un atac de phishing foarte bine direcționat. Atât atacurile phishing, cât și cele de tip spear
phishing folosesc email-ul pentru a ajunge la victime, însă e-mail-urile din atacurile spear phishing sunt
personalizate pentru o anumită persoană. Atacatorul studiază interesele țintei înainte de a trimite e-mailul. De
exemplu, un atacator află că ținta este interesată de mașini și vrea să cumpere un anumit model de mașină.
Atacatorul se alătură forumului de discuții despre acel model de mașină din care face parte și ținta, alcătuiește o
ofertă de vânzare falsă și trimite e-mail către țintă. Email-ul conține un link cu imagini ale mașinii. Când ținta dă
click pe link, malware-ul este instalat pe computerul vizat.

Exploatarea vulnerabilităților

Exploatarea vulnerabilităților este o altă metodă comună de infiltrare. Atacatorii pot scana computerele pentru a
obține informații despre ele. Vă prezentăm o metodă comună de exploatare a vulnerabilităților:

Pasul 1. Colectarea de informații despre sistemul țintă. Acest lucru se poate face în mai multe moduri, cum ar fi
un port scanner sau social engineering. Scopul este de a afla cât mai multe informații posibile despre computerul
țintă.

Pasul 2O parte din informațiile relevante menționate la pasul 1 se pot referi la sistemul de operare, versiunea
acestuia și lista de servicii care rulează pe el.

Pasul 3. După ce atacatorul află sistemul de operare și versiunea utilizată de calculatorul țintei, caută orice
vulnerabilități specifice acelei versiuni a sistemului de operare sau a altor servicii ale acestuia.

Pasul 4. Când este găsită o vulnerabilitate, atacatorul caută exploit-ul potrivit. Dacă nu a fost scris niciun exploit,
atacatorul poate lua în considerare scrierea unui exploit.

Figura 1 descrie un atacator folosind whois, o bază de date publică pe Internet, care conține informații despre
numele de domenii și deținătorii acestora. Figura 2 descrie un atacator folosind instrumentul nmap,un scaner
popular de porturi. Cu un scaner de porturi, un atacator poate detecta porturile unui computer țintă pentru a afla
ce servicii rulează pe acel computer.

Advanced Persistent Threats

O modalitate de infiltrare într-un sistem sunt atacurile de tip Advanced persistent threats (APTs). Acestea
constau din operațiuni avansate derulate în mai multe etape, pe termen lung și îndreptate împotriva unei ținte
specifice. Datorită complexității și competențelor necesare pentru a le derula, APT-urile sunt de obicei foarte bine
finanțate. Acest tip de atacuri vizează companii sau țări, din motive economice sau politice.

Scopul acestor atacuri este de a instala malware personalizat pe unul sau mai multe dintre sistemele țintă și de a
rămâne nedetectat. Deoarece presupune mai multe etape de operare și mai multe tipuri personalizate de
malware care afectează diferite dispozitive și îndeplinesc anumite funcții specifice, în general un atacator
individual nu deține competențele, resursele sau determinarea de a realiza un atac APT.

DoS

Atacurile Denial-of-Service (DoS) reprezintă un tip de atac de rețea. Un atac DoS produce întreruperi ale
serviciilor de rețea către utilizatori, dispozitive sau aplicații. Există două tipuri majore de atacuri DoS:

Trafic uriaș de date - Atunci când o rețea, o gazdă sau o aplicație primește o cantitate enormă de date la o
viteză pe care nu o poate gestiona. Acest lucru cauzează încetinirea proceselor, un răspuns întârziat la comenzi
și chiar stricarea dispozitivului.

Pachete formatate cu rea intenție - Un pachet formatat cu rea intenție este trimis către o gazdă sau o aplicație,
iar receptorul nu îl poate gestiona. De exemplu, un atacator transmite pachete care conțin erori ce nu pot fi
identificate de către aplicație sau pachete formatate incorect. Din acest motiv, dispozitivul care recepționează
aceste pachete funcționează foarte lent sau se poate strica.

Atacurile DoS sunt considerate un risc major, deoarece pot întrerupe cu ușurință comunicarea și pot provoca
pierderi semnificative de timp și bani. Aceste atacuri sunt relativ simplu de realizat, chiar și de către un atacator
necalificat.
DDoS

Un atac Distribuit DoS (DDoS) este similar cu un atac DoS, dar provine din mai multe surse coordonate. De
exemplu, un atac DDoS ar putea funcționa astfel:

Un atacator construiește o rețea de gazde infectate, numită „botnet”. Gazdele infectate sunt numite „zombie”.
Zombie sunt controlați de sistemele de comandă.

Computerele zombie scanează permanent și infectează mai multe gazde, creând mai mulți zombie. Când totul e
pregătit, hacker-ul instruiește sistemele să comande botnet-ului zombie un atac DDoS.

SEO Poisoning

Motoarele de căutare, cum ar fi Google, clasifică paginile și prezintă rezultate relevante pe baza căutărilor făcute
de utilizatori. În funcție de relevanța conținutului site-ului Web, acesta poate apărea mai sus sau mai jos în lista
cu rezultatele căutării. SEO, prescurtarea de la Search Engine Optimization, adică optimizarea motoarelor de
căutare, reprezintă un set de tehnici utilizate pentru a îmbunătăți ierarhia unui site într-un motor de căutare.
Foarte multe companii sunt specializate în optimizarea site-urilor web pentru a le poziționa mai bine în căutări, în
mod legal, cu toate acestea un utilizator rău intenționat ar putea folosi SEO pentru a poziționa un site malițios
mult mai sus în rezultatele de căutare. Această tehnică se numește SEO Poisoning.

Scopul SEO Poisoning este de a crește traficul site-urilor rău intenționate, care ar putea găzdui programe
malware sau derula activități de social engineering. Pentru a poziționa cât mai sus în rezultatele de căutare un
site rău intenționat, atacatorii se folosesc de cei mai populari termeni de căutare.

Ce este un atac mixt?

Atacurile combinate utilizează tehnici multiple pentru a compromite o țintă. Prin utilizarea mai multor tehnici de
atac simultan, atacatorii dispun de malware sub o formă hibridă de worms, troieni, spyware, keyloggers, spam și
scheme de phishing. Atacurile combinate supun datele utilizatorilor la un risc mai mare.

Cel mai obișnuit tip de atac combinat utilizează mailuri spam, mesaje instant sau site-uri legitime pentru a
distribui link-uri de unde programele malware sau spyware sunt descărcate în mod secret în calculator. Un alt tip
de atac combinat utilizează DDoS împreună cu mailuri de phishing. DDoS este folosit mai întâi pentru a sparge
site-ul unei bănci importante. Sunt trimise apoi e-mailuri către clienții băncii, cu scuze pentru neplăcerile create.
Totodată, utilizatorii sunt direcționați către un site de urgență fals, de unde le pot fi furate datele de autentificare.

Mulți dintre cei mai dăunători worms de calculator, cum ar fi Nimbda, CodeRed, BugBear, Klez și Slammer, pot fi
clasificați de fapt ca atacuri combinate:

 Unele variante Nimbda au folosit ca metode de propagare atașamentele de e-mail, descărcarea de

fișiere de pe un server web compromis și Microsoft file sharing (de exemplu, acțiuni anonime).

 Alte variante Nimbda au putut modifica conturile clienților pentru a oferi atacatorului sau codului
malware drepturi de administrare.

Cei mai recenți worms, Conficker și ZeuS/LICAT, au fost de asemenea atacuri combinate. Conficker a folosit
toate metodele tradiționale de distribuție.

Ce este reducerea impactului?

Majoritatea companiilor din prezent sunt conștiente de problemele comune de securitate și depun eforturi
considerabile pentru a le preveni, cu toate acestea niciun set de practici de securitate nu este 100% eficient.
Oricând poate apărea o breșă de securitate, de aceea companiile trebuie să fie pregătite să poată limita
pagubele.
Important de menționat este că impactul unei breșe de securitate nu se referă doar la latura tehnică, și anume
date furate, baze de date distruse sau daune legate de proprietatea intelectuală. Pagubele se extind și la
reputația companiei. Răspunsul la o breșă de securitate este un proces foarte dinamic.

Câteva măsuri importante pe care ar trebui să le ia o companie atunci când identifică o breșă de securitate,
conform mai multor experți în securitate:

 Comunicați problema. Pe plan intern, angajații trebuie să fie informați despre problemă și să acționeze.
Pe plan extern, clienții trebuie informați prin comunicări directe și anunțuri oficiale. Comunicarea creează
transparență, care este crucială în acest tip de situație.

 Fiți sincer și asumați-vă răspunderea, în cazul în care compania este vinovată.

 Oferiți detalii. Explicați de ce a avut loc incidentul și ce date au fost compromise. Compania ar trebui să
asigure clienților afectați servicii de protecție împotriva furtului de identitate.

 E important să înțelegeți cauzele producerii breșei de securitate. Dacă este necesar, angajați experți
pentru a cerceta problema.

 Țineți cont de rezultatele investigației realizate de experți pentru a vă asigura că astfel incidente nu vor
mai avea loc în viitor.

 Asigurați-vă că toate sistemele sunt curate, că nu au fost instalați diverși backdoors și că nimic altceva
nu a fost compromis. Atacatorii vor încerca să lase o portiță de acces pentru a facilita viitoare atacuri.
Asigurați-vă că acest lucru nu se întâmplă.

 Instruiți angajații, partenerii și clienții cu privire la modalitățile de prevenire a breșelor de securitate.

Rezumat capitolul 2: Atacuri, concepte și tehnici

Acest capitol abordează modalitățile prin care profesioniștii din domeniul securității informatice analizează ce s-a
întâmplat după un atac cibernetic. Capitolul explică vulnerabilitățile de securitate software și hardware, precum și
diferitele categorii de vulnerabilități de securitate.

Sunt explicate diferitele tipuri de software rău intenționat (cunoscut sub numele de malware) și simptomele
acestora. Printre programele malware amintite: viruși, worms, troieni, spyware, adware etc.

Au fost analizate modurile prin care atacatorii pot penetra un sistem, inclusiv prin tehnici precum social
engineering, spargerea parolei Wi-Fi, phishing și exploatarea vulnerabilităților. De asemenea, au fost explicate
diferitele tipuri de atacuri Denial of Service.

Atacurile combinate utilizează tehnici multiple pentru a ataca un sistem. Mulți dintre cei mai dăunători worms de
calculator, cum ar fi Nimbda, CodeRed, BugBear, Klez și Slammer, pot fi clasificați de fapt ca atacuri combinate.
Atunci când un atac nu poate fi prevenit, rolul profesionistului în securitate cibernetică este de a reduce impactul
acestui atac.

Dacă doriți să aflați detalii despre noțiunile prezentate în acest capitol, vă rugăm să consultați pagina Additional
Resources and Activities din Student Resources.

Capitolul 3: Protejarea datelor și a confidențialității

Acest capitol abordează subiectul dispozitivelor și datelor dvs. personale. Include recomandări legate de
protejarea dispozitivelor, crearea de parole puternice și utilizarea în siguranță a rețelelor wireless. Nu în ultimul
rând, în acest capitol veți afla cum să vă păstrați datele în siguranță.
Datele dvs. online sunt valoroase pentru infractorii cibernetici. În acest capitol sunt prezentate, pe scurt, tehnicile
de autentificare care vă ajută să vă păstrați datele în siguranță. De asemenea, veți afla cum puteți îmbunătăți
securitatea datelor dvs. online și ce este recomandat să faceți și ce să nu faceți online.

Protejați-vă dispozitivele

Dispozitivele dvs. stochează date și sunt poarta de intrare pentru viața dvs. online. Vă prezentăm o listă scurtă
de pași pe care îi puteți face pentru a vă proteja dispozitivele împotriva intruziunilor:

 Păstrați firewall-ul activat – Indiferent dacă este un firewall software sau un firewall hardware pe un
router, firewall-ul trebuie să fie activ și actualizat pentru a împiedica hackerii să acceseze datele dvs. Click
pe Windows 7 și 8.1 sau Windows 10 pentru a activa firewall-ul în versiunea respectivă a sistemului
Windows. Dați click aici pentru a activa firewall-ul pentru dispozitivele Mac OS X.

 Utilizați antivirus și antispyware – Pentru a avea acces la date, atacatorii instalează pe dispozitivele
dvs. software rău intenționat, cum ar fi viruși, troieni, worms, ransomware și spyware, fără permisiunea dvs.
Virușii vă pot distruge datele, pot încetini activitatea computerului sau pot prelua controlul asupra acestuia.
O modalitate prin care virușii pot prelua controlul asupra computerului dvs. este să permită spammer-ilor
să trimită e-mailuri din contul dvs. Spyware vă poate monitoriza activitățile online, poate colecta informații
personale sau poate crea anunțuri pop-up nedorite în browserul dvs. web în timp ce sunteți online. Este
indicat să descărcați software doar de pe site-uri web de încredere, pentru a evita să fiți infectați cu
spyware. Soluțiile antivirus scanează calculatorul și email-urile primite împotriva virușilor și îi șterge.
Uneori, software-ul antivirus include și antispyware. Actualizați antivirusul pentru a vă proteja împotriva
celor mai noi versiuni de software rău intenționat.

 Gestionați sistemul de operare și browser-ul – Hackerii încearcă mereu să profite de vulnerabilitățile

din sistemele de operare și browserele dvs. web. Pentru a vă proteja computerul și datele, setările de
securitate din computer și browser trebuie menținute la nivel mediu sau superior. Actualizați sistemul de
operare al calculatorului, inclusiv browserele web, și descărcați și instalați periodic cele mai recente patch-
uri software și actualizări de securitate de la furnizori.

 Protejați-vă toate dispozitivele – Dispozitivele dvs., fie că sunt computere, laptopuri, tablete sau
smartphone-uri, trebuie să fie protejate prin parole pentru a preveni accesul neautorizat. Informațiile
stocate trebuie să fie criptate, mai ales dacă este vorba despre date sensibile sau confidențiale. În ceea ce
privește dispozitivele mobile, stocați doar informațiile necesare, în cazul în care sunt furate sau pierdute
atunci când vă aflați departe de casă. Dacă vreunul dintre dispozitivele dvs. este compromis, infractorii pot
avea acces la toate datele prin intermediul furnizorului dvs. de servicii de stocare în cloud, cum ar fi iCloud
sau Google drive.

Dispozitivele IoT prezintă un risc mai mare decât celelalte dispozitive. În timp ce platformele mobile, desktop și
laptop primesc actualizări frecvente de software, majoritatea dispozitivelor IoT au încă firmware-ul original. Dacă
există vulnerabilități în firmware, dispozitivul IoT va rămâne vulnerabil. Pentru a agrava și mai mult problema,
dispozitivele IoT sunt proiectate să solicite acces la Internet. Majoritatea dispozitivelor IoT sunt proiectate să
solicite acces la Internet din rețeaua clientului. Rezultatul este că dispozitivele IoT permit accesul la rețeaua
locală și la datele clientului. Cea mai bună modalitate de a vă proteja este ca dispozitivele IoT să utilizeze o rețea
izolată, în care comunică numai cu alte dispozitive IoT.

Click aici pentru detalii despre Shodan, un scaner bazat pe web pentru dispozitive IoT.

Folosiți în siguranță rețele Wireless

Rețelele wireless permit dispozitivelor Wi-Fi, cum ar fi laptop-uri sau tablete, să se conecteze la rețea prin
intermediul identificatorului de rețea, cunoscut ca Service Set Identifier (SSID). Pentru a împiedica intrușii să intre
în rețeaua wireless de acasă, SSID-ul prestabilit și parola implicită pentru interfața administrativă bazată pe
browser trebuie schimbate. Hackerii cunosc această modalitate implicită de acces. Opțional, routerul wireless
poate fi configurat să nu transmită SSID-ul, punând astfel o barieră suplimentară în calea identificării rețelei. Cu
toate acestea, în cazul unei rețele wireless acest lucru nu e suficient. Ar trebui să criptați comunicarea wireless
activând securitatea wireless și caracteristica de criptare WPA2 pe routerul wireless. Chiar și cu criptarea WPA2
activată, rețeaua wireless network poate fi vulnerabilă.

În octombrie 2017, a fost descoperită o breșă de securitate în protocolul WPA2. Această breșă permite unui
intrus să spargă criptarea dintre routerul wireless și clientul wireless și oferă acces la traficul de rețea. Această
vulnerabilitate poate fi exploatată folosind Key Reinstallation Attacks (KRACK). Afectează toate rețelele Wi-Fi
moderne, securizate. Pentru a bloca un atac, utilizatorul trebuie să actualizeze toate produsele afectate -
routerele wireless și dispozitivele cu capabilități wireless, cum ar fi laptop-urile și dispozitivele mobile - imediat ce
actualizările devin disponibile. În cazul laptop-urilor și altor dispozitive cu port NIC, o conexiune prin cablu ar
putea bloca această vulnerabilitate. În plus, puteți utiliza un serviciu VPN de încredere pentru a preveni accesul
neautorizat la datele dvs. atunci când folosiți rețeaua wireless.

Click aici pentru a afla mai multe despre KRACK.

Când sunteți departe de casă, un hotspot public Wi-Fi vă permite să vă accesați informațiile online și să navigați
pe Internet. Cu toate acestea, este recomandat să nu accesați sau să trimiteți informații personale sensibile prin
intermediul unei rețele publice wireless. Verificați dacă computerul dvs. este configurat să partajeze fișiere și că
necesită autentificarea utilizatorului cu criptare. Pentru a împiedica interceptarea informațiilor dvs. în timpul
utilizării unei rețele publice wireless, utilizați canale și servicii VPN criptate. Serviciul VPN vă oferă acces
securizat la Internet, pe baza unei conexiuni criptate între computerul dvs. și serverul VPN al furnizorului de
servicii VPN. Chiar dacă o transmisie de date este interceptată, ea nu este descifrată datorită canalului VPN
criptat.

Click aici pentru a afla mai multe despre modul în care vă puteți proteja atunci când folosiți rețele wireless.

Multe dispozitive mobile, precum smartphone-uri și tablete, vin cu protocolul wireless Bluetooth. Această
capabilitate permite dispozitivelor compatibile Bluetooth să se conecteze și să partajeze informații. Din nefericire,
Bluetooth poate fi exploatat de hackeri pentru a urmări anumite dispozitive, pentru a instala controale de acces la
distanță, pentru a distribui programe malware și a epuiza bateria. Pentru a evita aceste probleme, dezactivați
Bluetooth atunci când nu îl utilizați.

Utilizați parole unice pentru fiecare cont online

Probabil că aveți mai multe conturi online, fiecare cu o parolă unică. Acest lucru înseamnă că trebuie să țineți
minte foarte multe parole. Cu toate acestea, dacă nu utilizați parole unice și puternice, datele dvs. devin
vulnerabile în fața infractorilor cibernetici. Utilizarea aceleiași parole pentru toate conturile online este similară cu
deținerea unei singure chei pentru toate ușile; dacă un atacator vă ia cheia, are acces la toate bunurile dvs. Dacă
infractorii obțin parola prin phishing, de exemplu, ei vor încerca să intre în celelalte conturi online. Dacă utilizați o
singură parolă pentru toate conturile, aceștia pot intra în toate conturile dvs., pot fura sau șterge toate datele dvs.
sau vă pot fura identitatea.

Folosim atât de multe conturi online care necesită parole, încât avem prea multe informații de reținut. O soluție
pentru a evita reutilizarea parolelor sau utilizarea parolelor slabe este utilizarea unui manager de parole. Un
manager de parole stochează și criptează toate parolele dvs. Managerul de parole vă poate ajuta să vă conectați
automat la conturile online. Trebuie doar să vă amintiți parola principală pentru a accesa managerul de parole și
pentru a gestiona toate conturile și parolele.

Sfaturi pentru alegerea unei parole bune:

 Nu utilizați cuvinte din dicționar sau nume de persoane

 Nu utilizați cuvinte din dicționar ortografiate greșit

 Nu utilizați numele computerului sau de cont

 Dacă este posibil, folosiți caractere speciale, cum ar fi @ # $ % ^ & * ( )

 Utilizați o parolă cu zece sau mai multe caractere

Utilizați expresii în loc de parole

Pentru a preveni accesul neautorizat la dispozitivele dvs., utilizați mai degrabă expresii, în loc de parole. Este
mai ușor să creați o expresie în locul unei parole, deoarece este alcătuită sub forma unei propoziții. Cu cât e mai
lungă, cu atât e mai puțin vulnerabilă la atacuri. În plus, o expresie poate fi mai ușor de reținut, mai ales dacă vi
se cere să schimbați frecvent parola. Iată câteva sfaturi în alegerea parolelor sau a expresiilor:

Sfaturi pentru alegerea unei expresii bune:

 Alegeți o expresie cu semnificație pentru dvs.

 Adăugați caractere speciale, precum ! @ # $ % ^ & * ( )

 Cu cât e mai lungă expresia, cu atât mai bine

 Evitați declarații comune sau celebre, ca de exemplu versuri din cântece cunoscute

Recent, Institutul Național pentru Standarde și Tehnologie din Statele Unite (NIST) a publicat noi reglementări
pentru parole. Standardele NIST sunt destinate aplicațiilor guvernamentale, dar pot servi ca standard și pentru
alte organizații. Noile reglementări urmăresc asigurarea unei mai bune experiențe a utilizatorilor și să transfere
responsabilitatea verificării utilizatorului asupra furnizorilor.

Noile direcții:

 lungime de minim 8 caractere, dar nu mai mult de 64 de caractere

 fără parole comune, ușor de ghicit, de tipul abc123

 fără reguli de compoziție, cum ar fi includerea de majuscule, minuscule și numere

 Mai multă acuratețe în procesul de introducere a parolelor, prin permisiunea acordată utilizatorului de a
vedea parola în timp ce o tastează

 sunt permise toate caracterele și spațiile

 fără sugestii de parole

 fără parole periodice sau care expiră

 fără autentificare bazată pe informații despre utilizator, cum ar fi detalii dintr-o întrebare secretă,
informații de marketing, istoric al tranzacțiilor

Click aici pentru a afla mai multe despre reglementările pentru parole de la NIST.

Chiar dacă accesul la computerele și dispozitivele de rețea este securizat, este important să vă protejați datele.

Criptați datele

Datele dvs. ar trebui să fie întotdeauna criptate. De ce să folosiți criptarea dacă nu aveți secrete și nimic de
ascuns? Credeți că nimeni nu ar putea dori datele dvs. Cel mai probabil, nu e adevărat.

Sunteți pregătiți să arătați fotografii și documente unor persoane străine? Vreți să împărtășiți cu prietenii dvs.
informațiile financiare stocate pe computer? Vreți să oferiți publicului larg adresele de e-mail și parolele de
acces?
Gândiți-vă ce faceți dacă o aplicație rău intenționată v-a infectat computerul sau dispozitivul mobil și vă fură
informații valoroase, cum ar fi contul bancar, parolele și alte documente oficiale. De aici, e doar un pas până la
furt de identitate, fraudă sau răscumpărare. Criminalii informatici pot decide să vă cripteze datele și să le facă
inutilizabile până când plătiți o răscumpărare.

Ce este criptarea? Criptarea este procesul de conversie a informațiilor într-o formă care nu poate fi citită de către
o persoană neautorizată. Doar o persoană autorizată, care deține cheia secretă sau parola poate decripta și
accesa datele în forma originală. Acțiunea de criptare nu împiedică interceptarea datelor. Criptarea poate doar
împiedica o persoană neautorizată să vizualizeze sau să acceseze conținutul.

Programele software sunt utilizate pentru criptarea fișierelor, folderelor și chiar a driver-elor.

Encrypting File System (EFS) este o funcționalitate a Windows, care poate cripta datele. EFS este legat direct de
un anumit cont de utilizator. Numai utilizatorul care a criptat datele cu EFS le va putea accesa ulterior. Pentru a
cripta datele cu EFS în toate versiunile de Windows, urmați acești pași:

Pasul 1. Selectați unul sau mai multe fișiere sau foldere.

Pasul 2. Click dreapta pe datele selectate >Properties.

Step 3. Click Advanced…

Pasuil 4. Selectați caseta Encrypt contents to secure data.

Pasul 5. Fișierele și folderele care au fost criptate cu EFS sunt marcate cu verde, așa cum se arată în figură.

Faceți backup de date

Hard disk-ul se poate defecta. Puteți pierde laptopul. Smartphone-ul poate fi furat. Ați șters din greșeală
versiunea originală a unui document important. Un backup periodic poate împiedica pierderea datelor valoroase,
cum ar fi fotografiile de familie. Pentru un backup de date corect aveți nevoie de o locație suplimentară pentru
stocarea datelor, care trebuie periodic actualizată.

Locația adițională poate fi găzuită de rețeaua dvs. de acasă, de o locație secundară sau în cloud. Stocarea
datelor la nivel local permite controlul total asupra datelor. Puteți copia toate datele pe un dispozitiv de stocare
NAS, pe o unitate hard disk externă sau puteți selecta doar câteva foldere importante pentru backup pe un USB,
pe CD-uri/DVD-uri sau chiar pe casete. În acest scenariu, sunteți proprietarul datelor și sunteți responsabil de
costul și întreținerea echipamentului de stocare. Dacă vă abonați la un serviciu de stocare în cloud, costul
depinde de spațiul de stocare necesar. Prin intermediul unui serviciu de stocare în cloud precum Amazon Web
Services (AWS), aveți acces la datele de rezervă pe întreaga durată a utilizării contului. Când vă abonați la un
serviciu de stocare online, este posibil să fiți mai selectivi în privința datelor pentru care doriți să faceți backup,
din cauza costurilor de stocare și a transferurilor constante de date online. Unul dintre avantajele stocării datelor
într-o locație alternativă este siguranța oferită în caz de incendiu, furt sau dezastre.

Ștergerea permanentă a datelor

Când mutați un fișier în coșul de gunoi și îl ștergeți definitiv, fișierul este inaccesibil numai din sistemul de
operare. Oricine are instrumentele potrivite poate recupera fișierul, din cauza unei urme magnetice rămase pe
hard disk.

Pentru a șterge datele astfel încât acestea să nu mai poată fi recuperate, trebuie să fie suprascrise cu șiruri de 1
și 0 de mai multe ori. Pentru a preveni recuperarea fișierelor șterse, este posibil să fie nevoie să utilizați
instrumente special create pentru acest lucru. Programul SDelete de la Microsoft (pentru Vista și versiuni
ulterioare) susține că are capacitatea de a elimina complet fișierele sensibile. Shred pentru Linux și Secure
Empty Trash pentru Mac OSX sunt câteva instrumente care furnizează un serviciu similar.

Singura modalitate prin care putem fi siguri că datele sau fișierele nu mai pot fi recuperate este să distrugem
hard disk-ul sau dispozitivul de stocare. Mulți infractori au fost suficient de nebuni să creadă că fișierele lor sunt
impenetrabile sau irecuperabile.
Pe lângă stocarea datelor la nivel local pe hard, datele dvs. pot fi stocate și online, în cloud. Este necesar să
ștergeți și aceste copii. Luați un răgaz și întrebați-vă: „Unde îmi salvez datele? Există un backup la ele? Sunt
criptate? Când trebuie să ștergeți datele sau să aruncați un hard disk sau un calculator, întrebați-vă: „Cât de bine
mi-am protejat datele, astfel încât să nu intre în posesia unor persoane străine?”

Autentificare cu doi factori

Serviciile online populare, precum Google, Facebook, Twitter, LinkedIn, Apple și Microsoft, utilizează
autentificarea cu doi factori pentru a adăuga un nivel suplimentar de securitate pentru logarea în cont. Pe lângă
numele de utilizator și parola, numărul personal de identificare (PIN) sau un tipar biometric, autentificarea cu doi
factori necesită un al doilea token, cum ar fi:

 Obiect fizic - card de credit, telefon

 Scanare biometrică - amprentă digitală, palmară, recunoaștere facială sau vocală

Chiar și în cazul autentificării cu doi factori, hackerii pot avea acces la conturile dvs. online prin atacuri de tip
phishing, malware și social engineering.

Click aici pentru a afla dacă site-urile pe care le vizitați utilizează autentificarea cu doi factori.

OAuth 2.0

Open Authorization (OAuth) este un protocol open standard, care permite unui utilizator să acceseze aplicații
terțe, fără a expune parola utilizatorului. OAuth acționează ca intermediar și decide dacă permite accesul
utilizatorilor finali la aplicații terțe. De exemplu, doriți să accesați aplicația web XYZ și nu aveți un cont de
utilizator pentru a accesa această aplicație. Cu toate acestea, XYZ vă permite conectarea folosind datele de
autentificare pentru platforma de socializare ABC. Așadar, accesați site-ul web utilizând datele de logare pentru
contul social media.

Pentru ca acest lucru să funcționeze, aplicația "XYZ" s-a înregistrat în platforma "ABC", devenind astfel o
aplicație aprobată. Când accesați XYZ, utilizați datele de autentificare pentru ABC. Apoi, XYZ solicită un token de
acces de la ABC, în numele dvs. Acum aveți acces la XYZ. XYZ nu știe nimic despre dvs. sau datele de
autentificare, interacțiunea derulându-se fără probleme pentru utilizator. Dacă folosiți token-uri secrete, o
aplicație rău intenționată nu poate obține informații despre dvs.
Nu împărtășiți prea mult în social media

Dacă doriți să vă păstrați dreptul la viață privată în social media, împărtășiți cât mai puține informații posibil. Nu
ar trebui să publicați la profil informații precum data nașterii, adresa de e-mail sau numărul de telefon.
Persoanele care trebuie să cunoască anumite informații despre dvs. probabil le știu deja. Nu completați integral
profilul dvs. din social media, oferiți doar informațiile minime necesare. Mai mult, verificați setările social media
pentru a permite numai persoanelor cunoscute să vă vadă activitățile sau să se angajeze în conversații cu dvs.

Cu cât împărtășiți mai multe informații personale în mediul online, cu atât este mai ușor pentru cineva să creeze
un profil despre dvs. și să profite de dvs. offline.

Ați uitat vreodată numele de utilizator și parola pentru un cont online? Întrebări de securitate precum „Care este
numele de fată al mamei?” sau „În ce oraș te-ai născut?” ar trebui să vă ajute să vă protejați contul împotriva
intrușilor. Cu toate acestea, oricine dorește să vă acceseze conturile poate căuta răspunsurile pe Internet. Puteți
răspunde la aceste întrebări cu informații false, atât timp cât vă amintiți răspunsurile. Dacă nu le puteți ține minte,
folosiți un manager de parole pentru a le gestiona.

Confidențialitatea pe email și în browserul Web

În fiecare zi, milioane de e-mail-uri sunt utilizate pentru a comunica cu prietenii sau în interes de afaceri. Email-ul
este un mod convenabil de a comunica rapid unii cu alții. Trimiterea unui email este similară cu trimiterea unui
mesaj pe o carte poștală. Mesajul de pe cartea poștală poate fi citit de oricine vede acea carte poștală, iar e-mail-
ul poate fi citit de oricine are acces la acesta. În drumul lor spre destinație, mesajele trimise prin intermediul
mailului trec prin diferite servere. Chiar și atunci când ștergeți e-mail-urile, ele pot fi arhivate pe serverele de e-
mail pentru o perioadă de timp.

Oricine are acces fizic la computerul sau routerul dvs. poate vedea ce site-uri Web ați vizitat, pe baza istoricului
din browserul web, a datelor cache și, eventual, a fișierelor de tip log. Această problemă poate fi redusă la
minimum prin activarea modului de navigare privat din browserul web. Browserele web populare au propria
denumire pentru modul de navigare privat:

 Microsoft Internet Explorer: InPrivate

 Google Chrome: Incognito

 Mozilla Firefox: Private tab / private window

 Safari: Private: Private browsing

Atunci când navigați în modul privat, cookie-urile sunt dezactivate, iar fișierele Internet temporare și istoricul
navigării sunt eliminate după închiderea ferestrei sau a programului.

Mențineți privat istoricul de navigare pe Internet, pentru a împiedica alte persoane să colecteze informații despre
activitățile dvs. online și să vă propună oferte comerciale, prin anunțuri direcționate. Chiar și cu opțiunea de
navigare privată activată și cookie-urile dezactivate, companiile dezvoltă diferite modalități de a colecta informații
despre utilizatori și de a le urmări comportamentul. De exemplu, routerele pot deține informații despre istoricul
navigării pe web a unui utilizator.

În cele din urmă, este responsabilitatea dvs. să vă protejați datele, identitatea și dispozitivele. Când trimiteți un
anumit e-mail, e necesar să includeți și fișa medicală? Este sigură conexiunea dvs. de internet? Doar câteva
precauții simple vă pot scuti de probleme mai târziu.

Rezumat capitolul 3: Protejarea datelor și a confidențialității

Acest capitol abordează subiectul dispozitivelor și datelor dvs. personale. Include recomandări legate de
protejarea dispozitivelor, crearea de parole puternice și utilizarea în siguranță a rețelelor wireless. Cuprinde
backup-uri de date, stocare date și ștergerea permanentă a datelor.
În acest capitol sunt prezentate, pe scurt, tehnicile de autentificare care vă ajută să vă păstrați datele în
siguranță. De asemenea, veți afla cum puteți îmbunătăți securitatea datelor dvs. online și ce este recomandat să
faceți și ce să nu faceți online.

Dacă doriți să explorați în detaliu noțiunile din acest capitol, vă rugăm să consultați pagina Additional Resources
and Activities din Student Resources.

Capitolul 4: Protejarea organizației

În acest capitol sunt prezentate o parte din tehnologiile și procesele utilizate de profesioniștii în domeniul
securității cibernetice pentru a proteja rețeaua, echipamentele și datele organizației. Vom vorbi pe scurt despre
tipurile de firewall, dispozitivele de securitate și programele software care sunt utilizate în prezent, inclusiv despre
cele mai bune practici în domeniu.

În continuare, în acest capitol sunt explicate noțiunile de botnets, kill chain, securitate bazată pe comportament și
de utilizare a NetFlow pentru a monitoriza o rețea.

În cea de-a treia secțiune este prezentată abordarea Cisco privind securitatea cibernetică, inclusiv echipa CSIRT
și manualul de securitate. Veți afla care sunt instrumentele pe care profesioniștii din domeniul securității
cibernetice le utilizează pentru a detecta și a preveni atacurile de rețea.

Tipuri de firewall

Un firewall este un zid sau o partiție proiectată pentru a împiedica răspândirea focului dintr-o parte a clădirii în
cealaltă. În networking, un firewall controlează sau filtrează comunicațiile care primesc permisiunea de intrare și
de ieșire dintr-un dispozitiv sau o rețea, așa cum se arată în figură. Un firewall poate fi instalat pe un singur
computer, cu scopul de a proteja acel computer (host-based firewall), sau poate fi un dispozitiv autonom de
rețea, care protejează o întreagă rețea de computere și toate dispozitivele gazdă din respectiva rețea (network-
based firewall).

De-a lungul anilor, pe măsură ce atacurile au devenit tot mai sofisticate, s-au dezvoltat noi tipuri de firewall, cu
diferite roluri în protejarea unei rețele. Iată câteva tipuri de firewall:

 Network Layer Firewall – filtrarea adreselor IP la sursă și destinație

 Transport Layer Firewall – filtrarea porturilor de date la sursă și destinație, precum și filtrare pe baza
stărilor de conexiune

 Application Layer Firewall – filtrare bazată pe aplicații, programe sau servicii

 Context Aware Application Firewall – filtrare bazată pe utilizator, dispozitiv, rol, tip de aplicație și
profilul amenințării

 Proxy Server – filtrarea interogărilor web precum URL, domeniu, media etc.

 Reverse Proxy Server – plasat în fața serverelor web, reverse proxy server protejează, ascund,
elimină și distribuie accesul la serverele web

 Network Address Translation (NAT) Firewall – ascunde sau maschează IP-ul privat al rețelei gazdă

 Host-based Firewall – filtrarea porturilor și a apelurilor pentru servicii de sistem pe un singur calculator

Port Scanning

Port-scanning este un proces de scanare a unui computer, server sau altă rețea gazdă pentru porturi deschise.
În networking, fiecărei aplicații care rulează pe un dispozitiv i se atribuie un identificator numit număr de port.
Numărul de port este utilizat la ambele capete ale transmisiei, astfel încât datele corecte să fie transmise
aplicației corespunzătoare. Port-scanning poate fi folosit în scopuri rău intenționate, pentru a identifica sistemul
de operare și serviciile care rulează pe un computer sau o gazdă, sau poate fi folosit legitim de către un
administrator de rețea pentru a verifica politicile de securitate din rețea.

Pentru a verifica firewall-ul de rețea și securitatea porturilor, puteți utiliza un instrument de scanare porturi
precum Nmap, pentru a găsi toate porturile deschise din rețea. Scanarea porturilor poate fi un semn pentru un
atac în rețea, de aceea nu trebuie făcută pe servere publice pe Internet sau în rețeaua unei companii, fără
permisiune.

Pentru a rula o scanare de porturi cu Nmap pe un computer din rețeaua de acasă, descărcați și lansați un
program precum Zenmap, introduceți adresa IP a computerului pe care doriți să îl scanați, alegeți un profil de
scanare implicit și apăsați „scan”. Scanarea Nmap va raporta serviciile care rulează (de exemplu servicii web,
servicii de mail etc.) și numerele de porturi. În general, în urma scanării unui port sunt obținute următoarele trei
rezultate:

 Deschis sau Acceptat – Gazda a răspuns că un serviciu ascultă un port.

 Închis, respins sau nu ascultă – Gazda a răspuns că vor fi interzise conexiunile cu portul.

 Filtrat, eliminat sau blocat– Nu a existat nici un răspuns din partea gazdei.

Pentru a executa o scanare de porturi din afara rețelei, va trebui să inițiați scanarea din afara rețelei. Aceasta va
implica rularea unui Nmap port-scan la firewall sau adresa IP publică a router-ului. Pentru a descoperi adresa IP
publică, utilizați un motor de căutare, cum ar fi Google, cu interogarea "care este adresa mea IP". Motorul de
căutare va returna adresa dvs. IP publică.

Pentru a rula un port-scan pentru șase porturi comune la routerul sau firewall-ul de acasă, accesați Nmap Online
Port Scanner la adresa https://hackertarget.com/nmap-online-port-scanner/ și introduceți adresa dvs. IP publică
în caseta: IP address to scan… și apăsați Quick Nmap Scan. Dacă răspunsul este deschis deschis pentru
oricare dintre porturile: 21, 22, 25, 80, 443 sau 3389, atunci cel mai probabil, a fost activat port forwarding pe
router sau firewall, iar serverele rulează în rețeaua privată, așa cum se arată în figură.
Echipamente de securitate

Nu există niciun echipament de securitate sau tehnologie care să rezolve toate cerințele de securitate a unei
rețele. Trebuie implementate o mulțime de echipamente și instrumente de securitate, de aceea este important ca
acestea să lucreze împreună. Echipamentele de securitate sunt cel mai eficiente atunci când fac parte dintr-un
sistem.

Echipamentele de securitate pot fi dispozitive independente, precum un router sau firewall, un card care poate fi
instalat într-un dispozitiv de rețea sau un modul cu procesor propriu și memorie cache. Echipamente de
securitate pot fi considerate și instrumentele software care rulează pe un dispozitiv de rețea. Categorii de
echipamente de securitate:

Routere -Integrated Service Routers (ISR) de la Cisco, prezentate în Figura 1, au multe capabilități firewall pe
lângă funcțiile router specifice, inclusiv filtrarea traficului, capacitatea de a rula un sistem de prevenire a
intruziunilor (Intrusion Prevention System - IPS), criptarea și capabilități VPN pentru secure encrypted tunneling.

Firewalls - Cisco Next Generation Firewalls au toate capabilitățile unui router ISR, precum și administrare
avansată de rețea și instrumente analitice Cisco Adaptive Security Appliance (ASA) cu capabilități firewall este
prezentat în Figura 2.

IPS - Dispozitivele IPS de generație următoare de la Cisco, prezentate în Figura 3, previn intruziunile.

VPN - Echipamentele de securitate Cisco sunt echipate cu un server VPN (Virtual Private Network) și cu
tehnologii client. Este proiectat pentru secure encrypted tunneling.
Malware/Antivirus - Advanced Malware Protection (AMP) de la Cisco este integrată în routerele, firewall-urile,
dispozitivele IPS, echipamentele de securitate pentru web și e-mail de următoarea generație de la Cisco, și
poate fi instalată și ca soluție software în computerele gazdă.

Alte echipamente de securitate – Această categorie include soluții de securitate pentru web și e-mail,
dispozitive de decriptare, servere de control al accesului clienților și sisteme de management al securității.

Detectarea atacurilor în timp real

Programele software nu sunt perfecte. Când un hacker exploatează o eroare într-un software înainte ca
programatorul să o repare, vorbim despre un atac de tip zero-day. Atacurile zero-day din prezent sunt tot mai
sofisticate, astfel încât, foarte probabil, atacurile asupra rețelelor vor avea succes. O securitate eficientă se
măsoară acum în capacitatea rețelei de a răspunde rapid la un atac. Obiectivul major îl reprezintă capabilitatea
de a detecta atacurile în timp real, precum și blocarea imediată a atacurilor sau în câteva minute de la apariția
lor. Din păcate, multe companii și organizații nu reușesc să detecteze atacurile decât după ce acestea au avut
loc: la zile sau chiar luni distanță.

 Scanarea în timp real, de la periferia rețelei la terminale - Detectarea atacurilor în timp real necesită
scanare activă împotriva atacurilor, prin intermediul firewall-ului și dispozitivelor de rețea IDS/IPS.
Arhitectura client/server de generație următoare cu conexiuni la centrele globale de amenințări online
pentru detectarea programelor malware e necesară. În prezent, dispozitivele și aplicațiile software de
scanare activă trebuie să detecteze anomalii de rețea utilizând analize bazate pe context și detectare a
comportamentului.

 Atacurile DDoS și răspunsul în timp real - DDoS este una dintre cele mai mari amenințări, care
necesită răspuns și detectare în timp real. Atacurile DDoS sunt extrem de greu de blocat, deoarece provin
de la sute sau mii de gazde zombie și apar ca trafic legitim, așa cum se arată în figură. Atacurile DDoS
repetate paralizează serverele de Internet și disponibilitatea rețelelor companiilor. Este extrem de important
să detectăm și să răspundem la atacurile DDoS în timp real.
Protecție împotriva programelor malware

Cum vă apărați împotriva atacurilor constante de tip zero-day sau advanced persistent threats (APT) care fură
date pe termen lung? Un răspuns este folosirea unei soluții avansate de detecție a programelor malware în timp
real.

Administratorii de rețea trebuie să monitorizeze constant rețeaua pentru a identifica programe malware sau
comportamente care dezvăluie un atac APT. Cu tehnologia Advanced Malware Protection Threat Grid de la
Cisco puteți analiza milioane de fișiere și le puteți corela cu sute de milioane de mostre malware deja analizate.
Obțineți astfel o imagine globală asupra atacurilor, campaniilor și distribuției acestora. AMP este un software
client/server implementat pe terminalele gazdă, ca server independent sau pe alte dispozitive de securitate a
rețelei. Figura prezintă avantajele oferite de AMP Threat Grid.
Bune practici în securitate

Numeroase organizații profesionale au publicat liste cu bune practici în domeniul securității. Vă prezentăm o listă
cu bune practici în securitate:

 Efectuați o evaluare a riscurilor – Înțelegerea importanței bunurilor pe care le protejați, vă va ajuta

atunci când justificați sumele alocate pentru securitate.

 Creați o politică de securitate – Creați o politică de securitate în care sunt stipulate în mod clar
regulile companiei, responsabilitățile și așteptările.

 Măsuri privind securitatea fizică – Restricționați accesul la cabinetele pentru rack-uri și cablaje, la
locațiile serverului, precum și la sistemele de stingere a incendiilor.

 Măsuri de securitate privind resursele umane – Angajații trebuie verificați în mod corespunzător.

 Back-up regulat – Efectuați backup-uri periodice și testați soluțiile de backup.

 Patch-uri și actualizări de securitate – Actualizați periodic sistemele de operare și programele pentru

servere, dispozitive client și de rețea.

 Control al accesului – Configurați roluri și niveluri de privilegii pentru utilizatori, precum și servicii de
autentificare puternice.

 Testați periodic răspunsul la incidente – Angajați o echipă de răspuns la incidente și testați scenariile
de răspuns în caz de urgență.

 Implementați un instrument de monitorizare, analiză și administrare a rețelei - Alegeți o soluție de

monitorizare a securității care se integrează cu alte tehnologii.

 Implementați dispozitive de securitate a rețelei – Utilizați routere, firewall-uri și alte dispozitive de

securitate de ultimă generație.
  Implementați o soluție completă de securitate pentru Endpoint – Utilizați programe software
antimalware și antivirus de tip enterprise.

 Instruiți utilizatorii – Instruiți utilizatorii și angajații în proceduri sigure

 Criptați datele – Criptați toate datele sensibile ale companiei, inclusiv e-mailurile.

Unele dintre cele mai utile ghiduri se găsesc arhivele unor organizații precum National Institute of Standards and
Technology (NIST) Computer Security Resource Center, după cum se arată în figură.

Una dintre cele mai cunoscute și respectate organizații de training în domeniul securității cibernetice este SANS
Institute. Clic aici pentru a afla mai multe despre SANS și despre trainingurile și certificările oferite.

Botnet

Un botnet este un grup de boți (prescurtarea de la robots, roboți), conectați prin Internet, care pot fi controlați de
un individ sau un grup rău intenționat. Un bot computer este de obicei infectat prin vizitarea unui site web,
deschiderea unui atașament e-mail sau deschiderea unui fișier media infectat.

Un botnet poate avea zeci de mii sau chiar sute de mii de boți. Boții pot fi activați să distribuie malware, să
lanseze atacuri DDoS, să trimită e-mailuri spam sau să execute atacuri brute force cu parolă. Botnets sunt de
obicei controlați printr-un server command and control.

Criminalii cibernetici închiriază adesea rețelele Botnets, contra unei taxe, unor terțe părți în scopuri necinstite.

Figura arată modul în care un filtru de trafic botnet este utilizat pentru a informa comunitatea globală de
specialiști în securitate cu privire la locațiile botnets.

Kill Chain în apărarea cibernetică

În securitatea cibernetică, Kill Chain reprezintă etapele unui atac informatic. Dezvoltat de Lockheed Martin ca un
cadru de securitate pentru detectarea și răspunsul la incidente, Cyber Kill Chain cuprinde următoarele etape:

Etapa 1. Recunoaștere - Atacatorul colectează informații despre țintă.

Etapa 2. Pregătirea atacului - Atacatorul creează un exploit și un payload malițios pentru a le trimite către țintă.

Etapa 3. Livrare - Atacatorul trimite exploitul și payload-ul prin e-mail sau o altă metodă.

Etapa 4. Exploatare - Exploit-ul este executat.

Etapa 5 Instalare - Pe dispozitivul victimei sunt instalate programe malware și backdoor.

Etapa 6. Command and Control - Dispozitivul este controlat de la distanță printr-un canal command and control
sau un server.

Etapa 7. Acțiune - Atacatorul fură informații sau atacă alte dispozitive din rețea, trecând din nou prin toate
etapele Kill Chain.

Pentru a putea oferi o protecție eficientă împotriva atacurilor de acest tip, sistemele de securitate a rețelei sunt
aliniate etapelor Kill Chain. Ce întrebări legate de securitate și bazate pe Cyber Kill Chain ar trebui să vă puneți:

• Care sunt indicatorii de atac în fiecare etapă a Kill Chain?

• Ce instrumente de securitate sunt necesare pentru a detecta indicatorii de atac în fiecare etapă?

• Există lacune în capacitatea companiei de a detecta un atac?

Potrivit companiei Lockheed Martin, înțelegerea etapelor din Kill Chain le-a permis să instaleze obstacole
defensive, să încetinească atacul și, în cele din urmă, să prevină pierderile de date. În figură se arată cum fiecare
etapă a Kill Chain intensifică acțiunile și costurile de blocare și remediere a atacurilor.

Securitate bazată pe comportamente

Securitatea bazată pe comportamentul în rețea reprezintă o modalitate de detecție a amenințărilor și anomaliilor
din rețea pe baza unui context informațional și nu pe semnături malițioase. Detecția pe baza comportamentelor
presupune captarea și analizarea fluxului de comunicare între un utilizator din rețeaua locală și o destinație
locală sau la distanță. Odată captate și analizate, aceste comunicări dezvăluie contextul și tiparele de
comportament care pot fi folosite pentru detectarea anomaliilor. Prin această modalitate putem descoperi rapid
un atac, urmărind schimbările apărute față de comportamentul normal.

 Honeypots - un Honeypot este un instrument de detecție bazat pe comportament, care mai întâi îl
atrage pe atacator în utilizarea unui anumit tip de comportament. Ulterior, administratorul de rețea poate
captura, compara și analiza comportamentul atacatorului. Acest lucru permite unui administrator să obțină
mai multe informații despre atacuri și să implementeze măsuri de securitate mai bune.

 Cyber Threat Defense Solution Architecture de la Cisco - este o arhitectură de securitate care
utilizează tehnici de detecție și indicatori pe bază de comportament, pentru a oferi o vizibilitate mai mare,
un context mai bun și mai mult control. Scopul este să știm cine atacă, ce atacă, unde atacă, când atacă și
cum are loc atacul. Pentru a atinge acest obiectiv, această arhitectura de securitate utilizează mai multe
tehnologii de securitate.

NetFlow

Tehnologia NetFlow este utilizată pentru a colecta informații despre datele care circulă într-o rețea. Informațiile
NetFlow pot fi comparate cu o factură de telefon pentru traficul de rețea. Vă arată cine e în rețea și ce dispozitive
sunt în rețea, precum și când și cum a fost accesată rețeaua de către utilizatori și dispozitive. NetFlow este o
componentă importantă a tehnicilor de detecție și analiză bazate pe comportament. Switch-urile, routerele și
firewall-urile echipate cu NetFlow pot raporta informații despre datele care intră, care ies și care circulă în rețea.
Informațiile sunt trimise către NetFlow Collectors care adună, stochează și analizează înregistrările NetFlow.

NetFlow este capabil să colecteze informații privind utilizarea prin intermediul mai multor caracteristici legate de
modul în care datele se deplasează în rețea, așa cum se arată în figură. NetFlow colectează informații despre
fluxurile de date din rețea, fiind capabil să determine comportamente standard pentru mai mult de 90 de atribute
diferite.

CSIRT

Multe organizații mari au o echipă de răspuns la incidente de securitate (CSIRT - Computer Security Incident
Response Team), care primește, examinează și răspunde la incidentele de securitate, așa cum este prezentat în
figura 1. Misiunea principală a CSIRT este de a asigura securitatea companiei, a sistemelor informatice și a
datelor, prin efectuarea unor investigații cuprinzătoare privind incidentele de securitate. Pentru a preveni
incidentele de securitate, echipa Cisco CSIRT furnizează evaluări proactive despre amenințări, realizează planuri
de atenuare a riscurilor și analize privind tendințele și revizuiește arhitectura de securitate, după cum se arată în
Figura 2.

Cisco CSIRT colaborează cu organizații precum Forum of Incident Response and Security Teams (FIRST),
National Safety Information Exchange (NSIE), Defence Security Information Exchange (DSIE) și DNS Operations
Analysis and Research Center (DNS-OARC).

Există, de asemenea, organizații CSIRT naționale și publice, precum Divizia CERT a Institutului de Inginerie
Software din cadrul Universității Carnegie Mellon, care pot oferi suport companiilor să dezvolte echipe CSIRT și
să-și îmbunătățească capabilitățile de gestionare a incidentelor.
Manualul de securitate

Tehnologiile se schimbă rapid. Atacurile cibernetice evoluează la rândul lor. Constant, sunt descoperite noi
vulnerabilități și metode de atac. Securitatea se află pe agenda majorității companiilor, care depun eforturi să
limiteze impactul financiar și reputațional al unei breșe de securitate. Atacurile cibernetice vizează rețele critice și
date sensibile. Organizațiile trebuie să aibă strategii de gestionare a breșelor de securitate și de remediere a
pagubelor produse de acestea.

Cea mai bună metodă de pregătire împotriva unui atac este prevenția. În cadrul organizației ar trebui să existe
direcții privind riscurile de securitate a sistemelor, activelor, datelor și capabilităților, legate de asigurarea și
aplicarea măsurilor de protecție necesare, precum și referitoare la metode de detecție imediată a unui incident de
securitate. Companiile trebuie să ia măsuri adecvate și imediate pentru minimizarea impactului și daunelor.
Planul de răspuns trebuie să fie flexibil și să includă multiple opțiuni de acțiune în timpul atacului. După
îndepărtarea amenințării de securitate și restaurarea serviciilor compromise, companiile trebuie să actualizeze
politicile și procesele de securitate.

Toate aceste informații trebuie compilate într-un manual de securitate. Un manual de securitate este o colecție
de rapoarte despre cauzele incidentelor de securitate, care permit detecția și răspunsul rapid la incidente. În mod
ideal, trebuie să ofere detalii despre următoarele acțiuni:

 Detecția echipamentelor infectate cu malware.

 Detecția activităților suspecte în rețea.

 Detecția încercărilor de autentificare nelegitime.

 Descrierea traficului de intrare și ieșire și înțelegerea modului în care funcționează.

 Informații suplimentare, inclusiv tendințe și statistici.

 Acces rapid la statistici și metrici.

 Corelarea evenimentelor în toate sursele de date relevante.

Instrumente pentru prevenirea și detecția incidentelor

Vă prezentăm câteva dintre instrumentele utilizate pentru detecția și prevenirea incidentelor de securitate:

 SIEM – SIEM sau Security Information and Event Management este un program software care
colectează și analizează alerte de securitate, fișiere de tip log și date istorice și în timp real de la
dispozitivele de securitate din rețea.

 DLP – Data Loss Prevention Software (DLP) este un sistem software sau hardware conceput pentru a
împiedica furtul de date sensibile dintr-o rețea. Activitatea DLP se concentrează pe autorizarea accesului la
fișiere, schimbul de date, copierea datelor, monitorizarea activității utilizatorilor și multe altele. Sistemele
DLP sunt proiectate pentru a monitoriza și proteja datele în trei stări diferite: date în uz, date în mișcare și
date în repaus. Datele în uz sunt cele de la client, datele în mișcare se referă la datele care se deplasează
în rețea, iar datele în repaus se referă la datele stocate.

 Cisco ISE și TrustSec – Cisco Identity Services Engine (Cisco ISE) și Cisco TrustSec oferă acces la
resursele de rețea prin crearea unor politici de control al accesului bazat pe roluri, care segmentează
accesul la rețea (oaspeți, utilizatori mobili, angajați). Traficul este clasificat în funcție de utilizator sau
dispozitiv. Click pe butonul play în figura din cursul online pentru a afla mai multe despre ISE.

 Click aici pentru a citi transcrierea acestui video.

IDS și IPS

Sistemul de detecție a intruziunilor (Intrusion Detection System, IDS), prezentat în figură, este fie un dispozitiv
dedicat de rețea, fie unul dintre instrumentele dintr-un server sau un firewall, care scanează date dintr-o bază de
date de reguli sau semnături de atac, căutând trafic rău intenționat. Dacă este identificată o corelație, IDS va
înregistra elementul și va crea o alertă pentru administratorul de rețea. IDS nu ia măsuri atunci când identifică o
corelație, prin urmare nu blochează un atac. Funcția IDS este doar de a detecta, înregistra și raporta.

Operațiunea de scanare executată de IDS încetinește procesele în rețea (cunoscută sub denumirea de latență).
Pentru a preveni latența în rețea, un IDS este de obicei plasat offline, separat de traficul obișnuit în rețea. Datele
sunt copiate sau redate de un switch și direcționate către IDS pentru detecție offline. Instrumente IDS pot fi
instalate și pe sistemul de operare al unui computer gazdă, cum ar fi Linux sau Windows.

Un sistem de prevenire a intruziunilor are capacitatea de a bloca sau de a refuza traficul, pe baza unei reguli
pozitive sau a unei semnături corespondente. Unul dintre cele mai cunoscute sisteme IPS/IDS este Snort.
Versiunea comercială a Snort este Sourcefire de la Cisco. Sourcefire are capacitatea de a efectua analize privind
traficul și porturile în timp real, de a înregistra rezultatele, de a căuta și corela conținutul, precum și de a detecta
activitățile de sondare, atacurile și scanările de porturi. Se poate integra cu alte instrumente de raportare și
analiză.

Capitolul 4: Protejarea organizației

În acest capitol am discutat despre tehnologiile și procesele utilizate de profesioniștii din domeniul securității
cibernetice pentru a asigura protecția rețelei, echipamentelor și datelor organizației. Am vorbit despre tipuri de
firewall-uri, dispozitive de securitate și programe software.

Am abordat subiecte precum botnets, kill chain, securitate bazată pe comportamente și cum utilizăm NetFlow
pentru monitorizarea rețelei.

Am explicat care este abordarea Cisco în domeniul securității cibernetice, am vorbit despre echipa CSIRT și
manualul de securitate. În acest capitol am prezentat instrumentele pe care le folosesc profesioniștii din domeniul
securității cibernetice pentru a detecta și a preveni atacurile în rețea, inclusiv SIEM, DLP, Cisco ISE și TrustSec,
precum și sistemele IDS și IPS.

Dacă doriți să explorați în detaliu noțiunile din acest capitol, vă rugăm să consultați pagina Additional Resources
and Activities din Student Resources.
Capitolul 5: Viitorul dvs. poate fi în securitate cibernetică

Acest capitol abordează aspectele legale și etice privind securitatea cibernetică. De asemenea, prezintă opțiunile
pentru o carieră în securitatea cibernetică. Prezintă și cursurile pe care le puteți urma pentru a obține o certificare
în domeniu, prin intermediul Cisco Networking Academy. Unele dintre aceste certificări reprezintă cerințe pentru
specializarea în multe domenii din rețelistică, inclusiv securitatea cibernetică.

Pagina Networking Academy Talent Bridge (netacad.com în Resurse) oferă informații utile care vă ajută să
redactați un CV bun și să vă pregătiți pentru un interviu de angajare. Tot aici, puteți afla job-urile disponibile în
Cisco și în ecosistemul de parteneri Cisco. Detalii despre trei motoare externe de căutare de locuri de muncă pe
Internet.

Aspecte legale în securitatea cibernetică

Profesioniștii în domeniul securității cibernetice trebuie să dețină aceleași competențe ca hackerii pentru a
proteja eficient o organizație împotriva amenințărilor de securitate. Diferența între un hacker și un profesionist în
domeniul securității informatice este că profesionistul în domeniul securității informatice trebuie să lucreze în
limitele legii.

Probleme juridice de natură personală

Nu e nevoie să fiți angajat într-o companie pentru a vă supune legilor privind securitatea cibernetică. Puteți avea
abilități de hacking și oportunitatea de a penetra o rețea. Doar pentru că puteți face acest lucru nu înseamnă că
trebuie să-l faceți. Țineți cont de acest lucru. Cei mai mulți hackeri lasă urme, indiferent dacă sunt conștienți sau
nu de asta, iar aceste piste conduc la prinderea lor.

Specialiștii în domeniul securității informatice au competențe variate, care pot fi folosite legitim sau nu. Cei care
respectă legea și își folosesc abilitățile pentru a proteja rețeaua, infrastructura și viața privată a celor din jurul lor,
sunt cei mai solicitați de către companii.

Probleme juridice corporative

Majoritatea țărilor au o legislație în domeniul securității cibernetice. Aceasta poate aborda subiecte precum
infrastructura și rețelele critice, dreptul la viață privată Organizațiile trebuie să respecte aceste legi.

În unele cazuri, dacă nu respectați la locul de muncă legislația privind securitatea cibernetică, atunci compania
va suporta consecințele, iar dvs. puteți să vă pierdeți locul de muncă. În alte cazuri, ați putea fi urmărit penal,
amendat și eventual condamnat.

Atunci când nu sunteți siguri dacă o acțiune sau un comportament ar putea fi ilegale, presupuneți că sunt ilegale
și opriți-vă. Dacă aveți nevoie de consultanță, puteți apela la departamentul juridic din cadrul companiei dvs. sau
la o persoană din departamentul de resurse umane care vă pot răspunde la întrebări.

Dreptul internațional și securitatea cibernetică

Legislația cu privire la securitatea cibernetică este mult mai nouă decât domeniul securității cibernetice. Așa cum
am menționat anterior, majoritatea țărilor au o legislație în domeniu și multe alte legi vor intra în vigoare în viitor.

Legislația internațională cu privire la securitatea cibernetică e încă la început. Parteneriatul Multilateral Global
împotriva Amenințărilor Cibernetice (International Multilateral Partnership Against Cyber Threats, IMPACT) este
primul parteneriat public-privat internațional axat pe amenințările cibernetice. IMPACT ieste un parteneriat la
nivel internațional între guverne, industrii și mediul academic, dedicat îmbunătățirii capabilităților globale în fața
amenințărilor cibernetice. Figura prezintă website-ul IMPACT.

Probleme etice în securitatea cibernetică

Pe lângă lucrul în limitele legii, profesioniștii din domeniul securității informatice trebuie, de asemenea, să aibă un
comportament etic.
Probleme etice personale

O persoană care nu acționează etic poate să nu facă obiectul urmăririi penale, poate să nu primească amenzi
sau să ajungă la închisoare. Acest lucru se datorează faptului că este posibil ca acțiunea să nu fie ilegală din
punct de vedere tehnic. Asta nu înseamnă că acel comportament este acceptabil. Comportamentul etic este
destul de ușor de stabilit. Este imposibil să faceți o listă cu toate tipurile de comportamente neetice. Iată doar
două exemple: Puneți-vă întrebarea:

 Vreau să aflu dacă cineva a intrat în calculatorul meu și a modificat imaginile de pe rețelele sociale?

 Vreau să știu că un tehnician IT în care am avut încredere să-mi repare rețeaua a transmis colegilor
informații despre mine obținute în timp ce lucra la rețeaua mea?

Dacă răspunsul dvs. la oricare dintre aceste întrebări a fost "nu", atunci nu faceți astfel de lucruri nici altora.

Probleme etice corporative

Deontologia profesională reprezintă un cod de comportament care uneori este impus de legi. Există multe zone
din domeniul securității cibernetice care nu sunt reglementate prin legi. Acest lucru înseamnă că, dacă
întreprindeți o acțiune legală din punct de vedere tehnic, ea ar putea totuși să nu fie etică. Deoarece există foarte
multe zone din domeniul securității cibernetice care nu sunt (sau nu sunt încă) acoperite de legi, multe organizații
profesionale IT au creat coduri de etică pentru persoanele din industrie. Vă prezentăm trei organizații care au
publicat un cod de etică:

 CyberSecurity Institute (CSI) a publicat un cod de etică pe care îl puteți citiaici.

 Information Systems Security Association (ISSA) are un cod de etică, ce poate fi găsitaici.

 Asociația Profesioniștilor în Tehnologia Informației (Association of Information Technology

Professionals, AITP) a creat atât un cod de etică, cât și un standard de conduită profesională, ce pot fi
găsite aici.

Cisco are o echipă dedicată privind deontologia comportamentului în afaceri. Mai multe detalii puteți citi aici.
Acest site conține un eBook despre Codul de Conduită al Cisco și un fișier pdf. În ambele fișiere există un „Ethics
Decision Tree", după cum se arată în figură. Chiar dacă nu lucrați pentru Cisco, întrebările și răspunsurile găsite
în acest arbore al deciziilor pot fi ușor aplicate la locul de muncă. Ca și în cazul chestiunilor juridice, atunci când
credeți că o acțiune sau un comportament ar putea fi neetic, presupuneți că nu este etic și nu acționați. O
persoană din departamentul de resurse umane sau din cel juridic vă poate ajuta să clarificați situația înainte de
acționa greșit.

Puteți căuta online și alte organizații IT care au coduri de etică. Încercați să descoperiți ce au acestea în comun.

Locuri de muncă în securitatea cibernetică

Profesioniștii în domeniul securității informatice sunt recrutați de foarte multe companii din diverse industrii.
Există mai multe motoare de căutare online care vă ajută să găsiți locul de muncă potrivit în domeniul securității
cibernetice:

 ITJobMatch – Motorul de căutare ITJobMatch găsește diverse locuri de muncă în domeniul IT, în toată
lumea.

 Monster – Monster este un motor de căutare pentru locuri de muncă din toate industriile. Link-ul oferit
duce direct către locurile de muncă din domeniul securității cibernetice.

 CareerBuilder – CareerBuilder este un alt motor de căutare pentru locuri de muncă din toate industriile.
Link-ul oferit duce direct către locurile de muncă din domeniul securității cibernetice.
Acestea sunt doar trei site-uri care vă ajută să vă găsiți un loc de muncă online. Chiar dacă abia ați început
studiile IT, căutarea de locuri de muncă cu ajutorul motoarelor de căutare online reprezintă o bună modalitate de
a vedea ce fel de locuri de muncă sunt disponibile în întreaga lume.

În funcție de zona dvs. de interes, pot fi disponibile diverse locuri de muncă din domeniul securității cibernetice,
care pot necesita certificări pe anumite competențe. De exemplu, un penetration tester, cunoscut și sub
denumirea de hacker etic, identifică și exploatează vulnerabilitățile de securitate din aplicații, rețele și sisteme.
Pentru a deveni penetration tester, aveți nevoie de experiență în alte locuri de muncă în domeniul IT, cum ar fi
administrator de securitate, administrator de rețea și administrator de sistem. Fiecare dintre aceste locuri de
muncă necesită un set propriu de abilități care vă vor ajuta să deveniți un angajat valoros pentru orice
organizație.

Sperăm că acest curs v-a suscitat interesul pentru a urma o carieră în domeniul IT și al securității cibernetice! Cu
ajutorul cursurilor oferite de Cisco Networking Academy vă puteți continua studiile în securitate cibernetică. Vă
încurajăm să vă înscrieți la următorul curs, Cybersecurity Essentials, pentru a vă completa cunoștințele în
securitate cibernetică. Vizitați Cisco Networking Academy, unde puteți consulta o listă de cursuri disponibile. În
plus, puteți accesa și career resources disponibile în cadrul Cisco Networking Academy.

Click aici pentru a citi o bandă desenată despre un super-erou în securitate cibernetică!

Capitolul 5: Va fi viitorul dvs. în securitate cibernetică?

În acest capitol am discutat despre aspectele juridice și etice cu care se confruntă profesioniștii din domeniul
securității cibernetice. De asemenea, v-au fost prezentate opțiunile de carieră în domeniul securității cibernetice
și programele educaționale care vă pot ajuta să vă continuați studiile în acest domeniu captivant. Nu în ultimul
rând, puteți explora locurile de muncă din domeniul securității cibernetice, cu ajutorul a trei motoare externe de
căutare online.

Dacă doriți să aflați detalii despre noțiunile prezentate în acest capitol, vă rugăm să consultați pagina Additional
Resources and Activities din Student Resources.