Conceitos
Confidencialidade:
- Garante que apenas utilizadores/sistemas com os direitos e privilégios para acessar a informação possam fazê-lo
Integridade:
- garante a consistência da informação
- Envolve manter a precisão, completude e confiabilidade dos dados durante todo o seu ciclo de vida
Disponibilidade:
- Garante que utilizadores/sistemas autorizados possam acessar a informação sem interferência ou obstrução
Autenticidade:
A propriedade de ser genuíno e poder ser verificado e confiável; confiança na validade de uma transmissão, uma mensagem ou do originador da mensagem. Isso significa verificar se os utilizadores são quem dizem ser e se cada entrada que chega ao sistema veio de uma fonte confiável.
Security:
Lida com ações intencionais, por exemplo, ação humana que tenta explorar uma vulnerabilidade.
Safety:
Lida com ações não intencionais, por exemplo, confiabilidade de rede, problemas de usabilidade de aplicações.
Asset / Ativo:
- Recursos do sistema sendo protegidos
Risco:
- A probabilidade de uma ocorrência indesejada
Ameaça:
- Uma categoria de objetos, pessoas ou outras entidades que representam um perigo para um ativo
Vulnerabilidade:
- Uma fraqueza ou falha em um sistema ou mecanismo de proteção que o expõe a ataques ou danos
Ataque:
- Um ato intencional que pode danificar ou de outra forma comprometer informações e os sistemas que as suportam.
Exploit:
- Uma técnica usada para comprometer um sistema.
Exposição:
- Uma condição ou estado de estar exposto. Existe quando uma vulnerabilidade é conhecida por um atacante.
Superfícies de ataque:
- Alcance e explorabilidade das vulnerabilidades do sistema
CVE - Common Vulnerabilities and Exposures:
- Uma lista de nomes padronizados para vulnerabilidades e outras informações relacionadas a exposições de segurança publicamente conhecidas
CWE - Common Weakness Enumeration:
- Lista desenvolvida pela comunidade de tipos de fraquezas de software e hardware
- Sistema de categorias
- Uma base para identificação, mitigação e prevenção de fraquezas
Penetration Testing - Pentest
Tentativa autorizada de obter acesso ao sistema com o objetivo de identificar e recomendar soluções para vulnerabilidades nesses sistemas.