Qual é a diferença entre autenticação e autorização?

A autenticação estabelece quem é uma parte (verificando a identidade, por exemplo, via senha ou chave). A autorização decide o que uma parte autenticada tem permissão para fazer (suas permissões). Um sistema deve fazer ambos: confirmar a identidade e, em seguida, impor os direitos de acesso.

Criptografia forte é suficiente para proteger um sistema?

Não. A criptografia é necessária, mas não suficiente. A maioria das violações reais explora senhas fracas, má configuração, software não corrigido, phishing ou má gestão de chaves, em vez de quebrar a própria criptografia, razão pela qual a engenharia e as operações seguras são tão importantes quanto os algoritmos.

Segurança de Sistemas e Redes

A segurança de sistemas e redes aplica técnicas criptográficas e de engenharia para proteger computadores, redes e os dados que fluem entre eles contra escutas, adulteração, falsificação de identidade e acesso não autorizado.

Encontrar tema com PaperMindEm breveFind papers & topics

Tools & resources

Baixar slides

Learn & explore

VídeoEm breve

Definition

Segurança de sistemas e redes é a disciplina de proteger a confidencialidade, integridade e disponibilidade de sistemas de computador e das redes que os conectam, combinando criptografia, controle de acesso e práticas de engenharia seguras.

Scope

Esta área abrange a defesa prática da infraestrutura implantada: proteção da comunicação em rede, autenticação de usuários e máquinas, controle de acesso, distribuição de confiança por meio de infraestrutura de chave pública e construção de canais seguros como o TLS. Aborda como as primitivas criptográficas são montadas em protocolos reais e como os princípios de segurança (privilégio mínimo, defesa em profundidade) guiam o design do sistema. Exclui o design das primitivas criptográficas subjacentes e a análise de vulnerabilidades em nível de software, que são tratadas em áreas irmãs.

Sub-topics

Core questions

Como os dados são protegidos ao atravessar redes não confiáveis?
Como usuários e máquinas são autenticados de forma confiável e como seu acesso é controlado?
Como a confiança em chaves públicas é estabelecida e gerenciada em escala?
Quais princípios de segurança guiam o design de sistemas confiáveis?
Como a confidencialidade, integridade e disponibilidade são equilibradas com a usabilidade e o desempenho?

Key concepts

confidencialidade, integridade, disponibilidade
privilégio mínimo
defesa em profundidade
autenticação e autorização
controle de acesso
infraestrutura de chave pública
canais seguros (TLS)
modelagem de ameaças
perímetro e segmentação de rede

Key theories

Princípios de design de Saltzer e Schroeder: Princípios clássicos para o design de sistemas seguros — privilégio mínimo, padrões à prova de falhas, economia de mecanismo, mediação completa, design aberto, separação de privilégios — permanecem a base da engenharia de segurança.
A tríade CIA e defesa em profundidade: Os objetivos de segurança são enquadrados como confidencialidade, integridade e disponibilidade; sistemas robustos aplicam múltiplas camadas de controles independentes (defesa em profundidade) para que a falha de um mecanismo não comprometa o todo.

Clinical relevance

A segurança de sistemas e redes é o que mantém a internet utilizável: o TLS protege o tráfego web e de API, VPNs e IPsec garantem acesso remoto, autoridades de certificação e PKI permitem que máquinas desconhecidas confiem umas nas outras, e sistemas de controle de acesso protegem tudo, desde consoles em nuvem até registros hospitalares. Falhas aqui causam as violações de dados, incidentes de ransomware e comprometimentos da cadeia de suprimentos que dominam as notícias de segurança.

Evidence & guidelines

A prática é moldada por estruturas e padrões: o NIST Cybersecurity Framework e a série SP 800, ISO/IEC 27001, as bases de conhecimento OWASP e MITRE ATT&CK, e RFCs de protocolo. Arquiteturas de confiança zero (NIST SP 800-207) substituem cada vez mais os modelos apenas de perímetro, e regimes regulatórios (GDPR, HIPAA, PCI-DSS) impõem requisitos de segurança em setores específicos.

History

A segurança de redes cresceu com a própria internet: o worm Morris (1988) demonstrou vulnerabilidade sistêmica, firewalls e detecção de intrusão surgiram na década de 1990, e SSL/TLS (a partir de 1995) protegeu a web. Os princípios de Saltzer e Schroeder de 1975 ainda ancoram o campo. À medida que os perímetros se dissolveram com a computação em nuvem e móvel, a disciplina mudou para modelos centrados na identidade e de confiança zero.

Key figures

Roger Needham
Ross Anderson
Jerome Saltzer
Michael Schroeder
Whitfield Diffie

Seminal works

anderson2020
saltzer1975
stallings2017

Frequently asked questions

Qual é a diferença entre autenticação e autorização?: A autenticação estabelece quem é uma parte (verificando a identidade, por exemplo, via senha ou chave). A autorização decide o que uma parte autenticada tem permissão para fazer (suas permissões). Um sistema deve fazer ambos: confirmar a identidade e, em seguida, impor os direitos de acesso.
Criptografia forte é suficiente para proteger um sistema?: Não. A criptografia é necessária, mas não suficiente. A maioria das violações reais explora senhas fracas, má configuração, software não corrigido, phishing ou má gestão de chaves, em vez de quebrar a própria criptografia, razão pela qual a engenharia e as operações seguras são tão importantes quanto os algoritmos.