Professional Documents
Culture Documents
So Caetano do Sul/SP
2015
So Caetano do Sul/SP
2015
AGRADECIMENTOS
Gostaria de agradecer a
RESUMO
NEVES, D. F.;VENTURA, M. M. Caractersticas dos Controles de Segurana da
Informao frente aos principais geradores de incidentes. 56 f. Trabalho de
Graduao Faculdade de Tecnologia de So Caetano do Sul, So Caetano do Sul,
2015.
Cada vez mais, segurana da informao tem recebido ateno das empresas.
Grandes invases,com perdas catastrficas financeiras e de reputao, tem
evidenciado a necessidade de investimentos para proteo daquele que, hoje, o
maior patrimnio das empresas: seus dados. Porm, vale acreditar que apenas com
altos investimentos as informaes estaro protegidas? Se o dinamismo agressivo
da tecnologia capaz de tornar um expert em informtica obsoleto aps poucos
meses sem praticar ou se atualizar, que dir dos equipamentos e sistemas, quase
sempre de valor elevado, que as empresas possuem h anos? Todo investimento
em segurana da informao deve ser municiado de guidelines que permitam a
proteo efetiva dos dados, e nem sempre a soluo mais cara a mais adequada
no momento. Muito mais importante do que adquirir a ferramenta da vez
entender quais so as caractersticas necessrias para a proteo contra cada
ameaa. A soluo, muitas vezes, pode no ter custo algum. A inteno deste
trabalho exatamente esta: elencar as principais ameaas em segurana da
informao atuais, identificar a melhor forma de proteo contra cada uma delas,
independente do custo, e apresentar as solues que, no momento, executam esta
proteo de maneira efetiva.
Palavras-chave: Segurana da Informao; Ameaas; Controles; Caractersticas;
Brasil.
ABSTRACT
NEVES, D. F.;VENTURA, M. M. Caractersticas dos Controles de Segurana da
Informao frente aos principais geradores de incidentes. 56 f. Trabalho de
Graduao Faculdade de Tecnologia de So Caetano do Sul, So Caetano do Sul,
2015.
More and more, the attention of the enterprises regarding information security is
increasing. Big invasions, with catastrophic financial and reputational losses, have
leveraged the need for investments of one of the biggest assets companies have
today: its data. However, can we believe that big investments are all that it takes to
secure the information? If the aggressive dynamism of technology is capable of make
an IT expert obsolete with only a few months without practice, what can it do with
equipment and systems, frequently expensive, that the companies use for years?
Every investment in information security must be leveraged with guidelines that allow
an effective protection of data, and not always the most expensive solution is the best
pick. Far more important than have the tool of the moment is to understand the
characteristics required to effectively protect against each threat. Eventually, the
solution doesnt even have to cost anything. The purpose of this paper is to list the
main current threats of information security, identify the best way to protect against
each one of them, regardless of its cost, and to present the solutions that, as of
today, execute such protection in an effective fashion.
Key-words: Information Security; Threats; Controls; Characteristics; Brazil.
LISTA DE ILUSTRAES
Figura 1. Categorias de vazamento de dados..............................................................14
Figura 2. Incidentes Reportados................................................................................ 21
Figura 3. Proporo dos Incidentes Reportados...........................................................22
Figura 4. Total de Incidentes Reportados por Ano.........................................................23
Figura 5. Os incidentes mais frequentes.....................................................................24
Figura 6. Processo genrico de solicitao de acessos.................................................32
Figura 7. Processo de recertificao de acessos..........................................................33
LISTA DE TABELAS
Tabela 1. Levantamento Ponemon Institute.................................................................13
Tabela 2. Tabela sem nome....................................................................................... 14
Tabela 3. Causadores de incidentes no Brasil..............................................................24
Tabela 4. Consolidao dados Cert.BR.......................................................................25
Tabela 5. Consolidao dados pesquisa Daryus...........................................................25
Tabela 6. Concluso de dados...................................................................................26
SUMRIO
INTRODUO.......................................................................................................... 9
1 OS DIFERENTES TIPOS DE AMEAAS.................................................................13
1.1 Ataque malicioso ou criminoso......................................................................16
1.2 Falha de sistema........................................................................................... 18
1.3 Fator humano................................................................................................ 19
2 AMEAAS E GERADORES DE INCIDENTES.........................................................21
2.1 Identificao................................................................................................. 21
2.2 Definio Das Ameaas................................................................................. 26
3 CONTROLES....................................................................................................... 29
3.1 Fraudes........................................................................................................ 29
3.1.1 Vazamento de Informao........................................................................30
3.1.2 Mau Uso / Mal Uso...................................................................................31
3.1.2.1 Usurios Com Permisses Maiores Do Que As Necessrias Para
Executarem Suas Funes............................................................................32
3.1.2.2 Usurios Com Privilgios De Administrador Em Sistemas...................33
3.1.3 Perda de Informao................................................................................ 35
3.1.4 Engenharia Social....................................................................................36
3.2 Malware........................................................................................................ 38
3.3 DOS (Denial Of Service).................................................................................43
3.4 Invases....................................................................................................... 44
3.4.1 Port Scan................................................................................................ 45
3.4.2 Falhas No Sistema (Vulnerabilidades).......................................................46
3.4.3 Acesso Fsico No-Autorizado..................................................................47
3.4.4 Fora Bruta............................................................................................. 47
3.4.5 Desfigurao De Pgina (Defacement)......................................................49
CONSIDERAES FINAIS...................................................................................... 50
REFERNCIAS...................................................................................................... 52
10
INTRODUO
A definio de segurana da informao, segundo a ISO/IEC 27002 (2005,
p.2), se d como a proteo da informao contra vrios tipos de ameaas, para
garantir a continuidade do negcio, minimizar riscos, maximizar o retorno sobre os
investimentos e as oportunidades.
Ainda segundo a ABNT ISO/IEC 27002 (2005), a segurana da informao
obtida quando um conjunto de controles adequados (polticas, processos, funes
de
hardware
e software) so
11
Altamente confidencial:
Informaes consideradas criticas para as operaes atuais da
organizao e que poderiam imped-las ou romp-las seriamente se
fossem compartilhadas internamente ou tornadas pblicas. Tais
informaes incluem dados de contas, planos de negcios,
informaes sensveis de clients de bancos, registros mdicos de
pacientes e similares dados altamente sensveis. Tais informaes
no devem ser copiadas ou removidas do controle operacional sem
autorizao especfica. Segurana nesses casos deve ser muito alta.
(2005, p. )
Proprietria:
12
Uso interno:
Informao no autorizada para circulao geral fora da organizao,
onde seu descarte poderia gerar inconvenincias para a organizao
ou seu gerenciamento, mas que pouco provavelmente resultaria em
perdas ou danos srios para credibilidade/reputao. Exemplos
incluem: memorandos internos, relatrios de projetos internos,
minutas de reunies. Segurana nesse nvel controlada, porm
normal. (2005, p. )
13
14
Descrio
Medidas de controle
Ataque malicioso ou
criminoso
Aumento na proteo
das informaes
(hardening de rede,
firewalls, IPS, IDS,
criptografia, etc.)
Falha de sistema
Vulnerabilidades descobertas
em sistemas que podem ser
exploradas para se obter acesso
a dados confidenciais
Atualizaes, aplicao
de patches
Fator humano
Propenso de um indivduo a
revelar, consciente ou
inconscientemente, informaes
confidenciais a pessoas no
autorizadas.
Conscientizao,
treinamentos
15
Controle
Descrio
Determinabilida
de
Relao de
custos em
segurana
da
informao
Poltica de
Segurana
Fcil
Muito alta
Organizao da
Segurana da
Informao
Mdia
Muito alta
Gerncia de
ativos
Mdia
Mdia
Mdia-Difcil
Baixa
Gerncia de
recursos
humanos
16
informao)
Segurana fsica
e do ambiente
Fcil-Mdia
Mdia
Gerncia de
comunicaes e
da operao
Mdia
Mdia
Controle de
acesso
Mdia
Alta
Aquisio,
desenvolvimento
e manuteno de
sistemas de
informao
Mdia
Mdia
Gerncia de
incidentes de
segurana da
informao
Mdia-Difcil
Muito alta
Gerncia de
continuidade dos
negcios
Difcil
Mdia
Compliance
Mdia-Difcil
Mdia
Sistema de
gesto de
segurana da
informao
Fcil-Mdia
Muito alta
Fonte:
17
18
19
c)
ataque;
1 (http://nvd.nist.gov).
20
d)
f)
Comunicao
mtodo
inseguro
de
transmisso
de
21
22
23
24
25
26
16.5%
16.5%
12.4%
12.4%
9.9%
6.6%
5%
5%
4.1%
4.1%
3.3%
2.5%
0.8%
0.8%
27
44.66%
DOS
Worm
Web (servers)
Invaso
PortScan
Outros
21.39%
4.03%
2.75%
0.62%
25.18%
1.37%
Figura nossa
16.5
%
16.5
%
12.4
%
4.1%
5%
9.9%
6.6%
5%
4.1%
0.8%
2.5%
3.3%
0.8%
12.4
%
28
Figura nossa.
Com base nas informaes acima, conclui-se que, alm de identificar quais
ameaas existem, necessrio tambm possuir controles que atuem de maneira
efetiva sobre cada uma delas. Sero listados os principais mtodos de controle para
cada uma das principais ameaas identificadas no Brasil em 2014.
2.2 Definio Das Ameaas
Alm de identificar quais ameaas existem, necessrio tambm possuir
controles que atuem de maneira efetiva sobre cada uma delas. Aqui sero listados
os principais mtodos de controle para cada uma das principais ameaas
identificadas no Brasil em 2014. Controles mais aprofundados sero descritos no
prximo captulo.
Fraudes A fraude se diferencia por ter o fator humano como fundamento
para sua execuo, enquanto as demais ameaas possuem o fator tcnico como
seu determinante. Ironicamente, ela a principal causa de incidentes nos ambientes
de computadores, essencialmente tcnicos. A maneira mais eficiente de se proteger
contra ataques do tipo fraude o investimento em treinamento e conscientizao.
fundamental observar que o alvo da fraude so as pessoas, e que nenhum controle
29
30
Muito mais importante parece ser a forma como cada proteo aplicada, de
maneira a otimizar seus controles, o que sugere um enfoque na iinterao humana,
privilegiando o aperfeioamento tcnico daqueles envolvidos na configurao das
ferramentas. possvel perceber tambm que treinamentos e conscientizao no
devem ser restringidos equipe tcnica de uma empresa, mas sim abranger todos
os usurios que interajam com computadores e considerando cada um deles como
uma vulnerabilidade singular.
Nota-se, tambm, que independente da ameaa no existe um programa ou
tcnica infalvel. O ambiente de tecnologia da informao extremamente dinmico,
e uma ferramenta (ou mesmo um treinamento) excelente hoje perde esse patamar
em pouco tempo. O ideal entender o conceito por trs de cada ameaa, entender o
conceito para cada mtodo de defesa, aplicar este conceito utilizando as melhores
ferramentas disponveis no momento e constantemente atualizar estas ferramentas
de acordo com a evoluo de cada uma delas.
31
3 CONTROLES
A definio de controle , de acordo com a ISO 27002 (ISO/IEC 27002, p.2)
dada como forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes,
prticas ou estruturas organizacionais, que podem ser de natureza administrativa,
tcnica ou de gesto legal
Para Northcutt (2009), do SANS Institute, controles de segurana da
informao so defesas tcnicas ou administrativas para evitar, reagir e minimizar
danos causados por ameaas explorando uma vulnerabilidade. So divididos em 3
categorias: controles preventivos, detectivos e corretivos.
Controles preventivos tm como funo a preveno do contato ameaa
versus fraqueza do ambiente ou recurso. Exemplos incluem treinamentos de
conscientizao de segurana da informao, firewalls, IPS, antivrus,entre outros.
Controles detectivos identificam que um incidente est acontecendo ou pode
vir a acontecer. Alguns exemplos de controles detectivos so monitoramento de
sistemas, antivrus, IDS, entre outros.
Controles corretivos mitigam ou impedem que um ataque cause maiores
danos no ambiente ou recurso. Exemplos de controles corretivos incluem a
mitigao de vulnerabilidades, antivrus e backup restore.
Neste captulo so confrontados os principais geradores de incidentes de
segurana da informao no Brasil (de acordo com os dados anteriormente
apresentados, disponibilizados pelo Cert.BR e Daryus) com ferramentas adequadas
para combat-los levando em considerao as categorias de controle acima citadas.
3.1 Fraudes
De acordo com a pesquisa Daryus, podemos desmembrar os tipos de
incidentes no Brasil relacionados a fraude em quatro grandes categorias a saber:
vazamento de informao, mau uso, perda de informao e engenharia social,
sendo que cada categoria deve ser abordada de uma maneira especfica.
32
2 https://www.uninett.no/webfm_send/730.
33
34
destes
acessos
(recertificao).
Podemos
citar
como
uma
35
Figura Nossa.
fundamental neste caso que haja uma interao entre business e IT, uma
vez que so os funcionrios de business as pessoas que de fato utilizam os sistema
e shares e sabem quais so suas regras de negcio, tornando-se os mais
capacitados para identificarem confltos de interesse entre diferentes roles de cada
sistema ou acessos a shares.
Outro processo amplamente utilizado o de recertificao de acessos em
sistemas e shares de rede. Este processo, detectivo, consiste na extrao das
relaes de usurios com acessos a sistemas (suas roles dentro de cadas sistema)
e a shares de rede, seguida por uma validao destes acessos realizada por
pessoas responsveis por cada role ou share, identificadas como owners.
O processo de recertificao pode ser, genericamente, definido conforme o
fluxo a seguir:
Figura 7. Processo de recertificao de acessos
36
Figura nossa.
Novamente, fundamental a interao entre business e it. De acordo com a
pesquisa Daryus, em ambos os casos esta interao, infelizmente, no ocorre com
tanta frequncia (presidncia e alta direo so reas atuantes em segurana da
informo em apenas 11% das empresas).
37
38
aplicvel);
f) Poltica para a excluso dos dados atravs de comando remoto
(quando aplicvel).
De acordo com a revista SC Magazine4, as melhores solues de segurana
mvel em 2015 so:
Blade;
General Dynamics Fidelis Cybersecurity Solutions for Fidelis XPS;
McAfee for Data Loss Prevention (DLP);
Varonis Systems for Varonis IDU Classification Framework;
Websense Triton AP-Data + AP-Endpoint.
39
acima percam sua eficincia para outras ferramentas ao longo dos anos, de maneira
que o ideal sempre optar pela tecnologia mais atual.
3.1.4 Engenharia Social
Segundo o livro entitulado a Arte de Enganar de Mitnick (2002),
a engenharia social utiliza influncia e persuaso para enganar as
pessoas, por convenc-las de que o engenheiro social algum que
ele no , ou pela manipulao. (...) Uma empresa pode ter adquirido
as melhores tecnologias de segurana que o dinheiro pode comprar,
pode ter treinado seu pessoal to bem que eles trancam todos os
segredos antes de ir embora e pode ter contratado guardas para o
prdio na melhor empresa de segurana que existe. Mesmo assim
essa empresa ainda estar vulnervel. Os indivduos podem seguir
cada uma das melhores prticas de segurana recomendadas pelos
especialistas, podem instalar cada produto de segurana
recomendado e vigiar muito bem a configurao adequada do
sistema e a aplicao das correes de segurana. Esses indivduos
ainda estaro completamente vulnerveis.
40
41
5 The antivirus software realtime scanner monitors network data as it is coming into
42
43
Renan Hamann, autor do artigo O que um antivrus precisa ter para ser
eficiente? lista as seguintes caractersticas como essenciais para um programa
antivrus:
Identificao de vrios malwares: Existe uma gama enorme de softwares
especializados em cada um dos tipos diferentes de malwares e que procuram apenas
trojans, s spywares ou keyloggers. Hoje, um bom antivrus no deve ser limitado a apenas
um desses tipos de arquivos maliciosos, mas deve buscar e exterminar qualquer tipo de
vrus.
Proteo em tempo real: Por muito tempo, os antivrus faziam buscas por
problemas no disco rgido apenas quando o usurio ordenava que a ao fosse realizada.
Isso coisa do passado, pois com os computadores online o tempo todo, antivrus que no
possuem proteo em tempo real (verificao constante de todos os dados trocados entre
mquina e servidores) devem ficar longe dos computadores.
Opes de varredura: Nem sempre o usurio dispe de tempo para fazer uma
verificao completa em todo o disco rgido. Ou ento s vezes necessrio que sejam
escolhidos apenas alguns arquivos ou pastas. Antivrus devem poder ser configurados para
que realizem varreduras rpidas ou profundas, disponibilizando tambm opes de locais
para escaneamento.
44
Neil J. Rubenking, um dos autores da pesquisa The best free antivirus for
2015 para o conceituado site de tecnologia PCMag compara as seguintes
funcionalidades de programas antivirus:
Varredura em acesso;
Varredura em demanda;
Agendamento de varreduras;
45
46
traffic. Its just a matter of capacity. O tipo de ataque DoS mais simples de se lidar
um ataque de rede com inundaes de requisies, e a maneira mais simples de se
lidar com ele apenas absorver o trfego. uma questo de capacidade.
Rubens (2013) lista alguns itens para proteo contra ataques DoS:
Estabelea taxa limite no roteador para impedir que o servidor web fique
sobrecarregado;
47
3.4 Invases
Responsveis por 28,55% dos incidentes reportados ao Cert.BR no ano de
2014 e 19% dos incidentes nas empresas entrevistadas pela Daryus, as invases
so um grande fator de preocupao para empresas por normalmente serem
seguidas de vazamento de informaes, alm de serem a representao de que
seus dispositivos de segurana podem no estar funcionando conforme o esperado.
As consequncias de uma invaso podem ser catastrficas para uma
companhia, tendo em vista que informaes sigilosas normalmente as so por
fornecerem empresa vantagem sobre seus competidores ou informaes
sensitivas tanto de pessoas jurdicas quanto fsicas. As invases podem ser
iniciadas por diversos motivos.
Um atacante pode tentar invadir um sistema para afirmar a si mesmo de que
capaz, pode ter sido pago por um concorrente para roubar informaes sigilosas
ou macular a imagem de uma empresa. H tambm o hacktivismo, que a
propagao de idias polticas por intermdio de invaso ou comprometimento de
sistemas.
Lisa Long, em seu artigo para o SANS Institute Profiling hackers diz que
existem 3 tipos de hackers: white hat (chapu branco), black hat (chapu preto), e
gray hat (chapu cinza). Long (2012) diz que a principal diferena entre um white hat
e um black hat a permisso.
Embora as tcnicas e ferramentas utilizadas sejam similares, white hats, por
serem profissionais de segurana da informao especializados, possuem
permisso expresa para invadir uma rede ou um sistema, enquanto os black hats
no. Os gray hats, tambm conhecidos como ethical hackers (hackers ticos) so
um misto de white hats e black hats. Seu objetivo ajudar organizaes a tomarem
medidas preventivas contra ataques maliciosos atancando seus sistemas, de modo
a fazerem isso dentro dos limites legais. (Long, 2012)
3.4.1 Port Scan
Ataques de port scan, presente nos incidentes reportados ao Cert.BR e na
pesquisa realizada pela Daryus, uma varredura que envia requisies de cliente
para um nmero de portas de servio em um dispositivo com o intuito de encontrar
48
um
desconhecido
(Beyond
Security
em
http://www.beyondsecurity.com/security_scanner.html)
Como medida de segurana contra ataques que almejam explorar
vulnerabilidades,
(http://us.norton.com/security_response/vulnerabilities.jsp )
Symantec
recomenda
as
seguintes aes:
49
utilizao
da
ferramenta
PSI
previamente aprovado;
Finalidade especfica e autorizada de permisso de acesso a visitantes;
Acesso restrito a reas em que so armazenadas ou processadas informaes;
Controles de autenticao como PIN (Personal Identification Number);
Identificao visvel de todos os funcionrios, fornecedores, terceiros e visitantes
Revalidao peridica da necessidade de acesso a reas seguras;
50
Referring URLs that contain the username and password in the format
http://user:password@www.example.com/login.htm
(https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks)
Controles de preveno a ataques de fora bruta incluem:
preveno
de
ataques
automatizados.
Embora o bloqueio de contas aps determinado nmero de tentativas de
acesso seja o meio mais comum de prevenir um ataque de brute force, existem
ressalvas com relao a esta prtica:
51
hora;
utilizam uma nica senha para uma lista de usurios;
52
53
CONSIDERAES FINAIS
Este trabalho foi realizado com o objetivo de definir quais caractersticas uma
ferramente deve ter para combater as principais ameaas segurana da
informao no Brasil levando-se em considerao os dados fornecidos pelo Cert.BR
e pesquisa recente realizada pela empresa de consultoria em segurana da
informao Daryus. Foi realizada extensa pesquisa bibliogrfica, podendo-se
constatar que um dos principais fatores que contribuem para a gerao de
incidentes de segurana da informao a ignorncia sobre o assunto,
especialmente por parte das pequenas e medias empresas.
No decorrer do desenvolvimento pde-se constatar que, de fato, poucas so
as empresas no Brasil que possuem controles de segurana da informao.
Tambm foi verificado que segurana da informao vista, ainda, como uma rea
primariamente tecnolgica, devendo ser gerenciada por equipes de TI.
Procurou-se abordar a importncia das caractersticas necessrias s
ferramentas de segurana da informao devido ao fato de serem universais,
inerentes a ambas solues high end e de baixo custo, tendo em mente o poder
econmico que difere de empresa para empresa.
Para o futuro, buscamos facilitar a implementao, tendo como modelo a
norma ISO 27001, de recursos necessrios para o estabelecimento, implementao,
manuteno e melhoria continua da segurana da informao.
54
55
REFERNCIAS
Associao Brasileira de Normas Tcnicas. - ABNT. NBR ISO/IEC 27001:
Tecnologia da informao - Tcnicas de segurana - Sistemas de gesto de
segurana da informao - Requisitos. Rio de Janeiro, 2006.
Associao Brasileira de Normas Tcnicas. ABNT. NBR ISO/IEC 27002:
Tecnologia da Informao Tcnicas de Segurana Cdigo de prtica para a
gesto da segurana da informao. Rio de Janeiro, 2005.
http://weis2012.econinfosec.org/papers/Brecht_WEIS2012.pdf
https://www4.symantec.com/mktginfo/whitepaper/053013_GL_NA_WP_Pone
mon-2013-Cost-of-a-Data-Breach-Report_daiNA_cta72382.pdf
Mitnick, Kevin ; The Art of Deception; October 4, 2002, editora John Wiley &
Sons
http://www.vivaolinux.com.br/artigo/Entendendo-o-que-e-Engenharia-Social
(Guilherme Junior)
http://cartilha.cert.br/malware/
http://cartilha.cert.br/ataques/
http://www.senado.gov.br/ordemdodia/arquivos/avulso/2012/PLC201200035_0
1.pdf - Lei Carolina Dieckmann
http://www.theguardian.com/commentisfree/2013/jul/07/nsa-brazilians-globospying
http://www.portaleducacao.com.br/educacao/artigos/48819/ameacas-evulnerabilidades-da-informacao-como-precaver
http://www.spi.dod.mil/tenets.htm
ISO 27002
http://www.scribd.com/doc/51112696/NBR-ISO-27002-para-impressao
PESQUISA DARYUS
http://www.daryus.com.br/view/pdf/DARYUS_Pesquisa_ISM.pdf
http://www.esecurityplanet.com/network-security/how-to-prevent-dosattacks.html
http://www.nsfocus.com/ddos_faq/03-Common_DDoS_CountermeasuresEN.html
http://www.techtudo.com.br/artigos/noticia/2011/07/guia-de-seguranca-digitalsaiba-como-se-proteger-dos-hackers.html
56
https://docs.google.com/viewer?
a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxyY29yY3N8Z3g6M2Q3ZTNhOTc5N
ThmMjFkZQ
http://www.sans.edu/research/security-laboratory/article/security-controls
Northcutt (2009)
->
http://www.esecurityplanet.com/network-security/5-tips-for-fighting-ddosattacks.html
DOS:
http://www.esecurityplanet.com/network-security/how-to-prevent-dosattacks.html
http://www.nsfocus.com/ddos_faq/03-Common_DDoS_CountermeasuresEN.html
http://www.techtudo.com.br/artigos/noticia/2011/07/guia-de-seguranca-digitalsaiba-como-se-proteger-dos-hackers.html
https://docs.google.com/viewer?
a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxyY29yY3N8Z3g6M2Q3ZTNhOTc5N
ThmMjFkZQ
http://www.sans.edu/research/security-laboratory/article/security-controls
(Northcutt, 2009)
->
(William
57