1. Domínio 4 Segurança de Aplicação, dados e computadores
1.1. Controle de segurança de aplicações
1.1.1. Técnica de Fuzzing
1.1.1.1. Testa erros de aplicação
1.1.1.1.1. Envia entradas randômicas aos campos em busca de falhas (por exemplo)
1.1.2. Validação de entrada
1.1.2.1. Insere entradas em alguns pontos da aplicação para analisar comportamernto
1.1.3. Manipulação de erro
1.1.3.1. Melhor prática seria mostrar mensagens o mais genéricas possíveis
1.1.4. Prevenção de XSS
1.1.4.1. Teoricamente desabilitar a execução dos mesmos
1.1.4.1.1. Problema pois muitos sites legítimos usam scripts
1.1.4.2. XSFR
1.1.4.2.1. Evolução do XSS
1.1.5. Baseline de segurança
1.1.6. Gerenciamento de pacthes
1.1.6.1. Exemplos
1.1.6.1.1. Windows update
1.1.6.1.2. WSUS
1.1.7. Validação servidor X cliente
1.1.7.1. Lado servidor
1.1.7.1.1. Validação de comandos sql por exemplo
1.1.7.2. Lado cliente
1.1.7.2.1. Validação de comandos sql antes que saiam da máquina cliente
1.2. Segurança de dispositivos móveis
1.2.1. Criptografia de dispositivo
1.2.1.1. Uso de sistemas como MDM
1.2.1.2. Proteçaõ de celular por PIN, caso exceda o numero de tentativas o conteudo é deletado
1.2.2. Limpeza remota (remote wipe)
1.2.2.1. Atras de ferramenta de gerência (MDM)
1.2.2.2. Através de Exchange active sync (EAS)
1.2.3. Bloqueio de tela por senha
1.2.4. Uso do GPS
1.2.4.1. Favorece o rastreio
1.2.5. Criptografia de voz
1.2.6. Controle de aplicações
1.2.6.1. Instala somente o que é necessário
1.2.7. Segmentação de armazenamento
1.2.7.1. Área para arquivos pessoais
1.2.7.2. Área para arquivos corporativos (e criptografados)
1.2.8. Gerenciamento do dispositivo móvel
1.2.8.1. MDM
1.2.9. Controle de acesso aos dispositivos
1.2.9.1. Através de PIN
1.2.9.2. Através de integração com AD
1.2.10. Restrição via MDM de uso de cartões de expansão
1.2.11. Desabilitar funcionalidades sem uso
1.2.12. Gerenciamento de criptografia e chaves
1.2.12.1. Através de mdm
1.2.13. Controle de aplicações através de MDM
1.2.14. Política de BYOD
1.2.14.1. Precisa estar bem alinhado
1.2.14.1.1. Infere no uso dos celulares pessoais
1.2.14.2. Traz problemas nas questões referentes ao quem seria o "dono" do dado
1.2.14.3. Questões referentes ao controle das aplicações
1.2.14.4. Questoes referentes a necessidade de uma análise forense em caso de incidente
1.3. Segurança de hosts
1.3.1. Gerenciamento de atualizações
1.3.2. Antivirus
1.3.3. Anti-spam
1.3.4. Anti-spyware
1.3.5. Bloqueador de pop-ups
1.3.6. Permitir x bloquear aplicações
1.3.6.1. Whitelisting
1.3.6.1.1. Apps aprovadas
1.3.6.2. Blacklisting
1.3.6.2.1. Apps reprovadas
1.3.7. Firewalls no nível de host
1.3.8. Detecção de intrusos para hosts
1.3.8.1. HIDS
1.3.8.2. HIPS
1.3.9. Segurança de hardware
1.3.9.1. Cabos de segurança
1.3.9.2. Uso de cofres
1.3.9.3. Gabinetes de bloqueio
1.3.10. Baseline de hosts
1.3.11. Virtualização
1.3.11.1. Snapshots
1.3.11.2. Elasticidade do host
1.3.11.2.1. scvmm
1.3.11.3. Facilita testes de controle e segurança
1.4. Controle para segurança de dados
1.4.1. Armazenamento na nuvem
1.4.1.1. Criptografia
1.4.1.2. IDS/IPS
1.4.1.3. Firewalls
1.4.2. SAN
1.4.2.1. Criptografia
1.4.2.2. Forte barreira de acesso (seg. física)
1.4.3. Big Data
1.4.3.1. Auditoria
1.4.3.2. Revisão de acesso
1.4.3.3. Ferramentas de DLP
1.4.4. Criptografia
1.4.4.1. Disco
1.4.4.1.1. Bitlocker
1.4.4.2. Banco de dados
1.4.4.2.1. Criptografia do arquivo de banco é inviável
1.4.4.2.2. Criptografia já é embutida baseada em DBMS
1.4.5. Criptografia de arquivos individuais
1.4.5.1. EFS
1.4.5.1.1. Pode e deve ser usada em conjutno com bitlocker
1.4.6. Mídias removíveis
1.4.6.1. Controle de USB
1.4.6.1.1. USB com criptografia embutida
1.4.7. Criptografia baseada em hardware
1.4.7.1. Chip TPM
1.4.7.1.1. O processo de criptografia é realizado por um processador exclusivo
1.4.8. HSM
1.4.8.1. Salvaguarda de chaves
1.4.9. Estado dos dados
1.4.9.1. Dados em trânsito (rede)
1.4.9.1.1. TLS
1.4.9.1.2. IPSec
1.4.9.2. Dados em repouso
1.4.9.2.1. Criptografia
1.4.9.3. Dados em uso
1.4.9.3.1. Praticamente impossível proteger
1.4.10. Permissões/ACLs
1.4.10.1. Protege arquivos de computadores
1.4.10.2. Protege recursos de rede
1.4.11. Políticas de dados
1.4.11.1. Limpeza
1.4.11.1.1. Delete não apaga totalmente
1.4.11.1.2. chiper.exe limpa totalmente
1.4.11.2. Eliminação
1.4.11.2.1. Quando a empresa não irá mais precisar do dado
1.4.11.3. Retenção
1.4.11.3.1. Baseado em políticas locais
1.5. Mitigação de riscos de segurança
1.5.1. Sistemas incorporados
1.5.1.1. SCADA
1.5.1.2. HVAC
1.5.1.3. IMPRESSORAS
1.5.1.4. SISTEMAS COMPUTACIONAIS AUTOMOTIVOS
1.5.2. Sistemas Operacionais estáticos
1.5.2.1. IOS por exemplo
1.5.3. Mitigando riscos em ambientes estáticos
1.5.3.1. Segurança por camada
1.5.3.2. Diversidade nos controles de segurança
1.5.3.3. Evitar pontos únicos de falha
1.5.3.4. Implementação de DMZs
1.5.3.4.1. Segmentação lógica
1.5.3.4.2. Segmentação física
2. Domínio 5 Controle de Acesso e Gerenciamento de Identidade
2.1. Serviços de autenticação
2.1.1. Radius
2.1.1.1. Serviço de autenticação remoto
2.1.1.1.1. Portas
2.1.2. Tacacs
2.1.2.1. Predecessor ao Radius
2.1.2.1.1. Criado para autenticação em linhas dial up
2.1.2.1.2. TACACS+ (Ultima versão)
2.1.3. Kerberos
2.1.3.1. Protocolo de autenticação
2.1.3.1.1. Voltado a aplicações cliente/servidor
2.1.3.1.2. Não exige nova inserção de credenciais
2.1.3.1.3. 3 Componentes
2.1.4. SAML
2.1.4.1. Baseado em xml
2.1.4.1.1. Permite federação
2.1.5. LDAP e LDAP Seguro
2.1.5.1. Protocolo
2.1.5.1.1. Leitura e escrita de diretórios
2.1.5.2. utiliza porta 389 tcp ou udp
2.1.5.3. Muito usado em ambientes MS
2.1.5.4. Formato X.500
2.1.5.5. Pode ser criptografado com a implementação de certificado digital no servidor LDAP
2.1.5.5.1. Torna-se LDAPS ou LDAP Seguro
2.2. Autenticação, Autorização e Controle de acesso
2.2.1. Pilares do controle de acesso
2.2.1.1. Identificação
2.2.1.1.1. Associar o usuário a uma entidade que possui acesso a algo
2.2.1.2. Autenticação
2.2.1.2.1. Identificação + Credenciais de usuário e senha
2.2.1.3. Autorização
2.2.1.3.1. Envolve políticas de definição de acesso
2.2.2. Negação implícita
2.2.2.1. Exemplo regra default firewall
2.2.3. Restrição de tempo
2.2.3.1. Defini os horários que um usuário pode fazer logon
2.2.4. Autenticação de fator simples
2.2.4.1. Algo que você é
2.2.4.1.1. Biometria
2.2.4.2. Algo que você tem
2.2.4.2.1. Token
2.2.4.3. Algo que você sabe
2.2.4.3.1. Senha
2.2.5. Autenticação de fatores múltiplos
2.2.5.1. Quando combinado pelo menos dois fatores acima
2.2.6. Onde você está
2.2.6.1. Novo tipo de autenticação baseado em sua localização
2.2.7. Algo que você faz
2.2.7.1. Análise de assinatura
2.2.8. Algoritmos de senha One time
2.2.8.1. TOTP
2.2.8.1.1. Baseado em tempo
2.2.8.2. HOTP
2.2.8.2.1. Baseado em hash
2.2.9. Outros protocolos
2.2.9.1. PAP
2.2.9.1.1. Conexões PPP
2.2.9.2. CHAP
2.2.9.2.1. Evolução do PAP
2.2.10. SSO
2.2.10.1. Single sign on
2.2.10.1.1. Acesso a diversos recursos com logon único
2.2.10.2. Trabalho com o Kerberos (muito comum)
2.2.10.3. Trabalha com nuvem em processos de integração
2.2.11. Federação
2.2.11.1. Integra confiabilidade entre outras fontes de autenticação
2.3. Boas práticas do gerenciamento de contas
2.3.1. Politicas de menor privilegio
2.3.2. Separação de tarefas
2.3.3. Rotação no trabalho
2.3.4. Definição de grupos baseado em função
2.3.5. Contas compartilhadas
2.3.5.1. Evitar ao máximo
2.3.6. Proteção de credenciais
2.3.7. Diretivas de grupo
2.3.7.1. Pode-se criar milhares de regras de segurança no domínio
2.3.8. Gerenciamento de políticas de senha
2.3.9. Política de bloqueio de contas
2.3.10. Restrição de contas
2.3.10.1. Horário de logon
2.3.11. Uso da conta padrão
2.3.11.1. GPO para renomear a conta de ADM
2.3.11.2. Monitoramento e revisão de acesso
3. Domínio 6 Criptografia
3.1. Conceitos de criptografia
3.1.1. Algoritmos de criptografia assimétrica
3.1.1.1. RSA
3.1.1.1.1. Realiza cifragem e produz hashes
3.1.1.1.2. Utilizado por diversas aplicações
3.1.1.1.3. utilizados em sistemas PKI
3.1.1.2. Diffie-Hellman
3.1.1.2.1. Trabalha com VPN IPSec
3.1.1.3. El Gamal
3.1.1.3.1. Transmite assinaturas digitais
3.1.1.3.2. Composto por tres componentes
3.1.1.4. One time pad
3.1.1.4.1. Não envolve processo matemático complexo
3.1.1.4.2. Regras:
3.1.1.5. NTLM
3.1.1.5.1. Hash de senhas é armazenado neste formato
3.1.1.5.2. Utilizados em ambientes que não possuem AD ou quando o acesso é por IP pois o Kerberos necessita de resolução DNS
3.1.2. WEP
3.1.2.1. Pouco seguro
3.1.2.1.1. Fácil quebra
3.1.3. WPA
3.1.3.1. Algoritmo RC4
3.1.3.2. Autenticação TKIP
3.1.3.2.1. Cada pacote tem uma nova chave criptográfica
3.1.3.3. Evoluiu para o WPA2
3.1.3.3.1. De RCA passou a usar AES
3.1.3.3.2. De TKIP passou a usar CCMP
3.1.3.4. WPA2 Personal
3.1.3.4.1. Permite a especificação de uma senha
3.1.3.5. WPA2 Enterprise
3.1.3.5.1. Trabalha em conjunto com serviços de autenticação (RADIUS)
3.1.4. Algoritmos de criptografia simétrica
3.1.4.1. 3DES
3.1.4.1.1. DES 3 VEZES
3.1.4.2. AES
3.1.4.2.1. Sucessor do DES
3.1.4.3. RC
3.1.4.3.1. Criado pelo LAB da RSA
3.1.4.4. Blowfish e Twofish
3.1.4.4.1. Chegam a 64 e 128 bits
3.1.4.5. IDEA
3.1.4.5.1. 128bit
3.1.4.6. DES
3.1.4.6.1. Algoritmo forte
3.1.5. Algoritmos de hash
3.1.5.1. MD5
3.1.5.1.1. 128bit
3.1.5.2. SHA
3.1.5.2.1. 160bit
3.1.5.2.2. SHA2
3.1.5.3. RIPEMD
3.1.5.3.1. Chega a 320bit
3.1.5.4. HMAC
3.1.5.4.1. Garante integridade e autenticação do remetente
3.2. Utilizando métodos de criptografia
3.2.1. Algoritmos de criptografia de transporte
3.2.1.1. SSL
3.2.1.1.1. Utilizado para acesso web seguro
3.2.1.1.2. Evoluiu para o TLS
3.2.1.2. SSH
3.2.1.2.1. Porta TCP 22
3.2.1.3. IPSec
3.2.1.3.1. Atua na camada de rede
3.3. Gerenciamento de Certificados digitais
3.3.1. Formato mais popular = X.509 versão 3
3.3.1.1. Contem diversos campos:
3.3.1.1.1. Versao
3.3.1.1.2. Numero serial
3.3.1.1.3. Algoritmo de assinatura
3.3.1.1.4. Emissor
3.3.1.1.5. Data de validade
3.3.1.1.6. Nome
3.3.1.1.7. Chave pública
3.3.1.1.8. Extensão
3.3.2. Politicas de certificados
3.3.2.1. Certificado de e-mail é diferente de um certificado para web
3.3.3. Infra de chave publica - PKI
3.3.3.1. Autoridade certificadora
3.3.3.1.1. Recebe requisições
3.3.3.1.2. Emite certificados
3.3.3.2. Autoridade registradora
3.3.3.2.1. Retira a carga da CA e age no meio campo da comunicação cliente/servidor
3.3.3.3. Certificado digital
3.3.3.4. Lista de certificados revogados
4. ideia nova
4.1. 1
4.1.1. 1a
4.1.2. 1b
4.2. 2
4.3. 3
5. Domínio 1 Segurança de Rede
5.1. Dispositivos de rede
5.1.1. Firewall
5.1.1.1. New Topic
5.1.1.2. 1°Geração
5.1.1.2.1. Protocolo e Porta
5.1.1.3. 2°Geração
5.1.1.3.1. Nível de Aplicação + 1°Geração
5.1.1.4. 3°Geraçao
5.1.1.4.1. Inspeção de estado +1° e 2° geração
5.1.2. Switches
5.1.2.1. Camada 2 OSI
5.1.2.2. Armazena o MAC
5.1.2.3. Gerencia tráfego
5.1.2.4. Cuidado importante
5.1.2.4.1. Bloqueio de porta inativa
5.1.3. Roteadores
5.1.3.1. Nível 3 OSI
5.1.3.2. Encaminha pacotes
5.1.3.3. Cuidado importante
5.1.3.3.1. Atualização
5.1.3.3.2. Hardening
5.1.3.3.3. Auditoria
5.1.4. Balanceadores de Carga
5.1.4.1. Balanceia o trafego entre Farm de Web Serves por exemplo
5.1.5. Proxy
5.1.5.1. Intermediário entre rede interna/externa
5.1.5.2. Cache de páginas
5.1.5.3. Mascara endereço local (Nat)
5.1.6. Concentradores VPN
5.1.6.1. Gerencia trafego VPN
5.1.6.2. Criptografa/Descriptografa tráfego
5.1.6.3. Protocolos PPTP e L2TP
5.1.7. IDS
5.1.7.1. Intrusion Detectin System
5.1.7.1.1. Baseado em redes - NIDS
5.1.7.1.2. Baseado em host - HIDS
5.1.7.1.3. Trabalha
5.1.7.1.4. Gera
5.1.8. IPS
5.1.8.1. Intrusion Prevention System
5.1.8.1.1. Baseado em redes - NIPS
5.1.8.1.2. Baseado em host - HIPS
5.1.8.1.3. Ativo - toma ação
5.1.9. Honeypot
5.1.9.1. Enticement
5.1.9.1.1. Sedução de uso
5.1.9.2. Entrapment
5.1.9.2.1. Induz ao crime
5.1.10. Analisador de Protocolo
5.1.10.1. Sniffer
5.1.10.1.1. Wireshark
5.1.11. Antispam
5.1.12. UTM
5.1.12.1. Conjunto de tecnologias trabalhando juntas
5.1.12.1.1. Filtro de URL
5.1.12.1.2. Inspeção de Malware
5.1.12.1.3. Filtro de conteúdo
5.2. Princípios de Administração de Rede
5.2.1. Gerenciamento de Acesso
5.2.1.1. MAC
5.2.1.1.1. Mandatory Access Control
5.2.1.2. DAC
5.2.1.2.1. Discretionary Access Control
5.2.1.3. Controle baseado em cargo
5.2.1.3.1. RBAC
5.2.1.4. Controle baseado em regras
5.2.1.4.1. RBAC
5.2.1.5. Controle Lógico
5.2.1.5.1. ACLs
5.2.2. Gerenciamento de Vlans
5.2.2.1. Estatico
5.2.2.1.1. Baseadas em portas
5.2.2.2. Dinâmico
5.2.2.2.1. Baseada em fatores
5.2.3. Gerenciamento Regras de Firewall
5.2.3.1. Condições
5.2.3.1.1. Origem do pacote
5.2.3.1.2. Destinatario
5.2.3.1.3. Quem originou
5.2.3.1.4. Procolo/porta origem
5.2.3.1.5. Protocolo/porta destino
5.2.3.2. Top down
5.2.3.3. Negação implícita
5.2.4. Roteadores
5.2.4.1. Cuidados
5.2.4.1.1. Autenticação
5.2.4.1.2. Backup
5.2.4.1.3. Auditoria
5.2.4.1.4. Rede
5.2.4.1.5. Criptografia
5.2.5. Padrão IEEE 802.1X
5.2.5.1. Autenticação
5.2.5.2. Protocolo EAP
5.2.5.3. Conhecido como NAC - Network Access Control
5.2.5.4. Elementos
5.2.5.4.1. Cliente
5.2.5.4.2. Servidor autenticação
5.2.5.4.3. Switch
5.2.6. Outras formas de proteção
5.2.6.1. Flood guard
5.2.6.2. Loop protection
5.2.6.2.1. Protocolo STP - Spanning tree protocol
5.2.6.3. Implicity deny
5.3. Protocolos e Serviços de Rede
5.3.1. IPV4
5.3.1.1. Basic informations
5.3.2. IPV6
5.3.2.1. Categorizações
5.3.2.1.1. Global unicast
5.3.2.1.2. Link-local
5.3.2.1.3. Site-local
5.3.3. DNS
5.3.3.1. Resolução de nome
5.3.3.1.1. Porta 53 UDP
5.3.3.2. Transferência de zona
5.3.3.2.1. Porta 53 TCP
5.3.4. Telnet
5.3.4.1. Porta 23 TCP
5.3.5. SSH
5.3.5.1. Acesso criptografado
5.3.5.1.1. Porta 22
5.3.6. SNMP
5.3.6.1. Gerenciamento de hosts
5.3.6.1.1. Agente
5.3.6.1.2. Traps
5.3.7. IPSEC
5.3.7.1. Duas formas de implementação
5.3.7.1.1. Tunneling mode
5.3.7.1.2. Transport mode
5.3.7.2. Protocolos
5.3.7.2.1. Encapsulamento -ESP
5.3.7.2.2. Associação segura
5.3.8. ICMP
5.3.8.1. Basic information
5.3.9. TFTP
5.3.9.1. Inseguro
5.3.9.1.1. UDP porta 69
5.3.10. FTP
5.3.10.1. Inseguro
5.3.10.1.1. TCP porta 21
5.3.11. HTTP
5.3.11.1. Transferência de páginas web
5.3.11.1.1. 80 tcp
5.3.12. HTTPS
5.3.12.1. HTTP+SSL/TLS
5.3.12.1.1. Criptografia
5.3.13. SMTP
5.3.13.1. 25 tcp
5.3.13.1.1. Não seguro
5.3.14. SMTPS
5.3.14.1. 465 tcp
5.3.14.1.1. mais seguro que o nanterior
5.3.15. Infra SAN
5.3.15.1. Nas
5.3.15.2. San
5.3.15.2.1. Ataques
5.4. Redes sem Fio
5.4.1. Segurança
5.4.1.1. WEP
5.4.1.1.1. padrão fraco, quebrado em cinco minutos
5.4.1.2. WPA
5.4.1.2.1. Algoritmo de cifragem TKIP
5.4.1.3. WPA2
5.4.1.3.1. Algoritmo de cifragem CCMP
5.4.2. Diferentes formas de autenticação
5.4.2.1. Personal
5.4.2.1.1. Via senha simples
5.4.2.2. Enterprise
5.4.2.2.1. Usando RADIUS
5.4.3. Protocolos de autenticação
5.4.3.1. WEP
5.4.3.1.1. Autenticação aberta
5.4.3.1.2. Autenticação com chave compartilhada
5.4.3.2. EAP
5.4.3.2.1. O mais utilizado
5.4.3.3. PEAP
5.4.3.3.1. EAP-MSCHAP
5.4.3.4. WPA e WPA2
5.4.3.4.1. Padrão 802.1x
5.4.4. Segurança
5.4.4.1. SSID oculto
5.4.4.2. Captive portal
5.4.5. Ataques
5.4.5.1. Wardriving
5.4.5.1.1. rastreamento de redes
5.4.5.2. Bluejacking
5.4.5.2.1. interceptação bluetooth
5.4.5.3. Bluesnarfing
5.4.5.3.1. acesso a contatos, mensagens e etc
5.4.5.4. Rogue access points
5.4.5.4.1. facilita man in the middle
6. Domínio 2 Conformidade e Operações de Segurança
6.1. Conceitos de Riscos
6.1.1. Tipos de Controle
6.1.1.1. De Gerenciamento
6.1.1.1.1. Controles endereçados pelos gerentes
6.1.1.2. Operacional
6.1.1.2.1. Controles executados pelos funcionarios
6.1.1.3. Tecnicos
6.1.1.3.1. Controles executados pelos sistemas
6.1.2. Documentos
6.1.2.1. Padrões da empresa
6.1.2.1.1. Regras comuns - Uso do crachá por exemplo
6.1.2.2. Diretrizes
6.1.2.2.1. Documento com recomendações - Melhores práticas - não obrigatórias
6.1.2.3. Procedimentos
6.1.2.3.1. Detalha o passo a passo de uma tarefa
6.1.3. Políticas
6.1.3.1. Para redução de risco
6.1.3.1.1. AUP - Acceptable Use Policy
6.1.3.2. De menor privilégio
6.1.3.2.1. "seguro como padrão"
6.1.3.3. Separação de tarefas
6.1.3.3.1. Tarefas que se intercalam são executadas por pessoas diferentes
6.1.3.4. Rotação no trabalho
6.1.3.4.1. Força o compartilhamento do conhecimento
6.1.3.5. Férias obrigatorias
6.1.3.5.1. Detecção de fraudes
6.1.3.6. Privacidade
6.1.3.6.1. Proteção dos dados clientes e funcionários
6.1.4. Calculo Redução de Risco
6.1.4.1. Funções criticas do negocio
6.1.4.1.1. "que áreas da empresa preciso ter funcionando?"
6.1.4.2. Priorização pós evento
6.1.4.2.1. "quais áreas priorizar"
6.1.4.3. Tempo aceitável
6.1.4.3.1. Qual o tempo máximo de downtime (MTD)
6.1.4.4. Tangível/Intangível
6.1.4.4.1. nem tudo é algo material
6.1.5. Análise de riscos
6.1.5.1. Pode gerar dois resultados
6.1.5.1.1. Transferência do risco
6.1.5.1.2. Aceitação do Risco
6.1.6. Mensurar o Risco
6.1.6.1. ARO - Annualized Rate of Ocurrence
6.1.6.1.1. Taxa de ocorrência anual
6.1.6.2. SLE - Single Loss Expectancy
6.1.6.2.1. Perda Única Esperada
6.1.7. Risco Residual
6.1.7.1. O valor que ainda será perdido mesmo colocando em um seguro
6.1.8. Vulnerabilidades
6.1.8.1. Scan de portas
6.1.8.2. Scan de vulnerabilidades
6.1.8.3. Analisador de protocolos
6.1.8.4. Quebra de senha
6.1.8.5. Mapeamento de rede
6.1.9. Riscos Virtualização
6.1.9.1. Gerenciamento
6.1.9.1.1. Centralizar
6.1.9.2. Armazenamento
6.1.9.2.1. Segurança no ponto central (Disco)
6.1.9.3. Autenticação/Autorização
6.1.9.3.1. Definição rigorosa de acesso
6.1.9.4. VMs Falsas
6.1.9.4.1. Causadas por falhas no item gerenciamento
6.1.9.5. VMs sem atualização
6.1.10. Riscos Computação em Nuvem
6.1.10.1. Controle de Acesso
6.1.10.2. Segurança dos dados
6.1.10.3. Transferência dos dados
6.1.10.4. Privacidade
6.1.10.5. Legislação
6.2. Considerações de Segurança durante integração com terceiros
6.2.1. Lidando com parceiros de negocio
6.2.1.1. Fatores Legais
6.2.1.1.1. Normas a serem seguidas
6.2.1.2. Fatores técnicos
6.2.1.2.1. Controle de acesso, permissões e etc
6.2.2. Riscos das redes Sociais
6.2.2.1. Compartilhamento de Credenciais
6.2.2.2. Exposição vida social
6.2.2.3. Golpes
6.2.3. Interoperabilidade e Acordos
6.2.3.1. SLA
6.2.3.1.1. O que será fornecido
6.2.3.1.2. Qual o custo
6.2.3.1.3. Tempo de resposta
6.2.3.1.4. Qualidade esperada
6.2.3.1.5. Possíveis multas
6.2.3.2. BPA (Acordo de parceiro de negocio)
6.2.3.2.1. Documenta o tipo de parceria
6.2.3.3. MOU (Memorando de entendimento)
6.2.3.3.1. Documento Simples
6.2.3.4. ISA (Acordo de segurança de interconexão)
6.2.3.4.1. Estabelece requisitos
6.2.4. Considerações quanto a privacidade
6.2.4.1. Cuidado com perda de dados
6.2.4.1.1. PII
6.2.5. De quem é o dado?
6.2.5.1. Assegurar controles de segurança
6.2.5.1.1. Logicos
6.2.5.1.2. Físicos
6.2.5.2. Quem mantem a posse do dado no fim
6.2.5.2.1. Declaração MS
6.2.6. Uso não autorizado
6.2.6.1. Uso de dispositivo pessoal para dados da empresa
6.2.6.2. Envio de e-mails confidenciais não criptografados
6.2.6.3. Não deleção de documentos não mais importantes
6.2.7. Consciência quanto ao risco
6.2.7.1. Maior consciência maior sucesso
6.2.8. Backup dos dados
6.2.8.1. Quem tem acesso físico as unidades de fita?
6.2.8.2. Quem tem acesso lógico ao software
6.2.8.3. O operador de backup tem acesso de leitura aos dados?
6.2.8.4. Qual a periodicidade do backup?
6.2.8.5. Onde ele é armazenado?
6.3. Mitigação de Riscos
6.3.1. Gerenciamento de Mudança
6.3.1.1. Garante a disponibilidade
6.3.1.1.1. Pedido
6.3.1.1.2. Avaliação e Aceitação (Ou rejeição)
6.3.1.1.3. Testes
6.3.1.1.4. Aceitação do Plano
6.3.1.1.5. Implementação
6.3.1.1.6. Documentação
6.3.2. Gerenciamento de Incidentes
6.3.2.1. Incidentes de segurança
6.3.2.2. Incidentes de suporte
6.3.3. Direitos do usuário
6.3.3.1. Premissa do menor privilégio
6.3.3.2. Alinhamento entre RH e TI
6.3.3.3. Periodicidade de auditoria
6.3.4. Auditoria
6.3.4.1. Lógica
6.3.4.1.1. Identifica ações indevidas
6.3.4.1.2. Identifica atividades suspeitas
6.3.4.1.3. Identifica uso indevido do sistema
6.3.4.1.4. Identifica brechas no sistema
6.3.4.2. De padrões
6.3.4.2.1. ISO 17799
6.3.4.2.2. ISO 14443-1
6.3.5. Avaliação de logs
6.3.5.1. Proativa
6.3.5.1.1. Análise de "comportamento"
6.3.5.2. Reativa
6.3.5.2.1. Após ocorrência de um problema
6.3.6. Política prevenção de perda ou roubo de dados
6.3.6.1. Através de vazamento
6.3.6.2. Através de danificação
6.3.7. Controle técnico com DLP
6.3.7.1. Composto por
6.3.7.1.1. Analisador de conteúdo
6.3.7.1.2. Gerenciador de políticas
6.3.7.1.3. Capacidade de análise multiplataforma
6.3.7.2. Diferentes técnicas
6.3.7.2.1. Uso de expressoes regulares
6.3.7.2.2. Consulta em banco
6.3.7.2.3. Análise exata do arquivo
6.3.7.2.4. Análise parcial do documento
6.4. Conceitos de Investigação Forense
6.4.1. Roubo de segredos importantes
6.4.1.1. Patentes
6.4.1.2. Propriedades intelectuais
6.4.2. Uso mal intencionado de recursos
6.4.2.1. Investigação normalmente ocorre em sigilo
6.4.3. Brecha explorada por entidade externa
6.4.3.1. Invasão de rede corporativa
6.4.4. Captura de imagens
6.4.4.1. Cópia do HD original através de software específico
6.4.4.2. Baseada na RFC 3227
6.4.5. Ordem de volatilidade
6.4.5.1. Análise do mais para o menos volátil
6.4.5.1.1. Registros e cache
6.4.5.1.2. Tabelas de roteamento, ARP, memória RAM
6.4.5.1.3. Arquivos temporários
6.4.5.1.4. Disco
6.4.5.1.5. Log remoto
6.4.5.1.6. Config. física e topologia
6.4.5.1.7. Fitas de backup
6.4.6. Tráfego de rede
6.4.6.1. Extremamente volátil
6.4.6.1.1. Uso de analisador de pacotes
6.4.7. Captura de vídeo
6.4.7.1. Uso do celular como ferramenta de investigação
6.4.7.2. Análise das câmeras
6.4.7.2.1. Motion detection
6.4.8. Análise linha do tempo
6.4.8.1. Cada sistema utiliza uma marcação diferente
6.4.8.1.1. Windows usa códigos de 64 bit
6.4.8.1.2. Linux usa de 32
6.4.9. Análise de hash
6.4.9.1. checa integridade
6.4.10. Análise de testemunhas
6.4.11. Big Data
6.4.11.1. Uso de ferramentas para coleta de informações relevantes
6.4.12. Contabilização de gastos
6.5. Introdução aos procedimentos de respostas contra incidentes
6.5.1. Preparação
6.5.1.1. Documentação
6.5.1.2. Procedimentos
6.5.1.3. Simulação
6.5.2. Identificação do incidente
6.5.2.1. Questionário aos usuários
6.5.2.2. Ferramentas de identificação (IDS,IPS)
6.5.3. Resposta inicial
6.5.3.1. Procedimentos de primeiro atendimento ao incidente
6.5.4. Isolação do incidente
6.5.4.1. Preservação do dispositivo afetado
6.5.5. Quarentena
6.5.5.1. Forma de isolamento do dispositivo
6.5.6. Remoção do dispositivo
6.5.6.1. Quando o dano é irreversível
6.5.7. Escalação e Notificação
6.5.7.1. Quem deve ser avisado
6.5.7.2. Como deve ser feita a escalação
6.5.8. Mitigação
6.5.8.1. Resolução temporária
6.5.8.1.1. Solução definitiva pode demorar horas ou dias
6.5.9. Lições aprendidas
6.5.9.1. Usado para evitar recorrência
6.5.10. Relatório
6.5.10.1. Auditoria
6.5.10.2. Documentação para uso em casos futuros
6.5.11. Procedimentos de recuperação
6.5.11.1. Backup por exemplo
6.5.12. Brecha de dado
6.5.12.1. Dado acessado
6.5.12.2. Dado corrompido
6.6. Desenho de Elementos e Componentes de Rede
6.6.1. DMZ
6.6.1.1. Física
6.6.1.2. Lógica
6.6.1.3. Controlada por Firewall
6.6.2. Subnet
6.6.2.1. Segmentação lógica
6.6.2.2. Necessita roteador
6.6.2.3. Barreira natural
6.6.2.4. Separação por grupos
6.6.3. NAT
6.6.3.1. IP Masquerading
6.6.3.2. Possibilita que o IP privado "navegue"
6.6.4. VLAN
6.6.4.1. Camada de enlace
6.6.4.2. Permite múltiplas redes IPs em uma única VLAN
6.6.5. Acesso remoto
6.6.5.1. Protocolos
6.6.5.1.1. De acesso remoto
6.6.5.1.2. De autenticação
6.6.6. Telefonia
6.6.6.1. PABX de TDM
6.6.6.2. VOIP
6.6.6.2.1. Sinalizações
6.6.6.3. Ameaças
6.6.6.3.1. Toll fraud
6.6.6.3.2. DOS
6.6.6.3.3. Impersonificação
6.6.6.3.4. MITM - Man in the middle
6.6.7. NAC
6.6.7.1. Baseado em requisitos
6.6.7.1.1. Patches
6.6.7.1.2. FW ativado
6.6.7.1.3. Grupo
6.6.7.1.4. AV instalado/atualizado
6.6.8. Virtualização
6.6.8.1. Hypervisor
6.6.8.2. Segurança
6.6.8.2.1. N° de admins
6.6.8.2.2. Menor privilégio
6.6.8.2.3. Criptografia
6.6.8.2.4. Updates
6.6.8.2.5. Desativar serviços não utilizados
6.6.9. Computação em nuvem
6.6.9.1. Privada
6.6.9.1.1. Infra local/cliente
6.6.9.2. Pública
6.6.9.2.1. Infra do provedor
6.6.9.3. Hibrida
6.6.9.3.1. Ambas acima coexistindo
6.6.9.4. Serviços
6.6.9.4.1. PaaS
6.6.9.4.2. SaaS
6.6.9.4.3. IaaS
6.6.9.5. Segurança
6.6.9.5.1. Proteção dos dados
6.6.9.5.2. Isolamento
6.6.9.5.3. Disponibilidade
6.6.9.5.4. Resposta a incidentes
6.6.10. Defesa em profundidade
6.6.10.1. Pilares
6.6.10.1.1. Pessoas
6.6.10.1.2. Tecnologia
6.6.10.1.3. Operações
6.7. Considerações quanto a treinamento básico de Segurança
6.7.1. Treinamento sobre políticas
6.7.1.1. Conhecimento
6.7.1.1.1. Manual do usuário
6.7.1.1.2. Posters ou Flyers
6.7.1.1.3. Materiais no jornal da empresa
6.7.1.2. Educação
6.7.1.2.1. Cursos
6.7.1.3. Treinamento
6.7.1.3.1. Treinamento baseado em cargo
6.7.1.3.2. Orientação quanto ao PII
6.7.2. Classificação da Informação
6.7.2.1. Pública
6.7.2.1.1. Não traz problemas para a empresa
6.7.2.2. Classificada
6.7.2.2.1. Privada ou de uso restrito para pessoal interno
6.7.2.3. Confidencial
6.7.2.3.1. Poucos tem acesso
6.7.2.4. Segredo
6.7.2.4.1. Altamente restrito
6.7.2.5. Top Secret
6.7.2.5.1. Apenas membros estratégicos tem acesso
6.7.3. Normas e conformidade
6.7.3.1. SOX
6.7.3.2. HIPPA
6.7.3.2.1. Saúde
6.7.3.3. GLBA
6.7.3.3.1. Instituições financeiras
6.7.4. Hábitos dos usuários
6.7.4.1. Post-it com senhas
6.7.4.2. Documentos sensíveis sobre a mesa de trabalho
6.7.4.3. Dispositivos pessoais sem proteção
6.7.5. Riscos relacionados ao correio eletrônico
6.7.5.1. Remetente
6.7.5.1.1. É realmente quem diz ser?
6.7.5.2. Destinatário
6.7.5.2.1. Você realmente é o destinatário
6.7.5.2.2. O destinatário para o qual você está enviando está correto?
6.7.5.3. Links
6.7.5.3.1. O link indica realmente o site do banco?
6.7.5.4. Logomarca
6.7.5.4.1. não significa que o e-mail é legítimo
6.7.6. Redes sociais
6.7.6.1. Evite postagens públicas
6.7.6.2. TMI -Too much information
6.7.6.2.1. Evitar informações demais nas redes sociais
6.7.7. P2P
6.7.7.1. Compartilhamento de arquivos
6.7.7.1.1. Dissemina virus
6.7.8. Acompanhamento e métricas
6.7.8.1. Pesquisas pós treinamento
6.7.8.2. Questionários pós treinamentos
6.7.8.3. Pesquisa randômica
6.8. Segurança Física
6.8.1. Controle de Acesso Físico
6.8.1.1. Camada 1
6.8.1.1.1. Perímetro de acesso a empresa
6.8.1.2. Camada 2
6.8.1.2.1. Acesso guarita/portão eletrônico
6.8.1.3. Camada 3
6.8.1.3.1. Man trap
6.8.1.4. Camada 4
6.8.1.4.1. Leitura de cartão
6.8.1.5. Camada 5
6.8.1.5.1. Leitor biométrico
6.8.2. Lista de entrada e saída
6.8.2.1. Controle de visitantes
6.8.3. Travas de proteção
6.8.3.1. Cadeados
6.8.3.2. Correntes
6.8.3.3. Fechaduras eletrônicas
6.8.4. Controle biométrico
6.8.4.1. Taxa de aceitação falsa
6.8.4.2. Taxa de rejeição falsa
6.8.5. Pontos de acesso
6.8.5.1. Man trap
6.8.5.2. Token físico
6.8.6. Sistema de vigilância eletrônica
6.8.6.1. Câmeras de segurança
6.8.7. Controle de ambiente
6.8.7.1. HVAC
6.8.7.1.1. Heating
6.8.7.1.2. Ventilation
6.8.7.1.3. Ar Conditioning
6.8.8. Controle de fogo
6.8.8.1. Detector de incêndio
6.8.8.1.1. Detector de fumaça
6.8.8.1.2. Detector de chama
6.8.8.1.3. Detector de aquecimetno
6.8.8.2. Tipos de resposta
6.8.8.2.1. Cano vazio - dry pipe
6.8.8.2.2. Cano molhado - wet pipe
6.8.8.2.3. Pré action - Solta a água após atingimento de certo nível de temperatura
6.9. Melhores práticas de Gerenciamento de Risco
6.9.1. Continuidade do negócio
6.9.1.1. MTBF - Mean time between failures
6.9.1.1.1. Tempo de vida útil do equipamento
6.9.1.2. MTTR - Mean time to repair
6.9.1.2.1. Em caso de falhas, quanto tempo leva o reparo
6.9.2. Plano de continuidade de operações
6.9.3. Plano de contingência
6.9.3.1. Instruções e recomendações
6.9.3.2. Documentações e manuais
6.9.3.3. Como efetuar a contingência
6.9.4. Recuperação contra desatres
6.9.4.1. Integridade da vida humana é prioritária
6.9.4.2. Sites alternativos
6.9.4.2.1. Hot Site
6.9.4.2.2. Warm Site
6.9.4.2.3. Cold site
6.9.5. Tabletop
6.9.5.1. Mais abrangente que o exercício de simulação
6.9.5.2. Treinamento prévio com facilitadores
6.9.6. Tolerância contra falhas
6.9.6.1. Cluster
6.9.6.2. RAID
6.9.6.2.1. RAID O - Faixa de disco ou disk striping
6.9.6.2.2. RAID 1 - Espelhamento de discos
6.9.6.2.3. RAID 5 - Faixa de disco com paridade
6.9.7. Backup
6.9.7.1. Tipos de armazenamento
6.9.7.1.1. Shadow copy
6.9.7.1.2. Onsite copy
6.9.7.1.3. Offsite copy
6.9.7.2. Tipos de backup
6.9.7.2.1. Completo
6.9.7.2.2. Incremental
6.9.7.2.3. Diferencial
6.9.7.3. Planejamento
6.9.7.3.1. Avô,Pai e filho
6.9.7.3.2. Armazenamento completo
6.10. Controles de Segurança
6.10.1. Confidencialidade
6.10.1.1. Prevenção contra vazamento
6.10.1.1.1. Criptografia
6.10.1.1.2. Controle de acesso
6.10.1.1.3. Esteganografia
6.10.2. Integridade
6.10.2.1. Manutenção do dado íntegro
6.10.2.1.1. Hashing
6.10.2.1.2. Assinatura digital
6.10.2.1.3. Certificados
6.10.2.1.4. Não repúdio
6.10.3. Disponibilidade
6.10.3.1. Informação precisa estar disponível
6.10.3.1.1. Redundância
6.10.3.1.2. Tolerância contra falhas
6.10.3.1.3. Patching
7. Domínio 3 Ameaças e vulnerabilidades
7.1. Tipos de Malware
7.1.1. Spyware
7.1.1.1. Instalado sem consentimento
7.1.1.2. Funções de captura de teclado
7.1.1.3. Coleta informações pessoais
7.1.2. Adware
7.1.2.1. Propagandas
7.1.2.2. Acompanham normalmente programas Adware
7.1.3. Virus
7.1.3.1. Realiza duas tarefas
7.1.3.1.1. Tenta replicar-se
7.1.3.1.2. Ativar o código malicioso
7.1.3.2. Programa malicioso
7.1.3.3. Tipos
7.1.3.3.1. De boot
7.1.3.3.2. De arquivo
7.1.3.3.3. Residente
7.1.3.3.4. De macro
7.1.3.3.5. Agrupado
7.1.4. Malware Polifórmico
7.1.4.1. Altera sua "aparência" para confundir o Antivírus
7.1.5. Armored Virus
7.1.5.1. Utiliza técnicas de auto-proteção
7.1.5.1.1. Antidesmontagem
7.1.5.1.2. Antidebugação
7.1.5.1.3. Anti-heurística
7.1.5.1.4. Antiemulação
7.1.6. Cavalo de troia
7.1.6.1. Vem disfarçado dentro de outros programas
7.1.6.1.1. Rootkits
7.1.7. Bootnet
7.1.7.1. Conjunto de softwares robotizados
7.1.7.2. Grupo de computadores comprometidos
7.1.8. Bomba Lógica
7.1.8.1. Programa executado após evento especifico pré-definido
7.1.9. Ransomware
7.1.9.1. "Sequestro" da máquina
7.2. Tipos de Ataque
7.2.1. Man in the Middle
7.2.1.1. Escuta e captura de dados através de escuta
7.2.2. DoS e DDoS
7.2.2.1. Denial of service
7.2.2.2. Distributed denial of service
7.2.2.3. Ataque por TCP Connect flood
7.2.3. Replay
7.2.3.1. Captura dos dados das credenciais do usuário
7.2.4. Ataque Smurf
7.2.4.1. Tipo de ataque DDoS
7.2.4.1.1. Efetuado através de ICMP
7.2.5. Spoofing
7.2.5.1. Acontece no nível do TCP/IP
7.2.6. SPAM
7.2.6.1. E-mails indesejados
7.2.7. Pishing
7.2.7.1. E-mails indesejados com links que levam a sites maliciosos
7.2.8. SPIM
7.2.8.1. Funciona como o SPAM porém via instant messenger
7.2.9. Eng. Social
7.2.9.1. vishing
7.2.9.1.1. Através de contato telefônico
7.2.9.2. Phishing
7.2.9.2.1. Através de e-mails não legítimos
7.2.9.3. Spear phishing
7.2.9.3.1. Como o phishing porém com alvos pré-definidos
7.2.9.4. Hoax
7.2.9.4.1. "Fake news"
7.2.9.5. Whaling
7.2.9.5.1. Como o spear phishing porém com destino ainda mais específico
7.2.10. Ataque arvore de natal
7.2.10.1. Flags TCP
7.2.10.1.1. URG
7.2.10.1.2. PUSH
7.2.10.1.3. FIN
7.2.11. Pharming
7.2.11.1. Tráfego redirecionado para destino malicioso
7.2.11.1.1. através de alteração no dns por exemplo
7.2.12. Escalação de privilégio
7.2.13. Ameaças internas
7.2.14. Poisoning - Envenenamento
7.2.14.1. DNS Cache Posion
7.2.14.1.1. Entradas de resoluçao erradas
7.2.14.2. ARP Poison
7.2.14.2.1. Mascara o endereço com um endereço falso
7.2.15. Directory transversal
7.2.15.1. Execução de comandos através de servidores WEB
7.2.16. Ataques de senha
7.2.16.1. Dicionário de ataque
7.2.16.1.1. Uso de dicionário de palavras conhecidas
7.2.16.2. Ataque de força bruta
7.2.16.2.1. Tenta milhões de combinações de caracteres
7.2.17. Sequestro de url
7.2.17.1. Sequestro pago baseado em sites de busca
7.2.17.2. Sequestro de marca
7.2.17.3. Erro de grafia
7.2.17.4. Domínio diferente com mesma url
7.2.18. Watering hole
7.2.18.1. Identifica o perfil das vitimas
7.2.19. Ataques no lado cliente
7.3. Tipos de ataque envolvendo engenharia social
7.3.1. Shoulder surfing
7.3.1.1. Olhar por cima dos ombros
7.3.1.1.1. Espionagem
7.3.2. Dumpster diving
7.3.2.1. Análise do lixo da vítima
7.3.3. Tailgate
7.3.3.1. Entrar em um ambiente aproveitando-se de uma situação de cordialidade
7.3.4. Impersonar
7.3.4.1. Se passar por outra pessoa
7.3.5. Hoaxes
7.3.5.1. "Fake news"
7.3.6. Whaling
7.3.6.1. Spear pishing mais direcionado, específico
7.3.7. Vishing
7.3.7.1. Uso do telefone para obter informações
7.4. Tipos de ataque de redes sem fio
7.4.1. Rogue access point
7.4.1.1. Favorece o man in the middle
7.4.2. Interferência
7.4.3. Evil twin
7.4.3.1. Rogue access point com o mesmo SSID do original
7.4.4. Wardriving
7.4.4.1. Encontrar redes sem fio desprotegidas
7.4.5. Bluejacking
7.4.5.1. Ataque direcionado a redes bluetooth
7.4.6. Bluesnarfin
7.4.6.1. Ataque direcionados a redes bluetooth
7.4.6.1.1. Porém da acesso a agenda e outras informações do aparelho
7.4.7. War chalking
7.4.7.1. wardriving + marcar o local do acesso com símbolos
7.4.8. IV Attach (Vetor de inicialização
7.4.8.1. Tem como alvo principal redes com cifragem WEP
7.4.9. Captura de pacotes
7.4.10. Comunicação por proximidade
7.4.10.1. Leitura e gravação
7.4.10.1.1. PCD - Proximity Coupling Device
7.4.10.2. Ponto a ponto (P2P)
7.4.10.3. Emulação de cartão (PICC)
7.4.11. Ataque replay
7.4.11.1. Autenticação maliciosa
7.4.11.1.1. Pode ser evitada através do uso de chaves de sessão
7.4.12. Ataques de WEP/WAP
7.4.12.1. WEP
7.4.12.1.1. Collision
7.4.12.2. WAP
7.4.12.2.1. Vulnerabilidade TKIP
7.4.13. Ataque ao WPS
7.4.13.1. Roteadores caseiros
7.4.13.1.1. Ataques de força bruta
7.5. Tipos de ataque de aplicação
7.5.1. Ataque cross-site-scripting (XSS)
7.5.1.1. Roda scripts através de sites maliciosos
7.5.1.1.1. Não persistente
7.5.1.1.2. Persistente
7.5.2. Injeção SQL
7.5.2.1. Modifica a consulta em um campo
7.5.3. Injeção LDAP
7.5.3.1. Explora aplicações WEB que fazem interface com servidores LDAP
7.5.4. Injeção XML
7.5.4.1. Construção de XMLs com entradas maliciosas
7.5.5. Zero day
7.5.5.1. Intervalo entre a descoberta e a disponibilidade da correção
7.5.6. Buffer overflow
7.5.6.1. Programação que explora o endereçamento da memória
7.5.6.2. Tipos:
7.5.6.2.1. Stack overflow
7.5.6.2.2. Integer overflow
7.5.6.2.3. Heap overflow
7.5.7. Cookies
7.5.7.1. Armazenam informações da sessão do usuário
7.5.8. Anexos
7.5.9. Complementos maliciosos
7.5.10. Sequestro de sessão
7.5.10.1. Mata a conexão legitima e assume a posição da vítima
7.5.11. Manipulação de cabeçalho
7.5.11.1. Manipula a comunicação http entre origem e destino
7.5.12. Execução de código malicioso
7.5.12.1. Execução de código remoto
7.5.13. Local shared object
7.5.13.1. Flash cookies
7.6. Análise de cenário para mitigação
7.6.1. Análise de logs
7.6.1.1. Logs de Monitoramento
7.6.1.1.1. Reativa
7.6.1.1.2. Proativa
7.6.1.2. Logs de eventos
7.6.1.2.1. Qualquer ação realizada
7.6.1.3. Logs de segurança
7.6.1.3.1. Ligados a eventos de logon, alteração de senha e etc
7.6.1.4. Logs de acesso
7.6.1.4.1. Loga o acesso a um objeto por exemplo
7.6.2. Auditoria
7.6.2.1. Lógica
7.6.2.1.1. Deve ser habilitada nos sistemas
7.6.3. Hardening
7.6.3.1. Desativar serviços não essenciais/ Não utilizadsos
7.6.4. Segurança de rede
7.6.4.1. Hardening
7.6.4.2. 802.1X + Radius
7.6.4.3. Desativação de interfaces
7.6.4.4. Filtragem MAC
7.6.5. Postura Segura
7.6.5.1. Configuração de base
7.6.5.2. Monitoramento contínuo
7.6.6. Remediação
7.6.6.1. Rede apartada para solução do caso e isolamento do dispositivo
7.6.6.1.1. Atualizar a maquina
7.6.6.1.2. Scan de antivirus
7.6.6.1.3. Scan de vulnerabilidades
7.6.7. Relatórios
7.6.7.1. reporta
7.6.7.1.1. Alarmes
7.6.7.1.2. Alertas
7.6.7.1.3. Tendências
7.6.8. Uso de IDS/IPS
7.7. Ferramentas e técnicas de descobrir vulnerabilidade e ameaças
7.7.1. Interpretação de resultados
7.7.1.1. Ignorar
7.7.1.2. Consertar o problema
7.7.1.3. Mitigar a vulnerabilidade
7.7.2. Analisador de protocolo
7.7.2.1. Captura pacotes
7.7.2.2. Modo promiscuo
7.7.2.3. Wireshark por exemplo
7.7.3. Scan de vulnerabilidades
7.7.3.1. Analisa a máquina em busca de atualizações faltantes
7.7.4. Honeypot
7.7.4.1. Enticement
7.7.4.1.1. Método de sedução
7.7.4.2. Entrapment
7.7.4.2.1. Método de armadilha
7.7.5. Scan de portas
7.7.5.1. Verifica as portas abertas
7.7.6. Ferramentas ativas e passivas
7.7.6.1. Umas fazem barulho
7.7.6.1.1. São detectáveis
7.7.6.2. Silencioso
7.7.6.2.1. Não detectáveis
7.7.7. Obtenção de banner
7.7.7.1. Cabeçahos HTTP e FTP mostram que tipo de sistema se trata
7.7.7.1.1. Telnet
7.7.8. Cálculo de Risco e Tipos de Avaliação
7.7.8.1. Cálculo de Risco
7.7.8.1.1. Vulnerabilidade
7.7.8.1.2. Ameaça
7.7.8.1.3. Risco
7.7.8.2. Técnicas de avaliação
7.7.8.2.1. Linha de base
7.7.9. Superfície de ataque
7.7.9.1. Ferramenta: Microsoft Threat modeling tool
7.7.10. Revisão da arquitetura
7.7.10.1. De sistemas
7.7.10.2. De redes
7.8. Visão geral de testes de penetração
7.8.1. Fases:
7.8.1.1. Reconhecimento
7.8.1.1.1. Através de informações conhecidas
7.8.1.1.2. Através de pesquisas Google, Bing
7.8.1.2. Varredura
7.8.1.2.1. Portas abertas
7.8.1.2.2. Vulnerabilidades
7.8.1.2.3. Tentativa de penetração nos sitemas
7.8.1.3. Exploração
7.8.1.4. Manutenção do acesso
7.8.1.4.1. Manter portas abertas que garantam o retorno
7.8.2. Pentest intrusivo x nao intrusivo
7.8.2.1. Utiliza-se o não intrusivo
7.8.2.1.1. Não prejudica performance do ambiente
7.8.3. Credenciado x Não credenciado
7.8.3.1. Testes de forma autenticada
7.8.4. Análise de falso positivo
7.8.4.1. Diferenciar o que é real do que não é
7.8.5. Categorias de teste
7.8.5.1. Black box
7.8.5.1.1. O pentester não tem informação nenhuma
7.8.5.2. White box
7.8.5.2.1. O pentester tem todas as informações
7.8.5.3. Gray box
7.8.5.3.1. Híbrido das duas acima