CompTIA Security+ (Notas de estudo)
• Visão geral da segurança
o Segurança da Informação
- Ato de proteger dados e informações contra acesso não autorizado, modificação ilegal, interrupção, divulgação, corrupção e destruição
o Segurança de Sistemas de Informação
- Ato de proteger os sistemas que armazenam e processam dados críticos
o Fundamentos da Tríade da CIA:
- Confidencialidade - as informações não foram divulgadas a pessoas não autorizadas
- Integridade - as informações não foram modificadas ou alteradas sem a devida autorização
- Disponibilidade - as informações podem ser armazenadas, acessadas ou protegidas em todos os momentos
• AAA de Segurança
o Autenticação - estabelecer a identidade de uma pessoa com prova
- Algo que você sabe
- Algo que você é
- Algo que você tem
- Algo que você faz
- Em algum lugar que você esteja
o Autorização - concessão de acesso a dados ou áreas com base na autenticação
o Contabilidade - rastreamento de dados, uso do computador e recursos de rede
- Não repúdio: prova de que ações foram tomadas
• Ameaças comuns à segurança
o Malware - software malicioso
o Acesso não autorizado - acessar recursos sem consentimento
o Falha do sistema - travamentos ou falhas de aplicativos
o Engenharia Social - manipular usuários para revelar informações confidenciais ou tomar ações prejudiciais
• Mitigando ameaças
o Controles físicos - alarmes, fechaduras, câmeras, cartões de identificação, guardas
o Controles técnicos - cartões inteligentes, criptografia, ACLs, IDS, autenticação de rede
o Controles Administrativos - políticas, procedimentos, treinamento de conscientização, planejamento de contingência
- O treinamento do usuário é o controle de segurança mais econômico
• Tipos de Hackers
o White Hats - hackers éticos que testam a segurança com permissão
o Black Hats - hackers maliciosos que invadem sem autorização
o Gray Hats - hackers não afiliados que podem violar a lei
o Blue Hats - pessoas de fora que hackeiam com a permissão da empresa
o Elite - hackers que encontram e exploram vulnerabilidades antes de qualquer outra pessoa (1 em 10.000)
o Script Kiddies - hackers não qualificados que apenas executam exploits e ferramentas de outros
• Atores de ameaças
o Script Kiddies - pouca habilidade, use apenas ferramentas escritas por outros
o Hacktivistas - motivados por causas como mudança social, política, terrorismo
o Crime Organizado - grupos criminosos sofisticados e bem financiados
o Ameaças persistentes avançadas - grupos altamente qualificados (geralmente estados-nação) com amplas capacidades de inteligência
Inteligência e fontes de ameaças
• Propriedades das Fontes de Inteligência
o Pontualidade - informações atualizadas
o Relevância - corresponde aos casos de uso pretendidos
o Precisão - produz resultados eficazes
o Níveis de confiança - declarações qualificadas sobre confiabilidade
• Tipos de inteligência de ameaças
o Proprietário - fornecido comercialmente por meio de assinatura paga
o Código fechado - pesquisa do próprio provedor e dados do cliente
o Código aberto - disponível gratuitamente sem assinatura
- US-CERT, NCSC do Reino Unido, AT&T Security, MISP, VirusTotal, Spamhaus
o Open-Source Intelligence (OSINT) – informações coletadas de fontes públicas
Caça à ameaça
• Técnicas
o Estabelece hipóteses com base em eventos prováveis
o Perfis de agentes de ameaças e atividades
o Conta com ferramentas de monitoramento de segurança e resposta a incidentes
- Analisar tráfego de rede, processos, hosts infectados
- Identificar métodos de execução
• Benefícios
o Melhora a detecção
o Integra inteligência
o Reduz a superfície de ataque
o Bloqueia vetores de ataque
o Identifica ativos críticos
• Requer uso intensivo de recursos, mas produz benefícios substanciais
Estruturas de Ataque
• Cadeia de destruição cibernética
o Reconhecimento, Armamento, Entrega, Exploração, Instalação, Comando e Controle, Ações em Objetivos
o Analisar a cadeia de destruição para identificar cursos de ação defensivos
• ATAQUE DE MITRE
o Base de conhecimento de táticas, técnicas e procedimentos do adversário
o Pré-ATT&CK alinha-se com as fases iniciais da cadeia de destruição
• Modelo Diamante
o Analisa incidentes com base em quatro características: adversário, capacidade, infraestrutura, vítima
o Explora as relações entre os recursos
Malware
• Tipos de software malicioso
o Vírus - infectam o computador quando executados, exigem ação do usuário para se espalhar
- Setor de inicialização, macro, programa, multipartido, criptografado, polimórfico, metamórfico, furtivo, blindado
o Worms - auto-replicam-se e espalham-se sem o consentimento ou ação do utilizador
o Trojans - disfarçados de software legítimo, mas que desempenham funções maliciosas
- Trojans de acesso remoto (RATs) fornecem controle remoto aos invasores
o Ransomware - restringe o acesso até que o resgate seja pago
- Pode criptografar arquivos
o Spyware - coleta secretamente informações do usuário sem consentimento
- Adware exibe anúncios baseados em espionagem
- Grayware se comporta de forma inadequada, mas sem consequências graves
o Rootkits - ganhe controle de administrador sem detecção
- Use injeção de DLL para manter o controle
- Ativar antes da inicialização do sistema operacional, difícil de detectar
o Spam - abusos de mensagens eletrônicas, geralmente por e-mail
- A Lei CAN-SPAM regulamenta o e-mail comercial
Infecções por malware
• Vetor de ameaça - método usado pelo invasor para acessar a máquina da vítima
• Vetor de Ataque - método para infectar máquina com malware
• Entrega comum
o Software, mensagens, mídia
o Watering Holes - malware colocado em sites que as vítimas acessarão
• Botnets e Zumbis
o Botnet - grupo de computadores comprometidos controlados por um nó mestre
- Pode ser usado para atividades intensivas do processador
• Interceptação Ativa
o Interceptar e modificar o tráfego entre o remetente e o destinatário
• Escalação de privilégios
o Explorar falhas ou bugs para obter acesso não autorizado a recursos
• Backdoors e bombas lógicas
o Backdoors ignoram a segurança normal para manter o acesso
- RAT colocado pelo atacante para persistência
o Bomba Lógica - código malicioso executado quando as condições são atendidas
o Easter Egg - código interno não malicioso (piadas, mensagens, recursos)
- Não deve ser usado em codificação segura
• Sintomas de infecção
o Problemas de acesso, ruídos estranhos, erros, problemas de exibição, problemas de impressão
o Arquivos e pastas suspeitos, novos/alterados/ausentes
o Restauração do sistema não está funcionando
• Remoção de malware
1. Identifique os sintomas
2. Colocar em quarentena os sistemas infectados
3. Desabilite a restauração do sistema
4. Corrija o sistema
5. Agendar atualizações e verificações
6. Habilite a restauração do sistema, crie um ponto de restauração
7. Fornecer treinamento de segurança ao usuário final
8. Para vírus do setor de inicialização, escaneie a partir da unidade externa
• Prevenção de malware
o Atualizar anti-malware automaticamente e escanear regularmente
o Atualize o sistema operacional e os aplicativos com frequência
o Educar os usuários sobre práticas seguras
- Verifique se os servidores de e-mail bloqueiam retransmissões abertas
- Remover endereços de e-mail de sites
- Use listas brancas e negras
Exploração de malware
• Técnicas de exploração
o Permitir que o malware infecte os alvos, evitando a detecção
o Usado por APTs em um processo de vários estágios:
1. Dropper ou downloader
2. Manter acesso
3. Fortalecer o acesso
4. Ações sobre objetivos
5. Ocultação
• Dropper - instala/executa outros tipos de malware
• Downloader - recupera mais ferramentas após a infecção inicial
• Shellcode - código de exploração leve em qualquer linguagem
• Injeção de código - executa código malicioso sob um ID de processo legítimo
o Mascaramento, injeção de DLL, carregamento lateral de DLL, esvaziamento de processo
o Anti-forense usado para evitar detecção e análise
• Vivendo da Terra - usa ferramentas de sistema padrão para intrusões
o Mais difícil de detectar ao executar dentro de ferramentas e processos padrão
Aplicações e dispositivos de segurança
• Firewalls de software
o Firewalls pessoais protegem um único computador contra tráfego indesejado
- Baseado em host
- Integrado ao sistema operacional (Windows Firewall, PF, IPFW, iptables)
o Frequentemente parte de suítes anti-malware
• Sistemas de Detecção de Intrusão (IDS)
o Monitorar sistema/rede, analisar dados para identificar incidentes
- Baseado em host (HIDS), baseado em rede (NIDS)
o Métodos de detecção:
- Baseado em assinatura - sequências de bytes específicas disparam alertas
- Baseado em políticas - depende de uma política de segurança definida
- Baseado em anomalias - desvios da linha de base disparam alertas
o Tipos de alertas:
- Verdadeiro positivo - atividade maliciosa identificada corretamente
- Falso positivo - atividade legítima identificada como ataque
- Verdadeiro negativo - tráfego legítimo identificado corretamente
- Falso negativo - atividade maliciosa identificada como legítima
o IPS pode interromper atividades maliciosas, o IDS apenas alerta e registra
o Os logs HIDS recriam detalhes do ataque
• Bloqueadores de pop-ups
o Recurso do navegador para bloquear pop-ups de JavaScript
o Pode ser necessário permitir a funcionalidade do site
o Os invasores podem abusar de pop-ups em anúncios maliciosos
o Filtros de conteúdo bloqueiam JavaScript externo, imagens, páginas
o Mantenha o navegador e as extensões atualizados
• Prevenção de Perda de Dados (DLP)
o Monitora dados em repouso, em trânsito, em uso
o Detecta tentativas de roubo de dados
o Soluções de software ou hardware
- Endpoint DLP - software cliente, pode interromper transferências de arquivos ou alertar o administrador
- DLP de rede - solução perimetral para detectar dados em trânsito
- DLP de armazenamento - o software do servidor inspeciona dados em repouso
• Protegendo BIOS/UEFI
o Firmware fornecendo instruções de inicialização
o Interface de Firmware Extensível Unificada (UEFI)
o Proteja o BIOS/UEFI:
1. Atualize o firmware
2. Defina uma senha
3. Configurar ordem de inicialização
4. Desabilite portas externas
5. Habilite a inicialização segura
• Protegendo dispositivos de armazenamento
o Criptografar mídia removível
o Aplicar controles de mídia removível:
- Limitações técnicas em dispositivos USB e removíveis
- Políticas administrativas
o Network Attached Storage (NAS) - dispositivos de armazenamento em rede
- Frequentemente use RAID para alta disponibilidade
o Storage Area Network (SAN) - rede de armazenamento dedicada
1. Criptografar dados
2. Use autenticação adequada
3. Acesso ao log
• Criptografia de disco
o Embaralha os dados em um estado ilegível
o Unidades de autocriptografia (SED) usam hardware incorporado
o A criptografia de software é comum
- FileVault, BitLocker
o Trusted Platform Module (TPM) - chip da placa-mãe que contém a chave de criptografia
- A unidade USB pode ser uma chave de backup
o Advanced Encryption Standard - criptografia de chave simétrica de 128/256 bits
o A criptografia adiciona segurança, mas reduz o desempenho
o Módulos de Segurança de Hardware (HSM) - dispositivos que atuam como criptoprocessadores seguros
• Análise de ponto final
o Antivírus (AV) - detecta e remove malware
o Host IDS/IPS - monitora o endpoint para mudanças de comportamento
o Plataforma de Proteção de Endpoint (EPP) - agente que executa múltiplas tarefas de segurança
- AV, HIDS/HIPS, firewall, DLP, criptografia
o Detecção e Resposta de Endpoint (EDR) - agente que coleta dados para monitoramento
o User Entity Behavior Analytics (UEBA) - usa IA/ML para identificar atividades suspeitas
- Os combos EPP, EDR, UEBA são comercializados como ATP, AEP, NGAV
Segurança de dispositivos móveis
• Protegendo dispositivos sem fio
o Use WPA2 para maior segurança sem fio
- Criptografia AES
o O emparelhamento Bluetooth cria um link criptografado
o Com fio geralmente é mais seguro do que sem fio
• Malware móvel
o Mantenha o sistema operacional móvel e os aplicativos atualizados
o Instale somente em lojas de aplicativos oficiais
o Não faça jailbreak/root no dispositivo
o Não use firmware/ROM personalizado
• Defesa contra:
o Clonagem de SIM - permite acesso aos dados do dispositivo
- Use cartões SIM v2, tenha cuidado ao compartilhar o número
o Ataques Bluetooth
- Bluejacking (envio de mensagens não solicitadas)
- Bluesnarfing (roubo de dados via Bluetooth)
• Roubo
o Garantir backups regulares
o Não tente recuperar sozinho se for roubado
o Recursos de bloqueio e limpeza remotos
• Protegendo aplicativos móveis
o Instale somente em lojas oficiais
o Use SSL/TLS para conexões seguras
o Desligue os serviços de localização para privacidade
o Geotagging marca a localização, considere nas políticas
• Preocupações com BYOD
o Apresentar muitos problemas de segurança
o A segmentação de armazenamento separa os dados pessoais e de trabalho
o Use o MDM para configurar, gerenciar e proteger
o CYOD como alternativa
• Endurecimento de dispositivos móveis
1. Atualize para a versão mais recente do sistema operacional
2. Instale um antivírus
3. Treine os usuários sobre o uso adequado
4. Instale apenas aplicativos oficiais
5. Não faça root ou jailbreak
6. Use cartões SIM v2
7. Desabilite recursos desnecessários
8. Habilite a criptografia de voz e dados
9. Use senhas/biometria fortes
10. Evite ou controle o BYOD
Endurecimento
• Endurecimento - configuração segura de um sistema operacional por meio de:
o Atualizando
o Criação de regras e políticas
o Removendo aplicativos e serviços desnecessários
o Minimiza riscos reduzindo vulnerabilidades
• Removendo aplicativos desnecessários
o Menor funcionalidade - fornece apenas aplicativos e serviços essenciais
o Os PCs acumulam programas desnecessários ao longo do tempo
o Use uma imagem de base segura para novos sistemas
o System Center Configuration Manager (SCCM) ajuda a gerenciar
• Restringindo Aplicações
o Lista de permissões - permitir apenas a execução de aplicativos aprovados
o Lista negra - bloqueia a execução de aplicativos específicos
o Pode ser gerenciado centralmente
• Desabilitando serviços desnecessários
o Desabilite todos os serviços não essenciais do sistema operacional
• Sistemas operacionais confiáveis
o Atender aos requisitos de segurança do governo, usar segurança multinível
- Windows 7+, OS X 10.6+, FreeBSD, RHEL
o Identificar a versão e a compilação antes de atualizar
• Atualizações e Patches
o Patch - corrige um problema específico
o Hotfix - correção única (termos frequentemente usados de forma intercambiável)
o Atualizar categorias:
- Segurança - corrige vulnerabilidade específica
- Crítico - aborda bug não relacionado à segurança
- Service Pack - correções e atualizações cumulativas
- Geral - adiciona pequenas correções ou recursos
- Driver - atualiza o suporte de hardware
o Windows 10 usa o Windows Update (wuapp.exe)
• Processo de gerenciamento de patches
1. Plano
2. Teste
3. Implement
4. Auditoria
o Teste antes de implantar
o Implantar manualmente ou automaticamente
o Use um servidor de atualização central
o Auditar status do cliente após a implantação
o Linux e macOS também possuem patches integrados
• Usando a Política de Grupo
o Política de Grupo – regras aplicadas a usuários ou computadores
o Abra o gpedit para acessar o Editor de Política de Grupo
o Útil para: complexidade de senha, bloqueio de conta, restrições de software
o Os controladores de domínio têm gerenciamento avançado de Política de Grupo
o Os modelos de segurança simplificam a implantação
o GPOs auxiliam no fortalecimento do sistema operacional
o Medidas de linha de base mudam para estabelecer comportamento normal
• Sistemas de arquivos e discos rígidos
o Segurança afetada pelo sistema de arquivos
- NTFS, FAT32, ext4, HFS+, APFS
o O Windows usa principalmente NTFS ou FAT32
- NTFS é mais seguro (registro, criptografia, suporte a partições grandes)
o Linux deve usar ext4, macOS APFS
o Os discos rígidos eventualmente falham, então:
1. Remova os arquivos temporários (Limpeza de disco)
2. Verifique os arquivos do sistema periodicamente
3. Desfragmentar unidades
4. Faça backup dos dados
5. Pratique técnicas de restauração
Avaliação da Cadeia de Suprimentos
• A mitigação dos riscos da cadeia de suprimentos é essencial para a segurança em ambientes não seguros
• Garantir hardware e software confiáveis e invioláveis é essencial
o Due Diligence - usando as melhores práticas e cuidado razoável
- Programa de segurança cibernética com recursos adequados
- Processos de gestão de riscos
- Suporte ao ciclo de vida do produto
- Controles de segurança para dados confidenciais
- Assistência de resposta a incidentes
- Informações básicas da empresa
o Trusted Foundry - fabricante de microprocessadores seguros validados (geralmente governamentais)
o Autenticidade da fonte de hardware - aquisição de hardware de fornecedores confiáveis
- Risco de falsificações de fontes de reposição
• Raiz da Confiança
o Hardware Root of Trust - módulo de criptografia seguro para inicialização confiável/atestada
o Trusted Platform Module (TPM) - armazenamento de chaves de hardware
o Módulo de Segurança de Hardware (HSM) - dispositivo de chave criptográfica resistente a violações
o Mecanismos anti-violação:
- FPGAs, PUFs
• Firmware confiável
o Vulnerabilidades permitem que o invasor execute código de alto privilégio
o Proteções:
- UEFI - interface de firmware atualizada e mais segura
- Inicialização segura - evita código indesejado na inicialização
- Inicialização medida - reúne métricas seguras
- Atestado - validação assinada do processo de inicialização
- eFUSE - fusão de chips controlada por software/firmware
- Atualizações de firmware confiáveis/assinadas
- Unidades de autocriptografia
• Processamento Seguro
o As extensões de segurança da CPU permitem:
- Execução confiável garantindo SO/VM seguros
- Enclaves de memória criptografados para dados confidenciais
- Execução atômica de operações únicas
- Criptografia de barramento para dispositivos confiáveis
o AMD - PME, SEV
o Intel - TXT, SGX
Virtualização
• Virtualização - criação de uma versão virtual de um recurso
o VMs emulam um computador completo executando um sistema operacional
• Tipos de VM
o VM do sistema - substitui o computador físico, executa o sistema operacional completo
o Process VM - executa um único aplicativo ou processo
• Hipervisores
o Gerencia a alocação de recursos do host
Aqui está a continuação das notas de estudo do CompTIA Security+ reescritas em inglês:
o Tipos de hipervisores:
- Tipo I (Bare Metal) - roda diretamente no hardware, mais eficiente
- Tipo II (Hospedado) - é executado como uma camada de software em um sistema operacional
o Conteinerização
- Compartilha o kernel entre as VMs, mas fornece espaços de usuário separados
- Permite a implantação rápida e eficiente de aplicativos distribuídos
- Ex: Docker, Parallels Virtuozzo, OpenVZ
• Ameaças de VM
o VMs isoladas por padrão, mas ainda vulneráveis:
- VM Escape - sai da VM para interagir com o hipervisor
o A elasticidade permite o dimensionamento para atender à demanda
o Data Remnants - dados de VM excluídos que permanecem em servidores em nuvem
o Elevação de Privilégios - usuário concedendo a si mesmo privilégios mais altos
o Live Migration - mover uma VM em execução para outro servidor
• Protegendo VMs
o Medidas de segurança semelhantes às dos servidores físicos:
- Limitar a conectividade VM-host
- Remova hardware virtual desnecessário
- Use o gerenciamento de patches adequado
o Virtualization Sprawl - criação e implantação descontroladas de VMs
Segurança de aplicativos
• Segurança do navegador da Web
o Mantenha-se atualizado, mas não adote novas versões imediatamente
o Nenhuma opção única "mais segura"
o Práticas gerais:
1. Implementar políticas (administrativas ou técnicas)
2. Treinar os usuários
3. Use proxy e filtro de conteúdo
4. Previna códigos maliciosos (desabilite ActiveX, Java, Flash)
o Preocupações adicionais:
- Cookies e Flash cookies (LSOs) rastreiam dados do usuário
- Os complementos estendem a funcionalidade, mas introduzem riscos
- Opções avançadas para SSL/TLS, cache, histórico
• Protegendo aplicativos
o Proteja documentos confidenciais com senha
o Segurança de e-mail por meio de assinaturas e certificados digitais
o Controle de Conta de Usuário evita alterações acidentais
Desenvolvimento de software seguro
• Ciclo de vida de desenvolvimento de software (SDLC)
o Fases: Planejamento, Análise, Design, Desenvolvimento, Teste, Integração, Manutenção
o Metodologias:
- Cascata, Ágil, DevOps
• Princípios de segurança do SDLC
o Confidencialidade, Integridade, Disponibilidade (CIA)
o A modelagem de ameaças prioriza a aplicação de patches
o Acesso com privilégios mínimos
o Defesa em profundidade
o Nunca confie na entrada do usuário
o Minimizar a superfície de ataque
o Padrões e configurações seguras
o Assinatura de código para autenticidade e integridade
o Tratamento seguro de erros
o Correção oportuna de vulnerabilidades
o Use SDKs confiáveis
• Métodos de teste
o Caixa preta - o testador não tem conhecimento do sistema
o Caixa branca - detalhes completos fornecidos ao testador
o Tratamento de exceções estruturado para erros de tempo de execução
o Validação de entrada para higienizar dados do usuário
• Vulnerabilidades de software
o Backdoors - ignoram a autenticação normal
o Travessia de diretório - acesso a diretórios não autorizados
o Execução de código arbitrário/remoto
o Dia zero - desconhecido para o fornecedor
• Estouros de buffer
o Ocorre quando os dados excedem a memória alocada
o Pode habilitar injeção de código
o Prevenido por:
- Verificação de limites
- Validação de entrada
- Randomização do layout do espaço de endereço
• Ataques de injeção
o Insira código adicional por meio da entrada do usuário
- Cross-site scripting (XSS), injeção de SQL, injeção de LDAP
o Prevenido pela validação e higienização de entrada
• Condições de corrida
o Falhas de tempo que podem ser exploradas
o Difícil de detectar e mitigar
o Afeta o processamento multithread, sistemas de arquivos, bancos de dados
o Ataques de tempo de verificação para tempo de uso (TOCTTOU)
o Prevenção:
- Evite processamento sequencial
- Use bloqueio para garantir acesso exclusivo
• Outras vulnerabilidades
o Componentes inseguros, registro insuficiente, configurações fracas
o Mitigar através de:
- Componentes de inventário
- Analisando requisitos de log
- Endurecimento
- Menor privilégio
- Permissões de arquivo/diretório
- Configurações e linhas de base seguras
Design de rede
• Revisão do modelo OSI
o Por favor, não jogue pizza de salsicha fora
o Camadas: Física, Link de Dados, Rede, Transporte, Sessão, Apresentação, Aplicação
• Interruptores
o Evoluiu de hubs e pontes
o Vulnerável a:
- Inundação de MAC (estouro de tabela CAM)
- Falsificação de MAC
- Adulteração física
o Mitigações: segurança de porta, inspeção ARP, filtragem de endereço MAC
• Roteadores
o Conectar redes na Camada 3 (IP)
o Use listas de controle de acesso (ACLs) para permitir ou negar tráfego
o Vulnerável a falsificação de IP
• Segmentação de rede
o Firewalls, DMZs, extranets, intranets, VLANs
o Jumpbox - ponto de acesso reforçado para gerenciamento de DMZ
• Controle de acesso à rede (NAC)
o Verificações de pré-admissão antes da conexão à rede
o Baseado em agente ou sem agente
o Hardware ou software
o 802.1X para controle de acesso baseado em porta
• VLANs
o Benefícios: segmentação, redução de colisões, melhor organização e desempenho
o Ataques de spoofing e marcação dupla
o Prevenir movendo portas e usando VLANs privadas
• Sub-redes
o Divide redes para eficiência e segurança
o Redução do domínio de transmissão
o As políticas de sub-rede auxiliam no monitoramento de segurança
• Tradução de Endereços de Rede (NAT)
o Oculta IPs internos atrás de um IP externo
o Port Address Translation (PAT) mapeia portas
o Usa intervalos de IP privados
• Telefonia
o PBX legado e VoIP moderno
o Riscos de espionagem e fraude de pedágio
o Criptografar VoIP com TLS
Segurança de perímetro
• Firewalls - filtram o tráfego entre redes
o Stateless - filtragem de pacotes
o Stateful - rastreia conexões
o Inspeção profunda de pacotes para reconhecimento de aplicativos
o Firewalls de aplicativos da Web protegem servidores
• Servidores Proxy
o Intermediários entre clientes e servidores
o Cache para eficiência
o Filtragem de conteúdo e verificação de malware
o Web Security Gateways (proxies web seguros)
• Potes de mel e redes de mel
o Sistemas de isca para atrair e capturar invasores
o Honeypot - sistema único
o Honeynet - rede completa
• Prevenção de Perda de Dados (DLP)
o Monitora dados para evitar exfiltração
o Ponto de extremidade, rede e baseado em nuvem
• Rede IPS
o Previne ataques em linha (vs detecção de IDS)
o Deve falhar fechado
o Também pode fornecer análise de protocolo
• Gerenciamento unificado de ameaças (UTM) / Firewall de última geração
o Consolida firewall, IPS, filtro de conteúdo, anti-malware, DLP, VPN
Segurança na Nuvem
• Modelos de serviço:
o IaaS - o provedor gerencia virtualização, servidores, armazenamento, rede
o PaaS - também inclui SO, middleware, tempo de execução
o SaaS - o provedor gerencia tudo, o cliente usa o aplicativo
• Modelos de Implantação:
o Público - hospedado pelo provedor, multilocatário
o Privado - organização única, local ou hospedado
o Comunidade - compartilhada por organizações com necessidades comuns
o Híbrido - mistura dos anteriores
• Ameaças:
o APIs inseguras, gerenciamento de chaves inadequado, registro insuficiente, armazenamento desprotegido
o Endereçado por autenticação, criptografia, monitoramento, permissões
• Segurança de virtualização - igual à física
• Corretor de segurança de acesso à nuvem (CASB)
o Visibilidade e controle para serviços em nuvem
o Opções de implantação:
- Agente no dispositivo
- Proxy reverso
- Integração de API
• Microsserviços e Serverless
o Microsserviços - componentes pequenos e de propósito único
o Serverless - o provedor gerencia dinamicamente a execução do código
- Sem aplicação de patches ou administração
- Depende de orquestração robusta
• Protegendo Servidores
o Servidores de arquivos, e-mail, web, FTP, controladores de domínio
o DMZ para web e FTP
o Endurecer todos os servidores
o DLP pode ajudar a prevenir ameaças internas
Fluxo de trabalho e orquestração
• Orquestração
o Automação de implantações
o Orquestração de recursos, carga de trabalho e serviços
o Ferramentas de terceiros (Chef, Puppet, Ansible, etc.) evitam o bloqueio
• Pipeline de CI/CD
o Integração contínua - confirmações de código frequentes e compilações automatizadas
o Entrega Contínua - automatiza a liberação para produção
o Implantação contínua - automatiza totalmente a implantação para produção
• DevSecOps
o Integra a segurança no processo DevOps
o Abordagem de mudança para a esquerda:
- Integração de segurança antecipada
- Testes automatizados e conformidade
• Infraestrutura como Código (IaC)
o Gerenciamento de infraestrutura por meio de arquivos de definição
o Permite automação e orquestração
o Use modelos para garantir configurações seguras e consistentes
• Aprendizado de máquina
o Inteligência Artificial - máquinas que podem aprender e se adaptar
o Aprendizado de máquina - aprendendo com dados para realizar uma tarefa
o Deep Learning - algoritmos complexos e em camadas
o Usos comuns: autenticação adaptável, caça a ameaças
Ataques de rede
• Portas e Protocolos
o 1024 portos conhecidos
o 49152 portos efêmeros
o Memorize as principais portas para o exame
• Negação de serviço (DoS)
o Interromper a disponibilidade e o acesso
o Flood, Ping of Death, lágrima, bomba de garfo
o Ataques de amplificação Smurf e Fraggle
o SYN floods exploram o handshake TCP
o DoS permanente pode danificar o firmware
• DoS distribuído (DDoS)
o Muitas fontes têm como alvo uma única vítima
o Botnets comuns em DDoS
o Táticas de amplificação de DNS e NTP
o Mitigação: IPS, serviços especiais de depuração
• Ataques de sequestro e spoofing
o Hijacking - assumir o controle de uma conexão ativa
- Roubo de sessão, clickjacking, man-in-the-middle
o Spoofing - disfarçar-se de um usuário/sistema legítimo
o Sempre use autenticação forte
• Ataques transitivos
o Nenhum ataque direto, mas a segurança foi sacrificada pela eficiência
• Ataques DNS
o Envenenamento de cache, transferências de zona não autorizadas, alterações no arquivo HOSTS
o Pharming e kiting/sniping de nomes de domínio
• Envenenamento por ARP
o Explora o mapeamento de IP para MAC para roubar dados
o Mitigado por VLANs e DHCP snooping
Protegendo dispositivos de rede
• Switches, roteadores, firewalls, etc.
o Alterar senhas padrão
o Use políticas de senha fortes
o Cuidado com a escalada de privilégios e backdoors
o Mantenha o firmware atualizado
o Use IPS, firewalls, segmentação
• Mídia de rede segura
o Cobre, fibra, coaxial
o Interferência eletromagnética (EMI) - use cabos blindados
o Interferência de radiofrequência (RFI) - impacta redes sem fio
o Crosstalk - interferência de sinal entre fios
o Emanação de dados - use blindagem e gaiolas de Faraday
• Protegendo Wi-Fi
o Alterar SSIDs e senhas padrão
o Desabilitar transmissão SSID
o Patch APs e clientes
o Use criptografia forte (WPA2/WPA3)
o Perigos - APs desonestos, gêmeos malignos
• Ataques Wi-Fi
o Wardriving/warwalking - procurando por APs abertos
o Ataques IV - quebrando WEP
o Ataques de desautenticação - interrompendo conexões
o Quebra de força bruta de chaves pré-compartilhadas
• Melhorias no WPA3
o Chaves mais longas, sigilo de encaminhamento, autenticação simultânea
• Ataques Bluetooth
o Bluejacking - envio de mensagens não solicitadas
o Bluesnarfing - roubo de dados via bluetooth
• NFC e RFID
o Comunicação sem fio de curto alcance
o NFC 4cm, RFID 10cm - 200m
Controles de Segurança Física
• Vigilância
o Câmeras de CFTV
o Pan-tilt-zoom e imagem térmica
• Fechaduras e Barreiras
o Fechaduras tradicionais para entrada sem chave e armadilhas
• Biometria
o Impressão digital, íris, facial, etc.
o Taxas de falsa aceitação/rejeição
o A taxa de erro de crossover mede a precisão do sistema
• Iluminação, Sinalização, Guardas, Alarmes
• Gaiolas de Faraday e blindagem TEMPEST
Segurança das Instalações
• Supressão de incêndio
o Extintores portáteis - ABCDK
o Sprinklers - tubo úmido, tubo seco, pré-ação
o Agentes limpos e CO2
• Climatização
o Controle de umidade e temperatura
o Pressão positiva
o Filtragem de partículas
o Sistemas dedicados
o Pode se conectar a redes ICS/SCADA
• Blindagem
o Papel de parede de folha, películas, tela de janela
o As gaiolas de Faraday bloqueiam todas as EMI
o TEMPEST - padrão de blindagem do governo
• Cabeamento Protegido
o Bandejas de cabos e conduítes
o Claramente rotulado
o Serviços de operadora reforçados (MPLS e DWDM)
• Vulnerabilidades veiculares
o Rede de Área do Controlador (barramento CAN)
o Porta de diagnóstico de bordo (OBD-II)
o Ataques:
- Acesso direto
- Exploração de rede celular
- Atualizações maliciosas
• Drones e Robôs
o Drones aéreos para vigilância e entrega de carga útil
o Fraquezas do robô:
- Nenhuma segurança inerente
- Portas e conectores expostos
- Fácil acesso físico
- Comunicações não criptografadas
• Internet das Coisas (IoT)
o Sistemas operacionais Linux/Android embarcados
o Os dispositivos inteligentes devem ser protegidos e atualizados
o Soluções especializadas de segurança IoT
• Sistemas Embarcados
o Executar funções específicas dedicadas
o Difícil de atualizar e proteger
o Variações:
- PLCs, SoCs, RTOS, FPGAs
• Sistemas de Controle Industrial (ICS)
o Gerenciar automação e processos físicos
o Utilizar protocolo Fieldbus e PLCs
o Incluir HMI para configuração
o Componentes - historiador de dados, servidor de E/S
• Sistema de Gestão de Ativos (SCADA)
o Monitoramento e controle remoto
o Combina software e PLCs
o Protocolos - Modbus, DNP3
o Stuxnet atacou SCADA via USB
• Mitigando vulnerabilidades ICS/SCADA
o Gestão de mudanças robusta
o Segmentação de rede
o Autenticação forte
o Gerenciamento de patches
o Auditorias de segurança
• Automação Predial
o HVAC, iluminação, segurança, proteção
o Gerenciado pelo software BAS
o Riscos de acesso remoto
o Dispositivos e protocolos vulneráveis
o Sem patch e mal configurado
• Controle de acesso físico
o Fechaduras eletrônicas e registro
o Gestão de visitantes
o Pode integrar com BAS e CCTV
o Gerenciado pelo software PACS
o Riscos de engenharia social
Autenticação do usuário
• Algo que você sabe
o Senhas e PINs
o Perguntas de segurança
• Algo que você tem
o Cartões inteligentes e tokens
o Certificados digitais
o OTPs e aplicativos móveis
• Algo que você é
o Impressões digitais, íris, voz, rosto
• Em algum lugar onde você esteja
o Geolocalização e geofencing
• Algo que você faz
o Análise de assinatura e digitação
o Gestos
• Autenticação multifator
o Combina 2 ou mais fatores
o Aumenta muito a segurança
o Pode ser necessário para conformidade
• Protocolos de autenticação
o LDAP - serviços de diretório
o Kerberos - sistema baseado em tickets
o RADIUS - gestão centralizada
o TACACS+ - separa autenticação, autorização, contabilidade
o 802.1X - controle de acesso baseado em porta
• Identidades Federadas
o Autenticação por um Provedor de Identidade de terceiros
o Padrões SAML e OAuth
o Gestão de usuários reduzida para provedores de serviços
o Riscos - dependência da segurança do IdP
• Nuvem vs. local
o Nuvem - escalável, mas requer confiança no provedor
o No local - controle total, mas maior custo e complexidade
o Considere a localização de dados e o bloqueio de fornecedores
• Acesso Remoto
o VPN para conexão remota criptografada
- IPSec, SSL, PPTP, L2TP
o RDP para controle remoto gráfico
- A autenticação em nível de rede aumenta a segurança
o SSH para acesso seguro à linha de comando
Controle de acesso
• Identificação, Autenticação, Autorização, Responsabilidade
• Conceitos de Autorização
o Menor privilégio
o Separação de funções
o Férias obrigatórias
o Rotação de trabalho
o Privilégio crescente
o Restrições de hora do dia
• Modelos de Controle de Acesso
o Controle de acesso discricionário (DAC) - o proprietário determina as permissões
o Controle de Acesso Obrigatório (MAC) - o sistema determina o acesso com base na classificação
o Controle de acesso baseado em função (RBAC) - permissões baseadas na função do trabalho
o Controle de acesso baseado em regras - regras e parâmetros dinâmicos
o Controle de acesso baseado em atributos (ABAC) - lógica booleana para autorização
• Melhores Práticas
o Desabilitar contas padrão
o Desabilitar logins de root
o Desabilitar contas de convidados
o Use senhas fortes
o Renomear contas de administrador
o Restringir permissões de usuário
• Gerenciamento de contas de usuário
o Provisão, revisão, desprovisão
o Licenças, transferências, rescisões
o Recertificação periódica de permissões
• Monitoramento Contínuo
o Observar e responder a ameaças em tempo real
o Complementa avaliações periódicas
o Testes e alertas automatizados
• Registro e Auditoria
o Registrar eventos e analisar anomalias
o Investigar incidentes
o Atender aos requisitos regulamentares
• Controlando o acesso aos arquivos
o Permissões NTFS (Windows)
o `chmod` (Unix/Linux)
o Princípio do menor privilégio
o Separação de funções
Avaliação de risco
• Ativos, Vulnerabilidades, Ameaças
o Ativo - o que precisa ser protegido
o Vulnerabilidade - fraqueza
o Ameaça - perigo potencial
• Cálculo de Risco
Resposta a incidentes e perícia forense
• Processo de resposta a incidentes
o Preparação, Identificação, Contenção, Erradicação, Recuperação, Lições Aprendidas
o O objetivo é minimizar os danos e prevenir incidentes futuros
• Construindo uma Equipe de Resposta a Incidentes
o Gerente de Resposta a Incidentes
o Analistas de Segurança, Rede e Sistemas
o Pesquisador de Ameaças
o Analista Forense
o Jurídico, RH, RP
• Tratamento de evidências
o Identificar, coletar, analisar, relatar
o Cadeia de custódia
o Integridade dos dados
o Políticas de retenção
• Investigação Forense
o Sistema, Rede, Software, Armazenamento
o Ferramentas - dd, FTK, Memdump, Autópsia
• Estruturas de Ataque
o Cadeia de Morte Cibernética
o Modelo Diamante
o MITRE ATT&CK
Planejamento de recuperação de desastres
• Análise de Impacto Empresarial
o Identificar sistemas e processos críticos
o Determinar o Objetivo de Tempo de Recuperação (RTO)
o Determinar o Objetivo do Ponto de Recuperação (RPO)
• Plano de Recuperação de Desastres
o Procedimentos de resposta a emergências
o Estratégias de backup
o Locais de processamento alternativos
o Revisão pós-incidente
• Métodos de backup
o Completo, incremental, diferencial, instantâneo
o Esquemas de rotação de backup
o Armazenamento externo
o Replicação para sites quentes/mornos/frios
• Teste de recuperação de desastres
o Testes em papel, passo a passo, simulação
o Testes paralelos e de transição
• Continuidade das Operações
o Planejamento de sucessão
o Pessoal alternativo
o Teletrabalho
Criptografia
• Criptografia Simétrica
o Uma chave para criptografia e descriptografia
o Troca de chaves rápida, mas difícil
o Algoritmos: AES, 3DES, Blowfish
• Criptografia assimétrica
o Par de chaves pública e privada
o Troca de chaves lenta, mas mais fácil
o Algoritmos: RSA, ECC
o Comprimentos de chave de 1024 a 4096 bits
• Hashing
o Função unidirecional
o Verifica a integridade
o Algoritmos: MD5, SHA-1, SHA-2, SHA-3
• Assinaturas Digitais
o Criptografia com chave privada do remetente
o Comprova autenticidade e não repúdio
o Requer PKI e certificados digitais
• Gestão de Chaves
o Geração, troca, armazenamento, destruição
o Recuperação e custódia
• Esteganografia
o Ocultar mensagens em outros dados
o Usado para ofuscação, não para criptografia
• Impacto da Computação Quântica
o Algoritmo de Shor quebra RSA e ECC
o Tamanhos de chave maiores são apenas uma solução temporária
o Pesquisa em criptografia pós-quântica
Explorações e Ataques
• Malware
o Vírus, worms, trojans, ransomware
o Spyware, adware, rootkits, keyloggers
• Ataques de senha
o Força bruta, dicionário, tabelas de arco-íris
o Pulverização de senhas, preenchimento de credenciais
• Ataques a aplicações web
o Injeção - SQL, XSS, LDAP
o Autenticação quebrada e gerenciamento de sessão
o Exposição de dados sensíveis
o XXE e desserialização insegura
• Ataques sem fio
o Condução de guerra
o Pontos de acesso não autorizados
o Vulnerabilidades WPS e WPA2
• Ataques Móveis
o Aplicativos maliciosos
o Jailbreak e rooting
o SMS phishing
o Interceptação e rastreamento de sinais
• Ataques Criptográficos
o Ataque de aniversário
o Ataques de colisão
o Ataques de downgrade
o Doce32
• Engenharia Social
o Phishing, vishing, smishing
o Representação
o Mergulho em lixeiras
o Surfe de ombro
o Tailgating e piggybacking
• Ataques à cadeia de suprimentos
o Hardware ou software comprometido
o Produtos falsificados
o Pessoas maliciosas em fornecedores
Inteligência de Ameaças
• Fontes de dados
o Código aberto
- OSINT, mídia social
o Código fechado
- Conferências, dark web
o Técnico
- Sandboxes, honeypots, captura de pacotes
o humano
- PMEs, grupos de confiança
• Compartilhamento automatizado de indicadores
o Normas STIX e TAXII
o Plataformas MISP e OpenCTI
• Ciclo de Inteligência
o Direção, Coleta, Processamento, Análise, Disseminação
o Feedback para melhoria contínua
• Atores de ameaças
o Cibercriminosos, APTs, ameaças internas
o Hacktivistas e ciberterroristas
o Script kids
Teste de Penetração
• Planejamento e escopo
o Regras de engajamento
o Baseado em objetivos e em conformidade
o Caixa branca, caixa cinza, caixa preta
• Reconhecimento
o Passivo - OSINT, mídia social
o Ativo - varredura de portas, varredura de vuln
• Execução
o Acesso inicial, movimento lateral
o Escalação de privilégios
o Exfiltração e destruição de dados
• Relatórios
o Descobertas e remediação
o Recomendações estratégicas
• Operações da Equipe Vermelha
o Simulação de ataque multicamadas baseada em objetivos
o Azul e Roxo se unindo
o Realizado por especialistas altamente qualificados
Jurídico e conformidade
• Tipos de Leis
o Criminal, civil, administrativo
o Jurisdição e extradição
• Propriedade Intelectual
o Patentes, direitos autorais, marcas registradas
o Segredos comerciais
o Gestão de Direitos Digitais (DRM)
• Licenciamento
o Comercial
o Código aberto
o Contrato de Licença de Usuário Final (CLUF)
• Privacidade
o Informações de identificação pessoal (PII)
o Informações de saúde protegidas (PHI)
o Soberania e localização de dados
• Estruturas de conformidade
o RGPD, HIPAA, PCI-DSS, SOX, GLBA
o NIST CSF e 800-53
o ISO 27001 e 27002
o COBIT e ITIL
• Investigações
o Administrativo, criminal, civil
o Mandados de busca
o Devido processo e cadeia de custódia
Ética
• (ISC)2 Código de Ética
o Proteger a sociedade, o bem comum, a necessária confiança pública e a infraestrutura.
o Agir de forma honrada, honesta, justa, responsável e legal.
o Prestar serviço diligente e competente aos diretores.
o Promover e proteger a profissão.
• Ética Organizacional
o Códigos de conduta
o Políticas de uso aceitáveis
o Relatório obrigatório
o Denúncia de irregularidades
• Uso indevido da tecnologia
o Hacking, doxxing, swatting
o Hacktivismo e ciberterrorismo
o Roubo de propriedade intelectual
o Invasão de privacidade
• Desenvolvimento profissional
o Manter-se atualizado na área
o Envolver-se na comunidade
o Mentoria e compartilhamento de conhecimento
Caros amigos,
Desejamos a você tudo de melhor em seus estudos e preparação para o exame para a certificação CompTIA Security+. Esta é uma certificação importante e valiosa na área de segurança cibernética, e passar no exame abrirá muitas oportunidades de carreira interessantes para você.
Para garantir que você esteja bem preparado, recomendamos que você aproveite os produtos de aprendizagem de alta qualidade da CertMaster, incluindo:
- CertMaster Learn: Um curso on-line interativo que ajuda você a dominar o conhecimento teórico necessário para o exame.
- CertMaster Labs: Um ambiente de prática on-line com cenários reais de segurança cibernética, permitindo que você aprimore suas habilidades práticas.
- CertMaster Practice: Um rico banco de questões com centenas de questões práticas e testes simulados.
- CertMaster Exam-Sims: Um exame prático que simula com precisão a estrutura e a dificuldade do exame real, ajudando você a se familiarizar e ganhar confiança.
Ao utilizar esses produtos de qualidade, você não apenas receberá o máximo suporte em sua jornada de aprendizado, mas também estará apoiando nossos esforços no desenvolvimento de programas de treinamento e no desenvolvimento de talentos em segurança cibernética.
Mais uma vez, desejamos a você um aprendizado eficaz, a confiança para vencer o exame e a rápida obtenção da certificação CompTIA Security+ que você deseja. Acredite em si mesmo e persevere até o fim!
Agradecemos sinceramente por sua atenção e apoio. Desejamos a você sucesso!
Certificação CompTIA Security+ – Portal para carreiras de alta remuneração em segurança cibernética