Capítulo 1: Conceitos de Segurança (Security Concepts)
🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:
- Tríade CIA: Confidencialidade, Integridade, Disponibilidade
- Framework AAA: Authentication, Authorization, Accounting
- Controles por função: Preventivo (antes), Detectivo (durante), Corretivo (depois)
- Preventivo bloqueia fisicamente — Deterrente/Dissuassor desencoraja psicologicamente
- Fail-Open = disponibilidade | Fail-Closed = confidencialidade
- NIST CSF: Identify, Protect, Detect, Respond, Recover
🌍 EXEMPLOS REAIS DE VIOLAÇÕES DA TRÍADE CIA
- Confidencialidade (Equifax 2017): 147 milhões de registros expostos por falha no Apache Struts. Dados pessoais e financeiros vazaram.
- Integridade (Stuxnet 2010): Malware alterava leituras de pressão das centrífugas enquanto as destruía fisicamente — enganando operadores.
- Disponibilidade (WannaCry 2017): Ransomware paralisou hospitais do NHS britânico. Cirurgias canceladas, prontuários inacessíveis.
- Autenticação (SolarWinds 2020): Backdoor em atualizações legítimas comprometeu milhares de organizações, incluindo agências governamentais.
- Autorização (Capital One 2019): Ex-funcionária da AWS acessou dados de 106 milhões de clientes por firewall mal configurado.
- Não-repúdio (Mt. Gox 2014): Atacantes manipularam transações de Bitcoin para fazer parecer que transferências não ocorreram.
1️⃣ Tríade CIA (CIA Triad)
Todos os controles de segurança são projetados para cumprir três objetivos principais:
| Pilar | Objetivo | Técnicas |
|---|---|---|
| Confidencialidade (Confidentiality) | Garantir que dados não sejam divulgados a pessoas não autorizadas | Criptografia, controle de acesso, classificação de dados |
| Integridade (Integrity) | Garantir que dados não sejam modificados ou adulterados | Hashing, checksums, assinaturas digitais |
| Disponibilidade (Availability) | Garantir que dados estejam disponíveis quando necessário | Redundância, backups, balanceamento de carga |
2️⃣ Framework AAA
- Autenticação (Authentication): Verificar se o usuário é quem diz ser. Métodos: senhas, biometria, certificados digitais.
- Autorização (Authorization): Definir quais recursos o usuário autenticado pode acessar. Técnicas: ACLs, RBAC.
- Auditoria/Contabilização (Accounting): Registrar e monitorar ações dos usuários. Inclui logs, SIEM e análise forense.
- Não-repúdio (Non-repudiation): Garantia de que uma pessoa não pode negar ter realizado uma ação. Implementado com assinaturas digitais.
3️⃣ Controles por Função/Objetivo
ANTES
PREVENTIVO
PREVENTIVO
DURANTE
DETECTIVO
DETECTIVO
DEPOIS
CORRETIVO
CORRETIVO
| Tipo | Função | Exemplos |
|---|---|---|
| Preventivo (Preventive) | Elimina ou reduz probabilidade de ataque ter sucesso — opera ANTES | Firewalls, ACLs, antimalware, gerenciamento de patches |
| Detectivo (Detective) | Identifica e registra intrusão — opera DURANTE | Logs de sistema, IDS, monitoramento de rede, câmeras |
| Corretivo (Corrective) | Elimina ou reduz impacto da violação — usado APÓS | Backups, patches pós-descoberta, recuperação de desastres |
| Deterrente/Dissuassor (Deterrent) | Desencoraja psicologicamente o atacante (não bloqueia fisicamente) | Placas de aviso, avisos de penalidades legais |
| Compensatório (Compensating) | Substituto para controle principal quando este não é viável | MFA compensando senhas fracas, isolamento quando patch não disponível |
| Diretivo (Directive) | Orienta comportamento através de políticas e procedimentos | Políticas de segurança, SOPs, códigos de conduta |
💡 DICA CRÍTICA: Preventivo bloqueia fisicamente a ameaça. Deterrente/Dissuassor desencoraja psicologicamente — não impede fisicamente.
4️⃣ Controles por Implementação
| Tipo | Descrição | Exemplos |
|---|---|---|
| Técnico (Technical) | Implementado por hardware, software ou firmware | Firewalls, antivírus, criptografia, biometria |
| Gerencial (Managerial) | Supervisão e orientação administrativa | Políticas de segurança, avaliações de risco, planos de continuidade |
| Operacional (Operational) | Implementado principalmente por pessoas | Guardas de segurança, treinamentos, conscientização |
| Físico (Physical) | Impedem e detectam acesso a instalações e hardware | Alarmes, portões, fechaduras, iluminação, câmeras |
5️⃣ Princípios Importantes
- Defesa em Profundidade (Defense in Depth): Múltiplas camadas de segurança — se uma falhar, as outras ainda protegem.
- Menor Privilégio (Least Privilege): Cada usuário recebe apenas as permissões mínimas necessárias.
- Segregação de Funções (Separation of Duties): Tarefas críticas divididas entre pessoas para prevenir fraudes.
- Não-repúdio (Non-repudiation): Garantia de que ações não podem ser negadas — implementado com assinaturas digitais.
- Fail-Open: Em caso de falha, mantém acesso — prioriza disponibilidade.
- Fail-Closed: Em caso de falha, bloqueia acesso — prioriza confidencialidade.
6️⃣ Estrutura Organizacional de Segurança
Liderança Executiva
- CIO (Chief Information Officer): Responsabilidade geral pela função de TI.
- CTO (Chief Technology Officer): Uso eficaz de produtos de TI e novas soluções.
- CISO/CSO (Chief Information Security Officer): Responsabilidade pela estratégia e governança de segurança.
Unidades Especializadas
- SOC (Security Operations Center): Monitoramento 24/7 de ativos de informação críticos, com dashboards e mapas de ameaças em tempo real.
- CIRT/CSIRT/CERT: Equipe de resposta a incidentes — ponto único de contato para notificação, coordenação e contenção.
DevOps e DevSecOps
- DevOps: Colaboração entre desenvolvedores e administradores de sistemas.
- DevSecOps: Segurança integrada em todas as etapas do desenvolvimento.
- Shift Left: Considerações de segurança desde os requisitos e planejamento, não apenas no final.
7️⃣ Frameworks e Normas
| Framework/Norma | Descrição |
|---|---|
| NIST CSF | 5 funções: Identify, Protect, Detect, Respond, Recover |
| ISO 27001 | Requisitos para Sistema de Gestão de Segurança da Informação (ISMS) |
| PCI-DSS | Padrão para organizações que processam dados de cartões de pagamento |
| HIPAA | Lei americana que protege informações de saúde dos pacientes |
| LGPD / GDPR | Leis de proteção de dados pessoais: LGPD (Brasil) e GDPR (Europa) |
📌 DICAS FINAIS PARA PROVA:
- Preventivo = ANTES | Detectivo = DURANTE | Corretivo = DEPOIS
- Preventivo bloqueia fisicamente, Deterrente/Dissuassor desencoraja psicologicamente
- Fail-Open = disponibilidade | Fail-Closed = confidencialidade
- Defesa em Profundidade = múltiplas camadas
- NIST CSF: Identify, Protect, Detect, Respond, Recover
- Shift Left = segurança desde o início do desenvolvimento