📋 Resumo — Capítulo 7
Gerenciamento de Vulnerabilidades • CompTIA Security+
1️⃣ Gerenciamento de Vulnerabilidades
Processo crítico que abrange identificação, avaliação, tratamento e relato de vulnerabilidades em SOs, aplicações e componentes de TI.
Atividades Principais
- Aplicação de patches em sistemas desatualizados
- Hardening de configurações
- Atualização para versões mais seguras de SOs
- Revisões de código e testes de segurança
- Atualização de bibliotecas de terceiros
Vulnerabilidades Notáveis por SO
| Vulnerabilidade | Ano | SO/Componente | Impacto |
|---|---|---|---|
| MS08-067 / Conficker | 2008 | Windows Server Service | Milhões de computadores infectados |
| MS17-010 / WannaCry | 2017 | Windows SMB (EternalBlue) | Execução remota de código em escala global |
| Shellshock | 2014 | Shell Bash (Unix/Linux/macOS) | Controle total do sistema via variáveis de ambiente |
| Heartbleed | 2014 | OpenSSL (Linux/servidores) | Leitura de memória, exposição de chaves secretas |
| Stagefright | 2015 | Android (MMS) | Execução de código via mensagem MMS |
| Meltdown/Spectre | 2018 | Processadores (CPUs) | Roubo de dados em processamento |
| LoJax | 2018 | Firmware UEFI | Persistência mesmo após troca de HD ou reinstalação do SO |
2️⃣ Sistemas Legados e EOL
⚠️ End-of-Life (EOL)
- Sem suporte do fabricante
- Sem patches de segurança
- Vulnerável a ameaças novas
- Ex: Windows 7 e Server 2008 (EOL jan/2020)
🏛️ Sistemas Legados
- Desatualizado, pode ter suporte
- Continua em uso por necessidade
- Incompatível com arquiteturas novas
- Riscos: patches, suporte, compatibilidade
Critérios para Substituição EOL
- Disponibilidade de suporte do vendor + garantia
- Compatibilidade com infraestrutura existente
- Suporte a migração de dados confiável
- Custos: licenciamento, hardware, implementação
3️⃣ Métodos de Identificação de Vulnerabilidades
Threat Feeds
| Tipo | Exemplos | Característica |
|---|---|---|
| Open-Source | Cyber Threat Alliance, MISP | Gratuito, pode faltar profundidade |
| Proprietário | IBM X-Force, Mandiant, Recorded Future | Abrangente, análise avançada, custo |
| ISACs | Setorial (saúde, finanças, energia) | Compartilhamento colaborativo |
Ferramentas OSINT
- Shodan: Investiga dispositivos conectados à internet (IoT, servidores)
- Maltego: Visualiza redes complexas de informação
- Recon-ng: Reconhecimento baseado em web
- theHarvester: Coleta e-mails, subdomínios, hosts, nomes de funcionários
Deep Web vs Dark Web: Deep Web = não indexada por buscadores. Dark Web = acessível apenas via Dark Net (TOR, I2P) — requer software especial. Usos legítimos: anonimato para whistleblowers, acesso a informação censurada, pesquisa de ameaças.
Pen Testing vs Bug Bounty
| Característica | Pen Testing | Bug Bounty |
|---|---|---|
| Quem faz | Equipe contratada | Comunidade global |
| Prazo | Confinado | Aberto / contínuo |
| Escopo | Estruturado e focado | Mais amplo |
| Custo | Previsível | Por severidade |
| Melhor para | Conformidade, componentes específicos | Perspectivas diversas |
Tipos de Auditoria de Cibersegurança
- Conformidade: Aderência a GDPR, HIPAA, PCI DSS
- Baseada em Risco: Identifica ameaças e vulnerabilidades em sistemas e processos
- Técnica: Examina infraestrutura de TI — rede, controles de acesso, proteção de dados
4️⃣ Análise e Correção de Vulnerabilidades
6 Fatores da Análise de Vulnerabilidades
- Priorização: Severidade + facilidade de exploração + impacto
- Classificação: Por tipo de sistema, natureza da exposição, impacto
- Exposure Factor (EF): Suscetibilidade ao comprometimento — autenticação fraca, segmentação inadequada
- Impacto Organizacional: Financeiro, reputacional, operacional, regulatório
- Fatores Ambientais: Infraestrutura, cenário de ameaças, regulatório, operacional
- Tolerância a Risco: Nível de risco aceito — varia por tamanho, setor, objetivos
CVSS — Common Vulnerability Scoring System
| Score | Severidade |
|---|---|
| 9.0 – 10.0 | 🔴 Critical |
| 7.0 – 8.9 | 🟠 High |
| 4.0 – 6.9 | 🟡 Medium |
| 0.1 – 3.9 | 🟢 Low |
| 0.0 | ⚪ None |
Métodos de Validação de Remediação
- Re-scanning: Escanear novamente — se vulnerabilidade não aparece = sucesso
- Auditoria: Exame do processo, alinhamento com políticas, documentação
- Verificação: Checks manuais, testes automatizados, revisão de logs
Tipos de Scan de Vulnerabilidades
| Tipo | Característica | Uso |
|---|---|---|
| Intrusivo | Tenta explorar ativamente — mais preciso | Não pode ser em sistema vivo |
| Não-Intrusivo | Lista vulnerabilidades sem explorar | Pode ser em sistemas vivos |
| Credenciado | Com login — análise mais profunda | Detecta configurações incorretas |
| Não-Credenciado | Visão de atacante externo | Avaliação de perímetro |
5️⃣ Alerta, Monitoramento e SIEM
Ferramentas de Monitoramento
- Monitores de Rede (SNMP): CPU, memória, temperatura, erros de link — SNMP traps para eventos notáveis
- NetFlow/IPFIX: Metadados de tráfego (sem payload) — detecta C2, tunelamento, comportamento rogue
- Logs: Sistema (disponibilidade) + Segurança (usos autorizados/não autorizados) — trilha de auditoria
- EPP/Antivírus: Detecção por assinatura + UEBA + análise por IA
SIEM — Coleta de Dados
| Método | Como funciona |
|---|---|
| Agente | Instalado no host — processa e envia dados ao SIEM |
| Listener/Collector | Host empurra logs via Syslog — para switches, roteadores, firewalls |
| Sensor | Captura de pacotes via porta espelho — dados de flow de sniffers |
Níveis de Alerta no SIEM
- Log only: Registra automaticamente, sem notificação ativa
- Alert: Listado no dashboard para analista avaliar
- Alarm: Classificado como crítico — email/SMS ao responsável
⚠️ Alert Fatigue: Volume excessivo de falsos positivos faz analistas perderem alertas reais. Técnicas de alert tuning: refinar regras, redirecionar floods, usar ML para ajuste automático.
DLP — Data Loss Prevention
| Componente | Função |
|---|---|
| Servidor de Política | Configura regras, registra incidentes, compila relatórios |
| Agente de Endpoint | Aplica política no cliente, mesmo offline |
| Agente de Rede | Escaneia comunicações nas fronteiras de rede |
Mecanismos de Remediação DLP
- Alert Only: Permite cópia, registra incidente
- Block: Impede cópia, usuário mantém acesso ao original
- Quarantine: Nega acesso ao arquivo original
- Tombstone: Quarentena + substitui por arquivo descrevendo a violação
6️⃣ Pen Testing
Tipos de Conhecimento
⬜ White Box (Known)
Conhecimento completo — análise profunda, menos realista
Conhecimento completo — análise profunda, menos realista
⬛ Black Box (Unknown)
Sem informação — simula ataque externo real
Sem informação — simula ataque externo real
🔲 Gray Box (Partial)
Informação parcial — simula ameaça interna
Informação parcial — simula ameaça interna
Equipes de Segurança
- Red Team: Hackers éticos — realiza o pen test (ofensivo)
- Blue Team: Defesa — detecta e para a Red Team
- Purple Team: Combina Red + Blue — trabalha em ofensa e defesa
- White Team: Árbitros — gerencia o engajamento entre Red e Blue
Ciclo de Vida do Pen Test
1. Reconhecimento
Footprinting
Footprinting
2. Scanning
Enumeração
Enumeração
3. Ganhar Acesso
Exploração
Exploração
4. Manter Acesso
Backdoors
Backdoors
5. Reportar
Documentação
Documentação
Documentação
- Scope of Work / Statement of Work: Who, What, When, Where, Why — define exatamente o que será testado
- Rules of Engagement (ROE): Como o teste será realizado — tipo, manipulação de dados, notificações
🎯 Pontos-chave para a prova
- Conficker: MS08-067 | WannaCry: MS17-010 via EternalBlue
- Heartbleed: OpenSSL | Shellshock: Bash | Stagefright: Android MMS
- LoJax: Firmware UEFI — persiste após troca de HD
- Credenciado: mais profundo | Não-credenciado: visão externa de atacante
- CVSS 9-10: Critical | 7-8.9: High | 4-6.9: Medium | 0.1-3.9: Low
- SIEM = correlação de logs | SOAR = automação de resposta
- Alert fatigue = falsos positivos excessivos → perde alertas reais
- Tombstone DLP = quarentena + substitui arquivo por aviso
- White Team = árbitros do pen test | Purple Team = Red + Blue
- ROE = como o teste é feito | Scope of Work = o que será testado