🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:
- Ciclo de VM: Identificação → Avaliação → Priorização → Remediação → Verificação → Monitoramento
- EOL (End of Life): Sem suporte/vendor, sem patches - ALTAMENTE VULNERÁVEL
- CVSS: Score 0-10 (Critical 9-10, High 7-8.9, Medium 4-6.9, Low 0.1-3.9)
- False Negative: vulnerabilidade real não detectada (GRAVE)
- Threat Feeds: informações em tempo real sobre ameaças (OTX, IBM X-Force)
1️⃣ Tipos de Vulnerabilidades
Gerenciamento de Vulnerabilidades (VM)
Processo crítico que abrange identificação, avaliação, tratamento e relato de vulnerabilidades em SOs, aplicações e componentes de TI.
Atividades Principais:
- Aplicação de patches em sistemas desatualizados
- Endurecimento de configurações
- Atualização para versões mais seguras de SOs
- Revisões de código e testes de segurança
- Atualização de bibliotecas de terceiros
Vulnerabilidades por Sistema Operacional
Windows
- Buffer overflows, problemas de validação, falhas de privilégio
- MS08-067: worm Conficker (2008) - milhões infectados
- MS17-010 (EternalBlue): WannaCry (2017) - execução remota
macOS
- Base UNIX, controles de acesso, boot seguro
- Percepção de "mais seguro" causa complacência
- Shellshock (2014): falha no Bash
Linux
- Open-source = desenvolvimento rápido
- Vulnerabilidades no kernel, configurações incorretas
- Heartbleed (2014): OpenSSL - ler memória do sistema
Mobile (Android/iOS)
- Android: fragmentação, suporte inconsistente, Stagefright (MMS)
- iOS: não open-source, watering hole attacks (2019)
Sistemas Embarcados e IoT
- Introduzem vulnerabilidades e caminhos para infraestruturas corporativas
- Executam sistemas operacionais especializados
Sistemas Legados e EOL
End-of-Life (EOL)
- Não mais suportados pelo fabricante
- Sem patches de segurança críticos
- Ex: Windows 7, Server 2008 (EOL jan/2020)
Sistemas Legados
- Desatualizados mas ainda em uso
- Substituição cara ou arriscada
- Incompatíveis com métodos mais novos
Vulnerabilidades de Firmware
- Meltdown e Spectre (2018): processadores, roubo de dados
- LoJax (2018): firmware UEFI, persistência após reinstalação
2️⃣ Ciclo de Gerenciamento de Vulnerabilidades
1. IdentificaçãoEncontrar vulnerabilidades
2. AvaliaçãoAnalisar severidade
3. PriorizaçãoPor risco/impacto
4. RemediaçãoCorrigir
5. VerificaçãoConfirmar correção
6. MonitoramentoContínuo
Fatores de Priorização
- Severidade: CVSS score
- Facilidade de exploração
- Impacto potencial: perda financeira, dano reputacional
- Exposição: acessibilidade do sistema
- Fatores ambientais: infraestrutura, cenário de ameaças, compliance
- Tolerância a risco da organização
Exposure Factor (EF)
Extensão na qual ativo é suscetível a comprometimento. Fatores: autenticação fraca, segmentação inadequada, controle de acesso insuficiente.
3️⃣ Métodos de Identificação de Vulnerabilidades
Escaneamento de Vulnerabilidades
Processo automatizado que detecta:
- Portas abertas e IPs ativos
- Aplicações/serviços em execução
- Patches críticos faltantes
- Contas padrão não desabilitadas
- Configurações incorretas
Ferramentas Populares
Threat Feeds
Fontes de informação em tempo real sobre ameaças emergentes.
Open-Source
- Cyber Threat Alliance
- MISP threat-sharing
- AlienVault OTX
- Gratuitos, mas menos profundos
Proprietários
- IBM X-Force Exchange
- Recorded Future
- Mandiant FireEye
- Informações mais abrangentes
OSINT (Open-Source Intelligence)
Coleta de informações publicamente disponíveis.
Shodan dispositivos IoT
Maltego visualização
Recon-ng reconhecimento
theHarvester emails
Outros Métodos
- Pen Testing: hackers éticos tentam violar segurança
- Bug Bounty: recompensa para pesquisadores externos
- Auditoria: conformidade (GDPR, HIPAA), baseada em risco, técnica
- Deep/Dark Web: contrainteligência, infiltração
Comparação: Pen Testing vs Bug Bounty
| Pen Testing |
Bug Bounty |
| Equipe contratada profissional |
Comunidade global |
| Prazo confinado |
Contínuo |
| Abordagem estruturada |
Habilidades diversas |
| Custo previsível |
Pago por descoberta |
4️⃣ Análise e Correção
Opções de Scan
| Tipo |
Descrição |
| Intrusivo |
Tenta explorar vulnerabilidade (mais preciso, não em sistemas vivos) |
| Não-Intrusivo |
Lista vulnerabilidades potenciais (mais comum, sistemas vivos) |
| Credenciado |
Com login, análise profunda (simula ataque interno) |
| Não-Credenciado |
Sem login, visão de atacante externo |
Escaneamento de Aplicações
- Análise Estática: revisa código sem executar
- Análise Dinâmica: testa aplicações em execução
- Identifica: XSS, SQL injection, referências inseguras
Monitoramento de Pacotes
Rastreia segurança de pacotes de terceiros, bibliotecas e dependências.
- SCA (Software Composition Analysis): identifica pacotes desatualizados/vulneráveis
- Compara com NVD e avisos de vendors
- Políticas de governança: auditorias regulares, aprovação de novos pacotes
Validação de Remediação
- Re-scanning: escaneia novamente após correção
- Auditoria: revisa passos e documentação
- Verificação: checagens manuais, logs, testes
Relato de Vulnerabilidades
- CVSS: score 0-10, métricas de explorabilidade e impacto
- Elementos do relatório: impacto potencial, recomendações, relato oportuno, formato claro
5️⃣ Alerta e Monitoramento
Ferramentas de Monitoramento
1. Monitores de Rede
- SNMP: coleta dados de switches, roteadores, firewalls (CPU, memória, temperatura)
- SNMP traps: eventos notáveis (falha de porta, superaquecimento)
2. NetFlow (Flow Collector)
- Metadados de tráfego (5-tuple: IPs, portas, protocolo)
- Identifica padrões, malware, C2, tunelamento
- IPFIX: padrão IETF baseado no NetFlow da Cisco
3. Monitores de Sistema e Logs
- Logs de sistema (disponibilidade) e segurança (autorizações)
- Revisão regular é crítica - não apenas após incidentes
4. Monitores de Aplicação e Cloud
- Heartbeat, sessões, largura de banda, CPU/memória, condições de erro
- Cloud: largura de rede, status de VM, saúde de aplicação
5. Scanners de Vulnerabilidades
Reportam total de vulnerabilidades não mitigadas por host.
6. Antivírus (EPP)
- Detectam malware por assinatura, integração com UEBA e IA
- Configurados para bloquear automaticamente e gerar alertas
7. DLP (Data Loss Prevention)
Medeia cópia de dados marcados, restringe mídias/serviços não autorizados.
6️⃣ SIEM e SOAR
SIEM (Security Information and Event Management)
Software que coleta e correlaciona dados de segurança.
Coleta de Dados - 3 Tipos:
- Baseado em Agente: instalado no host, filtra e normaliza dados
- Listener/Collector: hosts empurram logs via syslog
- Sensor: capturas de pacotes e flow de tráfego
Agregação e Normalização
- Parsers para diferentes fontes (Windows, Linux, switches, firewalls)
- Normaliza datas para timeline única
Atividades do SIEM
- Correlação: regras lógicas (AND, OR) para detectar incidentes
- Threat Intelligence Feeds: associa dados observados a indicadores conhecidos
- Alertas: Log only, Alert, Alarm (crítico)
- Dashboards e Relatórios: executivo, gerencial, conformidade
- Arquivamento: retenção para forense e compliance
SOAR (Security Orchestration, Automation and Response)
- Automatiza validação e remediação de alertas
- Playbooks: guiam resposta a incidentes
- Integração com firewalls e produtos de endpoint
- Ações como quarentena com um clique
Ajuste de Alertas (Alert Tuning)
⚠️ ALERT FATIGUE: Falsos positivos consomem tempo de analistas e podem fazer perder alertas reais!
- Refinar regras de correlação
- Silenciar alertas para log-only
- Redirecionar floods para grupos dedicados
- Monitorar volume e feedback de analistas
- Machine Learning para ajuste automático
7️⃣ DLP (Data Loss Prevention)
Componentes
- Servidor de Política: configura regras, registra incidentes, relatórios
- Agentes de Endpoint: aplicam política em clientes (mesmo offline)
- Agentes de Rede: escaneiam comunicações na fronteira
Funcionamento
- Escaneiam conteúdo estruturado (bancos) e não estruturado (emails, documentos)
- Bloqueiam transferências para USB, email, IM, mídia social
- Extensão para cloud via proxy ou API
Remediação em DLP
| Ação |
Descrição |
| Alert Only |
Cópia permitida, incidente registrado |
| Block |
Usuário impedido de copiar |
| Quarantine |
Acesso negado (arquivo criptografado/movido) |
| Tombstone |
Arquivo substituído por descrição da violação |
8️⃣ Testes de Penetração (Pentest)
Tipos de Conhecimento
⚫ Black Box
Sem informação (simula atacante externo)
⚪ White Box
Conhecimento completo (código, arquitetura)
🔘 Gray Box
Informação parcial (simula ameaça interna)
Equipes de Segurança
- Red Team: hackers éticos (ataque)
- Blue Team: defesa do sistema
- Purple Team: combinação ofensiva e defensiva
- White Team: árbitros/gerentes do engajamento
Documentação Pré-Teste
- Scope of Work (SOW): quem, o quê, quando, onde, por quê, pagamento
- Rules of Engagement (ROE): tipo de teste, manipulação de dados, notificações
Ciclo de Vida do Pentest
1. ReconhecimentoFootprinting, OSINT
2. ScanningEnumeração, portas
3. Ganhar AcessoExploração, pivoting
4. Manter AcessoBackdoors, rootkits
5. ReportarDocumentação
Tipos de Testes de Penetração
- Physical: tailgating, lock picking, bypass de alarmes
- Integrated: holístico (redes, apps, físico) - ofensivo + defensivo
- Continuous: automação em ambientes CI/CD
💡 DICAS FINAIS PARA PROVA:
- Ciclo VM: Identificação → Avaliação → Priorização → Remediação → Verificação → Monitoramento
- EOL = sem patches, altamente vulnerável
- False Negative (não detectar) é MAIS GRAVE que False Positive
- Credentialed scan é mais profundo que non-credentialed
- Threat feeds: OTX (open), IBM X-Force (proprietário)
- Pen Test vs Bug Bounty: estruturado vs comunidade global
- SIEM: correlação | SOAR: automação de resposta
- DLP: Alert, Block, Quarantine, Tombstone
- Black Box: sem info | White Box: completo | Gray Box: parcial