AMM3 - Atividade Modular do Módulo 3 Bootcamp Analista em Segurança Cibernética Defensiva

Prévia do material em texto

GOOGLE CIBERSECURITY E SECURITY+
Ameaças: São elementos ou eventos adversos que não possuímos controle que tem o potencial de explorar vulnerabilidades. 
Riscos: São o potencial de perda ou dano quando uma ameaça explora uma vulnerabilidade. 
Vulnerabilidades: Referem-se a fraquezas ou falhas em um sistema que podem ser exploradas por meio de ameaças, feitas por atores maliciosos, como hackers ou malwares, que visam comprometer a segurança.
Informações de saúde protegidas (PHI): Informações relacionadas à saúde ou condição física ou mental passada, presente ou futura de um indivíduo
Informações de identificação pessoal (PII): Qualquer informação usada para inferir a identidade de um indivíduo. (Nome, Telefone, endereço)
Informações sensíveis de identificação pessoal (SPII): Um tipo específico de PII que se enquadra em diretrizes de manuseio mais rigorosas. (Cartões de crédito, CNPJ, CPF)
IDS (INTRUSION DETECTION SYSTEM)
Sistema de detecção de intrusos, refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal-intencionados.
O IDs possuí dois órgãos em seu monitoramento, são eles:
· NIDS - Baseado em monitoramento da rede
· HIDS - Baseado em monitoramento de máquina, é a última linha de defesa do IDS, ele verifica se as máquinas estão infringindo alguma regra do perímetro de segurança.
IPS (INTRUSION PREVENTION SYSTEM)
É uma ferramenta de segurança de rede (que pode ser um dispositivo de hardware ou software) que monitora continuamente uma rede em busca de atividades maliciosas de usuários e toma medidas para preveni-las, incluindo relatar, bloquear ou removê-las, quando ocorrem.
O IPs possuí dois órgãos em seu monitoramento, são eles:
· HIPS - Ele vai tomar decisões de respostas ao incidente que está sendo relatado no HIDS.
O HIPS tem acesso até ao kernel da máquina, podendo configurar acessos a arquivos e pastas.
· NIDS - Ele vai parar o ataque na rede encerrando os pacotes e acessos indesejados.
FRAMEWORKS DE SEGURANÇA DA INFORMAÇÃO
Um framework de segurança da informação é uma série de processos que são usados para definir políticas e procedimentos em torno da implementação e gerenciamento contínuo de controles de segurança da informação em um ambiente corporativo.
nist (National Institute of Standards and Technology)?
NIST pode-se dizer também como cybersecurity birthday attack. é uma agência sediada nos EUA que desenvolve vários frameworks de conformidade voluntária que as organizações do mundo todo podem usar para ajudar a gerenciar os riscos. Quanto mais alinhada uma organização estiver com a conformidade, menor será o risco.
O NIST tem 5 grupos principais, são elas:
· 
· Identificar 
· Proteger
· Detectar
· Responder
· Recuperar
Possuí 108 controles distribuídos em 23 categorias.
CIS (Centro de Segurança da Internet) ?
O CIS é uma organização sem fins lucrativos com várias áreas de ênfase. Ele fornece um conjunto de controles que podem ser usados para proteger sistemas e redes de computadores contra-ataques. O CIS também fornece controles acionáveis que os profissionais de segurança podem seguir se ocorrer um incidente de segurança.
O CIS possuí 153 ações dívidas em 18 controles e 3 grupos
· IG1 (Pequeno porte) - 56 ações 
· IG2 (Médio porte) - +74 ações (Total 130 ações de SegInfo)
· IG3 (Grande porte) - +23 ações (Total 153 ações de SegInfo)
Seus principais controles são:
· Inventário e controle de ativos de hardware.
· Inventário e controle de ativos de Software.
· Configuração segura de permissões de usuários.
· Controle de acesso.
· Gerenciamento contínuo de vulnerabilidades.
· Auditoria do histórico de acessos.
· Proteção de e-mail e navegação em browser.
Organização Internacional de Padronização (ISO)
A ISO foi criada para estabelecer padrões internacionais relacionados à tecnologia, fabricação e gerenciamento entre fronteiras. Ela ajuda as organizações a melhorarem seus processos e procedimentos de retenção de pessoal, planejamento, desperdício e serviços.
Principais funções da família ISO são:
· Avaliação de riscos 
· Continuidade de negócios
· Auditoria de controles
· Segurança em cloud 
São 114 controles distribuídos em 14 grupos.
Mitre ATT&CK
É um framework que categoriza táticas e técnicas usadas por adversários em ataques cibernéticos. Ele organiza informações em uma matriz que abrange todas as fases de um ataque, desde o reconhecimento até a execução de objetivos, utilizado amplamente, auxilia na compreensão das ameaças, na melhoria da segurança cibernética e no desenvolvimento de estratégias de detecção e resposta a incidentes.
CONTROLE DE SEGURANÇA
São salvaguardas projetadas para reduzir Riscos de segurança específicos. Portanto, eles são usados juntamente com os frameworks para garantir que as metas e os processamentos de segurança sejam implementados corretamente e que as organizações atendam aos Requisitos de conformidade regulamentar.
· Identificação e documentação das metas de segurança.
· Definição de diretrizes para atingir as metas de segurança.
· Implementação de processos sólidos de segurança.
· Monitoramento e comunicação dos resultados
CVE
É um sistema global de numeração e identificação de vulnerabilidades em sistemas de computadores. Cada CVE é um identificador único atribuído a uma vulnerabilidade específica e é composto pelo ano de emissão, seguido por um número.
CVE-2024-12345 é um exemplo de um identificador de CVE.
C=Common
V=Vulnerabilities and
E=Exposures
CVSS 
É um sistema de pontuação comum para avaliar a gravidade das vulnerabilidades de segurança em sistemas de computadores. A pontuação resultante varia de o a 10.
CWE 
É um sistema de classificação de fraquezas de segurança em sistemas de computadores. Ele fornece uma lista padronizada e uma linguaguem comum para descrever diferentes tipos de fraquezas e vulnerabilidades que pode conter nos sistemas.
Ao contrário do CVE, que fornece identificadores únicos para vulnerabilidades específicas, o CWE se concentra em categorizar as causas raíz desses problemas, como por exemplo erros de programação, práticas inseguras e outras falhas que podem levr a vulnerabilidade.
TIPOS DE AMEAÇAS
Phishing: É o uso de comunicações digitais para enganar as pessoas e fazê-las revelar dados confidenciais ou implantar software mal-intencionado.
Spear Phishing: Ataque direcionado a uma pessoa ou grupo de pessoas.
Whaling: Ataque direcionado para executivos.
Vishing: Ataque por meio de VoiP, ligações telefônicas. (Sorteios, PIX, Bancos)
Smishing: Ataque por meio de SMS. (Sorteios, PIX, Bancos)
Business-to-Business Compromise (BEC): Ataque vem de uma origem conhecida, e-mails e textos conhecido pelo usuário a fim de obter informações financeiras/ativo do alvo.
Evil twins: São ataques de cibersegurança em que os atacantes criam redes sem fio falsas para imitar redes legítimas em locais públicos. Usuários desavisados que se conectam a essas redes podem ter seus dados sensíveis interceptados, credenciais roubadas ou dispositivos infectados com malware. 
PRETEXTING: É uma técnica de engenharia social em que os atacantes criam pretextos falsos para obter informações confidenciais das vítimas. Eles podem se passar por pessoas de confiança por meio de e-mails, telefonemas ou mensagens, manipulando as vítimas para divulgar senhas, números de contas ou outras informações sensíveis.
Rubber ducky: É um dispositivo USB infectado que simula um teclado e executa comandos pré-programados quando conectado a um computador.
Rootkits:
Scareware:
TIPOS DE ATAQUE
QUEBRA DE SENHA
Uma quebra de senha é uma tentativa de acessar dispositivos, sistemas, redes ou dados protegidos por senha. 
· Força bruta
· Tabela arco-íris
Obs.: As quebras de senha se enquadram no domínio de comunicação e segurança de rede no CISSP.
ATAQUE FÍSICO
Um ataque físico é um incidente de segurança que afeta não apenas os ambientes digitais, mas também os ambientes físicos onde o incidente é implantado. 
· Cabo USB malicioso
· Unidade flash maliciosa
· Clonageme desnatação de cartões
Obs.: Os ataques físicos se enquadram no domínio de segurança de recursos no CISSP. 
ATAQUE À CADEIA DE SUPRIMENTOS
Um ataque à cadeia de suprimentos visa sistemas, aplicativos, hardware e/ou software para localizar uma vulnerabilidade em que o malware possa ser implantado. Se enquadrar nos domínios de segurança e Gerenciamento de Riscos, arquitetura e engenharia de segurança e operações de segurança no CISSP.
ATAQUE CRIPTOGRÁFICO
Um ataque criptográfico afeta formas seguras de comunicação entre um remetente e o destinatário pretendido.
· Aniversário
· Colisão
· Downgrade
Obs.: Os ataques criptográficos se enquadram no domínio da comunicação e da segurança de rede no CISSP.
Ataques man-in-the-middle 
Ocorrem quando um adversário intercepta e altera comunicações entre duas partes sem o conhecimento delas, buscando capturar dados sensíveis ou realizar atividades maliciosas. Para isso, o atacante se posiciona entre o remetente e o destinatário, podendo usar técnicas como ARP spoofing ou DNS spoofing. 
Ataques de injections
São vulnerabilidades cibernéticas nas quais invasores inserem um código malicioso em sistemas por meio de campos de entrada, como formulários web. Alguns exemplos são a injeção SQL, XSS e a injeção de comandos, permitindo acesso não autorizado a dados, execução de scripts maliciosos e controle do sistema afetado. 
Sniffers de rede: São ferramentas de software que capturam e analisam o tráfego de rede. Amplamente utilizados por administradores de rede, analistas de segurança e pesquisadores, eles monitoram o tráfego em tempo real, analisam protocolos de rede e ajudam a identificar atividades maliciosas, como ataques de hackers e tráfego de malware.
TIPOS DE AGENTES DE AMEAÇAS
SÃO TIPOS DE AMEAÇAS: Ameaça Direta, Indireta, Explícita, Implícita E Condicional
Ameaças Persistentes Avançadas
As Ameaças persistentes avançadas (APTs) têm experiência significativa no acesso à rede de computadores de uma organização sem autorização. As APTs tendem a pesquisar seus alvos (por exemplo, grandes corporações ou entidades governamentais) com antecedência e podem permanecer sem serem detectadas por um longo período. Suas intenções e motivações podem incluir:
· Danificar a infraestrutura essencial, como a rede de poder e os recursos naturais
· Obter acesso à propriedade intelectual, como segredos comerciais ou patentes
Ameaças internas
As ameaças internas abusam de seu acesso autorizado para obter dados que podem prejudicar uma organização. Suas intenções e motivações podem incluir:
· Sabotagem
· Corrupção
· Espionagem
· Acesso ou vazamento de dados não autorizados
Hacktivistas
Hacktivistas são agentes de ameaças movidos por uma agenda política. Eles abusam da tecnologia digital para atingir seus objetivos, que podem incluir:
· Manifestações
· Propaganda
· Campanhas de mudança social
· Fama
MALWARE
É um software projetado para danificar dispositivos ou redes de computadores. Há muitos tipos de malware.
Obs.: Todo vírus é um Malware, mas nem todo Malware é um vírus.
VÍRUS: Código malicioso escrito para interferir nas operações do computador e causar danos aos dados e ao software. Um vírus precisa ser iniciado por um usuário (ou seja, um agente de ameaça), que transmite o vírus por meio de um anexo malicioso ou download de arquivo.
WORMS: Malware que pode se duplicar e se espalhar pelos sistemas por conta própria. Ao contrário de um vírus, um worm não precisa ser baixado por um usuário. Em vez disso, ele se auto-replica e se espalha de um computador já infectado para outros dispositivos na mesma rede.
RANSOMWARE: Ataque malicioso em que os agentes da ameaça criptografam os dados de uma organização e exigem pagamento para restaurar o acesso.
SPYWARE: Malware usado para coletar e vender informações sem consentimento. O spyware pode ser usado para acessar dispositivos. Isso permite que os agentes de ameaças coletem dados pessoais, como e-mails particulares, textos, registros de voz e imagem e localizações.
USB BAITING: Um agente de ameaças deixa estrategicamente um pendrive com malware para que um funcionário o encontre e instale, infectando uma rede sem saber.
WATERING HOLE: Um ataque de exploração de segurança na qual o invasor busca comprometer um grupo específico de usuários finais, infectando sites que os membros do grupo costumam visitar (Bancos, Redes Sociais). O objetivo é infectar o computador de um usuário alvo e obter acesso à rede no local de trabalho do alvo e ou informações pessoas, financeiras e de ativos.
EXPLOITS: São peças de código ou sequências de comandos desenvolvidos para tirar proveito de vulnerabilidades específicas em software ou hardware. Eles podem ser utilizados para uma variedade de propósitos, incluindo a execução de códigos maliciosos, obtenção de informações sensíveis ou ganho de controle não autorizado sobre sistemas.
8 Domínios do CISSP
1. SEGURANÇA E GERENCIAMENTO DE RISCOS: Se concentra na definição de metas e objetivos de segurança, na redução de riscos e conformidade, na continuidade dos negócios e na lei. Enfoca na identificação de riscos, avaliação e estratégias de mitigação, além de estabelecer políticas de segurança e princípios de governança para proteger a informação.
2. Segurança de Ativos: Trata da classificação de informações e ativos, determinando as responsabilidades pela proteção dos ativos e gerenciamento de dados sensíveis.
3. Segurança de Engenharia: Focado no design e proteção de sistemas de informação, aplicando conceitos de criptografia, arquitetura de segurança e princípios de design seguro.
4. Comunicação e Segurança de Rede: Examina a proteção dos componentes de rede e a transmissão de dados, incluindo redes seguras, protocolos e mecanismos de defesa contra ataques.
5. Gerenciamento de Identidade e Acesso (IAM): Refere-se aos processos e tecnologias para identificar, autenticar e autorizar usuários e dispositivos, assegurando que tenham acesso apropriado a recursos.
6. Avaliação e Teste de Segurança: Abrange a avaliação da eficácia das medidas de segurança por meio de testes de penetração, auditorias de segurança e revisões de sistemas.
7. Operações de Segurança: Trata das operações diárias de segurança, incluindo administração de incidentes, monitoramento de eventos e desastres de recuperação.
8. Segurança em Desenvolvimento de Software: Enfoca na incorporação de práticas de segurança no desenvolvimento de software e sistemas de informação, incluindo desenvolvimento ágil e segurança em ciclos de vida de desenvolvimento.
Protocolo SSL/TLS
O Protocolo SSL (Secure Sockets Layer) e seu sucessor, o TLS (Transport Layer Security), são protocolos criados para fornecer uma camada adicional de segurança à comunicação na internet.
ETAPAS DE UM PENTEST
Existem frameworks de pentest que servem como controles, manuais e normas para que um pentest seja bem-sucedido, são eles:
· 
· ISSF
· OSSTMM 3
· OWASP TESTING GUIDE
· NIST SP 800-115
1. Planejamento e Reconhecimento
Neste passo você deverá definir o escopo dos testes, objetivos, logística, expectativas, implicações legais e sistemas-alvo, além de escolher qual tipo de teste será mais adequado — por exemplo, um Black Hacker, Grey Hacker ou White Hacker. 
· OSINT
· SHODAN
· The harvester.
2. Escaneamento e Varredura de vulnerabilidades
O agressor realiza pesquisas sobre o alvo, coletando informações relevantes, como endereços IP, nomes ou redes sociais vinculadas ao alvo, e buscando possíveis falhas de segurança.
· Nmap.
· Recon-ng.
· Tcpdump.
· Nslookup.
· Netcat.
3. Invasão e Exploração
Com o mapa das vulnerabilidades, você pode começar a explorar as brechas usando táticas como cross-site scripting, injeção de SQL, backdoors, engenharia social, etc. 
Utilizando vulnerabilidades conhecidas nos sistemas alvo, o atacante se infiltra na rede ou servidor da empresa.
4. Manutenção do acesso
O objetivo desta etapa é verificar se a vulnerabilidade pode ser usada para obter uma presença persistente no sistema explorado. Isso pode envolver a instalação furtivade backdoors ou rootkits.
5. Exploração e alavancagem de privilégios.
Uma vez dentro do sistema afetado, os cibercriminosos exploram as vulnerabilidades existentes e buscam informações confidenciais ou realizações posteriores dos seus objetivos.
Pulverização de senha, ataque em cadeia de suprimentos, exploração de vulnerabilidades.
6. Pós-Exploração ou Relatório de finalização
Nesta etapa realizo a minha missão hacking ou faço o relatório do pentest de tudo que fiz para acessar o sistema e/ou rede da empresa junto com as técnicas utilizadas e meios de acesso.
CRIPTOGRAFIA (Um HASH pode ser revertido com o ataque rainbow table)
Esteganografia
A esteganografia, no contexto da segurança da informação, é uma técnica de ocultação de informações em meios digitais. Ao contrário da criptografia, que se concentra em tornar as mensagens ilegíveis, a esteganografia busca esconder a existência da mensagem, tornando-a imperceptível aos olhos ou ouvidos não treinados.
Transposição 
É a simples troca de posição dos caracteres de uma mensagem, embaralhando-a. Esta troca deve ser feita seguindo-se um padrão que tanto o emissor quanto o receptor conhecem previamente.
Substituição
É aquela em que as letras do texto claro são substituídas por outras letras, nú- meros ou símbolos. 1 Se o texto claro for visto como uma sequência de bits, então a substituição envolve trocar padrões de bits de texto claro por padrões de bits de texto cifrado.
Scytale: Cifra de Transposição Monoalfabética.
Cifra de César: Cifra de substituição monoalfabética.
Cifra de Vigenère: Cifra de substituição Polialfabética.
Cifras Monoalfabéticas e Polialfabéticas
Monoalfabéticas: É a utilização de um único alfabeto em sua composição. 
Polialfabéticas: É a utilização de mais de um alfabeto em sua composição.
Explicando a Cifra de César utilizando a técnica de substituição monoalfabética.
Nós podemos criar o nosso próprio alfabeto e aplicar a cifra de césar nele, por exemplo.
LUCASBDEFGHIJKMNOPQRTVXYZ
Veja que as iniciais do meu alfabeto é LUCAS e essas letras não se repetem.
Na criptografia de substituição monoalfabética, eu utilizaria uma frase no alfabeto normal e utilizaria a cifra de césar para criptografar: EU AMO KETLYN
ABCDEFGHIJKLMNOPQRSTUVWXYZ
LUCASBDEFGHIJKMNOPQRTVWXYZ
Eu trocaria letra por letra, do alfabeto convencional para o meu alfabeto, a frase ficaria: SB LIP HSRIYO
1. Broken Access Control
Esta vulnerabilidade ocorre quando uma aplicação permite que usuários executem ações fora das permissões estabelecidas.
2. Injection
O risco de Injection acontece quando dados não confiáveis são enviados a um interpretador como parte de um comando ou consulta.
3. Cryptographic Failures
Esses problemas surgem quando dados sensíveis não são protegidos adequadamente.
4. Identification and Authentication Failures
Falhas de identificação e autenticação ocorrem quando a aplicação não gerencia corretamente a autenticação, ou seja, a verificação da identidade de um usuário.
TRIADE DA SEGURANÇA DA INFORMAÇÃO E SEUS PROTOCOLOS
Confidencialidade: Está relacionada à proteção dos dados contra acesso não autorizado, garantindo que apenas as partes autorizadas possam ler as informações. O protocolo associado à confidencialidade é o AES (Advanced Encryption Standard), que é um algoritmo de criptografia utilizado para proteger dados.
Integridade: Refere-se à garantia de que os dados não foram alterados ou corrompidos durante a transmissão. O protocolo associado à integridade é o SHA (Secure Hash Algorithm), que é um algoritmo de hash usado para verificar a integridade dos dados.
Autenticidade: Está relacionada à verificação da identidade das partes envolvidas na comunicação, garantindo que os dados realmente vêm de quem dizem vir. O protocolo associado à autenticidade é o RSA (Rivest-Shamir-Adleman), que é amplamente utilizado para a autenticação.
O PSK é usado para autenticar as partes que desejam estabelecer uma conexão segura. Como a chave é conhecida por ambos os lados, ela é usada para verificar que a outra parte possui a mesma chave, garantindo assim que a comunicação é entre entidades confiáveis.
A chave pré-compartilhada pode ser usada como base para a derivação de chaves de criptografia que protegem a confidencialidade dos dados transmitidos. Isso significa que, além de autenticar, o PSK pode ajudar a garantir que os dados permaneçam confidenciais abrangendo também a confidencialidade
image6.png
image1.png
image2.png
image3.png
image4.png
image5.png