CISEF - Segurança Cibernética: Uma Questão de Sobrevivência

Sumário
Apresentação
	Sobre a certificação EXIN
Introdução
Capítulo 1 - Introdução à Segurança Cibernética / Sistemas De Computador
	Arquitetura dos Computadores e Sistemas Operacionais
		Componentes de Um Sistema de Computação
		A Evolução dos Sistemas Operacionais
		Como Funciona um Sistema Operacional?
		Principais Sistemas Operacionais
	Segurança nos Sistemas de Um Computador
		Riscos, Ameaças e Vulnerabilidades
		Exemplos de Medidas de Segurança de Sistemas de Computador
		Exemplos de Medidas de Segurança de Sistemas Informáticos
		Princípios da Tríade A-I-C nas Infraestruturas de TI
		INTEGRIDADE
		CONFIDENCIALIDADE
		Controles de Segurança que Garantem a Confidencialidade
		DISPONIBILIDADE
		Métricas da Disponibilidade
	Estrutura da Política de Segurança de TI
	Padrões de Classificação de Dados
	Usuário – O ponto mais fraco na segurança de uma infraestrutura de TI!
Pratique o que Aprendeu
Gabarito de Respostas
Capítulo 2 - Segurança nas Infraestruturas de TI / Os 7 Domínios
Os 7 Domínios De Uma Infraestrutura Típica De TI:
	Domínio do Usuário
		Como Funciona o Domínio do Usuário?
		Responsabilidades no Domínio do Usuário
		Relação: Riscos, Ameaças, Vulnerabilidades vs. Estratégias de Mitigação no Domínio do Usuário
	Domínio da Estação de Trabalho
		Como funciona o Domínio da Estação de Trabalho?
		Responsabilidades no Domínio da Estação de Trabalho
		Relação: Riscos, Ameaças, Vulnerabilidades vs. Estratégias de Mitigação no Domínio da Estação de Trabalho
	Domínio LAN
		Os Componentes Físicos do Domínio LAN
	Elementos Lógicos do Domínio LAN
		Como Funciona o Domínio LAN?
		Responsabilidades no Domínio LAN
		Relação: Riscos, Ameaças, Vulnerabilidades vs. Estratégias de Mitigação no Domínio LAN
	Domínio LAN-para-WAN
		Exemplos de Portas TCP e UDP
		Como Funciona o Domínio LAN-para-WAN?
		Responsabilidades no Domínio LAN-para-WAN
	Relação: Riscos, Ameaças, Vulnerabilidades vs. Estratégias de Mitigação no Domínio LAN-para-WAN
	Domínio WAN
		Como Funciona o Domínio WAN?
		Responsabilidades no Domínio WAN
		Relação: Riscos, Ameaças, Vulnerabilidades vs. Estratégias de Mitigação no Domínio WAN
		Problemas de Segurança na Conectividade Fornecida pelo Provedor para o Domínio WAN
	Domínio de Acesso Remoto
		O Perigo que Ronda as Backdoors dos Modems Analógicos
		Como Funciona o Domínio de Acesso Remoto?
		Responsabilidades no Domínio de Acesso Remoto
		Controles de Segurança no Domínio de Acesso Remoto
		Relação: Riscos, Ameaças, Vulnerabilidades vs. Estratégias de Mitigação no Domínio de Acesso Remoto
	Domínio de Sistema/Aplicativo
		Como Funciona o Domínio de Sistemas/Aplicativo?
		Responsabilidades no Domínio Sistema/Aplicativo
		Dados – O Tesouro Guardado no Domínio de Sistema/Aplicativo
		Relação: Riscos, Ameaças, Vulnerabilidades vs. Estratégias de Mitigação no Domínio Sistema/Aplicativo
		A Importância dos Controles de Segurança
Pratique o que Aprendeu
Gabarito de Respostas
Capítulo 3 - Aplicações e Bancos de Dados/Problemas de Segurança e Contramedidas
Sobre o desenvolvimento dos aplicativos
	Tipos de Aplicativos
	Tipos de Arquitetura de Sistemas
Métodos do Ciclo de Vida de Desenvolvimento de Sistemas
	Ciclo de Vida do Sistema (SLC)
		Ciclo de Vida de Desenvolvimento de Sistemas (SDLC)
Fases dos Ciclos de Vida de Desenvolvimento de Sistemas
	Um pouco mais sobre o Descarte dos Equipamentos
	Sobre os Testes de Sistemas
Certificação e Credenciamento
	Certificação
	Credenciamento
Modelo Cascata
Modelo Tradicional (Em Cascata) vs. Métodos Ágeis
Problemas de Segurança no Ciclo de Vida de Desenvolvimento de Sistemas
	Banco de Dados
		Tipos de linguagem SQL
Sistema De Gerenciamento De Banco De Dados (SGDB)
Problemas vs. Contramedidas no Desenvolvimento de Aplicativos e Bancos de Dados
	Vulnerabilidades Em Dispositivos Incorporados e Sistemas Ciberfísicos
		TOP 10 DE VULNERABILIDADES OWASP:
		TOP 10 Contramedidas para Vulnerabilidades OWASP:
		Ainda Sobre Vulnerabilidades...
	SQL Injection
		Para que serve?
		Como funciona?
		Exemplos de SQL Injection
Aspectos Relevantes Sobre a Segurança no Ciclo de Vida de Desenvolvimento dos Softwares
Pratique o que Aprendeu
Gabarito de Respostas
Capítulo 4 – Redes TCP/IP
A Evolução da Telecomunicação
Protocolo
	Protocolos TCP e IP
	Outros Tipos de Protocolos
		IPv4 e IPv6
		HTTP (Hypertext Transfer Protocol)
		IPSec
		SSH (Secure Shell)
		SSL (Secure Socket Layer)
		TLS ( Transport Layer Security)
		DNS (Domain Name System)
		VNC (Virtual Network Computing)
		S/MIME (Secure/Multipurpose Internet Mail Extensions)
		VOIP (Voice Over Internet Protocol)
		SNMP (Simple Network Management Protocol)
		SMTP (Simple Mail Transfer Protocol)
		POP3 (Post Office Protocol 3)
		UDP (User Datagram Protocol)
		FTP (File Transfer Protocoll)
		ARP (Address Resolution Protocol)
		Desafio e Resposta
		Ethernet
Endereçamento IP
	ICMP
	Ping
	Traceroute
	Ataque Smurf
Nós
Hubs e Switches
	Hubs
	Switches
Roteadores
	Configurando um Roteador
Ligação de Nós
	Elementos da Topologia Estrela
	Modelo OSI
	Camadas do Modelo OSI e Suas Funções
	Como os Protocolos Atuam nas Camadas
Categorias de Riscos de Segurança de Rede
	Categorias de Risco
	Reconhecimento de Rede
	Escuta de Rede
	Negação de Serviço da Rede
Firewalls
	Regras
	Técnicas de Implantação de Firewall
		Firewalls de Fronteira
		Firewalls de Sub-rede Filtrada (OU DMZ)
		Firewalls de Várias Camadas
VPN
	Tecnologia VPN
	Controle de Acesso à Rede (NAC)
Redes Sem Fio
	Pontos de Acesso sem Fio (WAPS)
	O Perigo Está no Ar...
	Controles de Segurança de Rede Sem Fio
	Criptografia Sem Fio
	Beacon de SSID
	Filtragem de Endereço MAC
Pratique o que Aprendeu
Gabarito de Respostas
Capítulo 5 – Computação em Nuvem
Características da Computação em Nuvem
	Nuvem Privada
	Nuvem Comunitária
	Nuvem Pública
	Nuvem Híbrida
Modelos/Tipos de Serviço em Nuvem
	SaaS, ou Software Como um Serviço
		Exemplos de usabilidade do SaaS
		Vantagens do SaaS
	PaaS, ou Plataforma Como um Serviço
		Definições dos tipos de PaaS:
		Usabilidade dos tipos de PaaS
		Vantagens de uma PaaS
	IaaS ou Infraestrutura Como um Serviço
		Vantagens de uma IaaS
	PaaS ≠ IaaS
	SECaaS, ou Segurança como um Serviço
		Vantagens da SECaaS
	IDaaS, ou Identidade Como um Serviço
		Vantagens da IDaaS
	BaaS, ou Backup Como Um Serviço
		Vantagens do BaaS
Os Riscos da Computação em Nuvem
	Criptografia
	Armazenamento e Arquivamento de Dados
	APIs
	Relação Cliente vs. Provedor
	Garantia de Provedores
	Bloqueio de Fornecedor
	Gerenciando Riscos
	Risco = Ameaças vs. Vulnerabilidades
Pratique o que Aprendeu
Gabarito de Respostas
Capítulo 6 – Criptografia
Um Pouco da História da Criptografia
	Princípio de Kerckhoffs
Conceitos e Definições Básicas no Processo Criptográfico
Tipos de Cifras
	Cifras de Transposição
	Cifras de Substituição
		CAESAR
Metodologias de Encriptação – Conceitos
	Criptografia Simétrica vs. Criptografia Assimétrica
	Criptografia Simétrica
		Confidencialidade Simétrica
	Criptografia Assimétrica
		Confidencialidade e Autenticidade
		Vantagens da Criptografia Assimétrica
		Desvantagens da Criptografia Assimétrica
A Criptografia na Segurança da Informação
	Confidencialidade
	Integridade
	Autenticação
	Não Repudio
Requisitos Comerciais e de Segurança para Criptografia
Criptoanálise
Como as Assinaturas Digitais Fornecem Autenticidade e Não Repúdio?
	Sobre o Não Repúdio
Como o Hashing Pode Fornecer a Integridade da Informação Digital
Os Principais Padrões de Hash
Infraestrutura de Chave Pública (PKI)
	Processos
	Certificados Digitais
Tecnologia e Exemplos Práticos de SSL / TLS
Tecnologia e Exemplos Práticos de IPSec
O que Podemos Concluir em Relação à Criptografia na Segurança da Informação?
Pratique o que Aprendeu
Gabarito de Respostas
Capítulo 7 – Gerenciamento de Identidade e Acesso
	Gerenciamento de Identidade e Acesso – Conceito
Identificação vs. Autenticação
Autenticação vs. Autorização
	Principais Tecnologias de Autenticação e Autenticação de Dois Fatores
	Biometria
Single Sign-On (SSO)
	Vantagens do SSO
	Desvantagem do SSO
	Gerenciamento de Senha
A Autorização no Gerenciamento de Identidade e Acesso
	Princípios da Usabilidade
		Princípio Necessidade de Saber (NEED-TO-KNOW)
		Princípio Separação (Ou Segregação) de Deveres (SOD)
	Princípios da Usabilidade vs. Autorização
Controles de Acesso
	Controle de Acesso Físico
	Controle de Acesso Lógico
Especificações e Funcionalidade do OPENID CONNECT e OAUTH
Pratique o que Aprendeu
Gabarito de Respostas
Capítulo 8 – Explorando Vulnerabilidades
Vulnerabilidade - É preciso conhecer para mitigar!
Malwares
	Exemplos de Malwares
		Vírus
		Worms
		Rootkits
		Spyware
		Adware
		Spam
Tipos de Ameaças
	Ameaças de Negação ou Destruição
	Ameaças de Alteração
	Ameaças de Divulgação
Categorias e Tipos de Ataques
	Invasão Total (Full Penetration)
		Cavalo de Tróia
		Porta dos Fundos (Backdoor)
		Falsificação de Endereço (Spoofing)
		Ataque Unicode
		Ataque de Bypass
	Ataque de Negação de Serviços (DoS)
		Mas, nem tudo é ATAQUE DoS...
		Ataque Distribuído de Negação de Serviços (DDoS)
	Roubo ou Divulgação de Informações
	Engenharia Social
		Phishing
		Pharming
	Outros Exemplos de Ataques
		Ataques de Força Bruta
		Ataques de Dicionário
		Ataques de Repetição
		Ataques de Disfarce (Masquerading)
		Ataques de Espionagem
		Smurf
		Ataques de Sequestro (Hijacking)
		Man-in-the-middle (Homem-no-meio)
		Sequestro de Navegador
		Sequestro de Sessão
Os Atores do Crime Cibernético e suas Ferramentas
	Hacker de Chapéu Branco (White Hat Hacker) = Hacker Ético
	Tipos de Pentests
		White Box (Com total conhecimento)
		Black Box (Sem conhecimento)
		Fase 1: Reconhecimento inicial (Footprinting)
		Fase 2: Determinação do serviço (Scanning)
		Fase 3: Enumeração
		Fase 4: Ataque e obtenção de acesso.
		Fase 5: Escalonamento de privilégios e manutenção do acesso.
		Grey Box (Com conhecimento limitado)
		Ferramentas para Pentest
	Hacker de Chapéu Preto (Black Hat Hacker) = Hacker “Cracker”
	Hackers de Chapéu Branco vs. Hackers de Chapéu Preto
	Hacker de Chapéu Cinza (Grey Hat Hacker)
	Script Kiddies
	Hacktivistas
Ferramentas Usadas Para Crimes Cibernéticos
	Scanners de Vulnerabilidade
	Scanners de Porta
	Sniffers
	Wardialer
	Keyloggers
Como os Cibercriminosos Exploram Vulnerabilidades
	Reconhecimento
	Mapeamento (Scanning)
		Lista de Serviços
	Análise/Exploração de Vulnerabilidade
		Invasão e Acesso
		Escalada de Privilégios
		Apagando Trilhas
		Manter e Expandir o Acesso
Pratique o que Aprendeu
Gabarito de Respostas
Conclusão
Glossário
Simulado Oficial EXIN
	Prova
Gabarito de Respostas
Cupom de Desconto
Literatura