Wondershare EdrawMind
Galeria de mapas mentais Notas de Estudo CISSP - Domínio 7 (Operações de Segurança)
- 11
- 1
- 1
Notas de Estudo CISSP - Domínio 7 (Operações de Segurança)
Este é um mapa mental sobre notas de estudo do CISSP - Domínio 7 (Operações de Segurança). O conteúdo principal inclui: questões de revisão e pontos de conhecimento.
Editado em 2024-04-07 15:17:20
- moléculas que compõem as células
A segunda unidade do Curso Obrigatório de Biologia resumiu e organizou os pontos de conhecimento, abrangendo todos os conteúdos básicos, o que é muito conveniente para todos aprenderem. Adequado para revisão e visualização de exames para melhorar a eficiência do aprendizado. Apresse-se e colete-o para aprender juntos!
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 16 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Extração e corrosão de mim. O conteúdo principal inclui: Corrosão de metais, Extração de metais e a série de reatividade.
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 15 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Reatividade de metais. O conteúdo principal inclui: Reações de deslocamento de metais, A série de reatividade de metais.
Notas de Estudo CISSP - Domínio 7 (Operações de Segurança)
- moléculas que compõem as células
A segunda unidade do Curso Obrigatório de Biologia resumiu e organizou os pontos de conhecimento, abrangendo todos os conteúdos básicos, o que é muito conveniente para todos aprenderem. Adequado para revisão e visualização de exames para melhorar a eficiência do aprendizado. Apresse-se e colete-o para aprender juntos!
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 16 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Extração e corrosão de mim. O conteúdo principal inclui: Corrosão de metais, Extração de metais e a série de reatividade.
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 15 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Reatividade de metais. O conteúdo principal inclui: Reações de deslocamento de metais, A série de reatividade de metais.
- Recomendado para você
- Descrição
Modelo de habilidades para responder a perguntas de geografia no exame de admissão à faculdade
- 7
Exame de admissão à faculdade Técnicas de resposta a perguntas de aplicação em língua chinesa
- 4
![Estabelecimento e implementação de sistema de gestão de segurança de elementos de gestão de segurança [Versão prática]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717236196/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Estabelecimento e implementação de sistema de gestão de segurança de elementos de gestão de segurança [Versão prática]
- 9
- 1
- 1
![Discos de ruptura para instalações de segurança [Resumo das Normas]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717237017/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Notas de Estudo CISSP - Domínio 7 (Operações de Segurança)
Pontos de conhecimento
7.1. Compreender e Cumprir as Pesquisas
7.1.1. Compreender e cumprir as pesquisas
Uma investigação geralmente é conduzida após uma resposta a um incidente de segurança (Resposta a Incidentes. IR), com o objetivo principal de coletar e analisar evidências para determinar o que aconteceu e como evitar que um incidente semelhante aconteça novamente.
ponto de foco:
1. Competências profissionais:
Investigações, coleta e processamento de evidências, análise forense digital e muito mais exigem habilidades especializadas específicas. Esses processos exigem precisão e detalhamento, pois qualquer erro pode danificar ou destruir provas.
2. Coordenação e cooperação:
Para titulares de CISSP, eles podem precisar coordenar e colaborar com especialistas apropriados para apoiar o processo investigativo e forense. Isso ocorre porque esses processos exigem habilidades e treinamento especializados para garantir a integridade e a validade das evidências.
3. Processamento de provas:
A forma como as evidências são tratadas é muito importante durante uma investigação. É necessário garantir a autenticidade, integridade e disponibilidade das provas, cumprindo simultaneamente as leis e regulamentos para garantir a sua validade em tribunal.
7.1.2. Coleta e processamento de dados
1. Coleta e processamento de evidências
•Evidências digitais: como registros, gravações, arquivos de computador e componentes de sistema de computador. Como memória ou disco rígido.
·Materiais impressos: como documentos impressos, notas manuscritas, relatórios em papel, etc.
•Se estiver envolvido um delito criminal, será necessário contar com profissionais com experiência em aplicação da lei, e o papel do CISSP é apoiar e atender a quaisquer solicitações desses profissionais.
2. Reúna evidências digitais
Ao conduzir a resposta a incidentes, a coleta de evidências digitais é extremamente importante. As provas digitais são muitas vezes de curta duração, pelo que devem ser recolhidas o mais rapidamente possível para garantir a integridade das provas.
Para garantir a integridade das evidências, aqui estão algumas práticas recomendadas:
•Registre todas as informações: Isso inclui a data, hora e local da operação, as circunstâncias de qualquer evidência coletada e os envolvidos. Isso ajuda a garantir a integridade e a confiabilidade das evidências.
•Faça cópias de evidências: Ao analisar ou investigar evidências, cópias de evidências devem ser feitas sempre que possível para proteger a integridade das evidências originais.
•Use ferramentas de proteção contra gravação: Isso evita alterações ou modificações desnecessárias nas evidências.
•Verificação usando hashes: Isso serve para garantir que os dados usados para análise ou investigação sejam consistentes com os dados originalmente coletados e que nenhuma alteração tenha sido feita nos dados durante o processo.
3. Processar evidências digitais
•A Perícia Digital e Resposta a Incidentes (DFIR) é um processo que envolve a coleta e análise de evidências digitais para investigar e responder a incidentes de segurança.
•O tratamento de evidências digitais exige o cumprimento de determinados processos e padrões, como ISO/EC 27037:2012 e NISTSP 800-86.
•É muito importante manter uma boa cadeia ou custódia, incluindo o registo de todos os processos de provas, desde a recolha até à análise, para garantir a integridade e fiabilidade das provas.
4. Desafios da computação em nuvem
A natureza distribuída e o escopo global da computação em nuvem apresentam desafios únicos para a análise forense digital. Ao coletar evidências de ambientes de nuvem, questões legais e técnicas devem ser consideradas, incluindo questões relacionadas à soberania e jurisdição dos dados
7.1.3. Relatórios e Documentação
Existem princípios fundamentais da cidade a serem seguidos ao lidar com evidências e documentos. Estes princípios aplicam-se não só aos tribunais, mas também a outras situações que envolvam a recolha e a comunicação de provas.
•Precisão:
É crucial garantir que as provas e os documentos não contenham erros. Isto inclui verificar se a evidência é consistente com outras evidências e se a evidência está completa.
•Autenticidade:
As provas devem provir de uma fonte fiável e esta fonte deve ser verificável através da cadeia de custódia. Esta é a chave para garantir a autenticidade das evidências
•Compreensibilidade:
As evidências e a documentação relacionada devem ser compreendidas por todas as partes relevantes, que podem incluir pessoal não técnico. Portanto, sempre que possível, os termos técnicos deverão ser traduzidos para uma linguagem mais compreensível.
•Convincente:
As provas devem formar uma cadeia completa e convincente de provas para que possam ser aceites em tribunal ou noutros ambientes.
•Objetivo:
As evidências devem apoiar de forma independente uma opinião ou afirmação e não devem ser influenciadas por preconceitos ou subjetividade.
•Admissível:
As provas devem atender a certos requisitos legais para serem admissíveis em tribunal. A admissibilidade pode ser afetada pela forma como as provas são recolhidas, processadas e preservadas.
7.1.4. Técnicas investigativas
Quatro técnicas investigativas principais com as quais os profissionais de segurança devem estar familiarizados:
1. Captura de dados
Inclui processos automatizados e manuais para coleta de logs de auditoria, tráfego de rede ou outros dados relevantes. A captura automatizada pode ocorrer por meio de sistemas como SIEMs, que são capazes de detectar e sinalizar automaticamente comportamentos anômalos em grandes quantidades de dados. A captura manual de dados pode incluir a coleta de fotos, gravações de vídeo ou outras evidências físicas no local.
2.Entrevista
Esta é uma técnica de coleta de informações com o objetivo de obter evidências de alguém que conheça as informações relevantes. Isso pode incluir testemunhas, suspeitos ou outras pessoas de interesse. As entrevistas devem respeitar os direitos do entrevistado. Inclusive que podem recusar ou interromper a entrevista. Se permitido, as entrevistas devem ser gravadas.
3.Interrogatório
Uma forma mais formal de entrevista, geralmente conduzida por autoridades policiais ou outros investigadores autorizados. Os julgamentos muitas vezes têm requisitos processuais mais rigorosos para garantir a justiça e validade do resultado.
4. Solicitações externas
Durante o curso de uma investigação, pode ser necessário obter informações de terceiros, como Provedores de Serviços de Internet (ISPs) ou agências governamentais. Isto pode exigir procedimentos legais formais, como a obtenção de um mandado de busca ou outros documentos legais, para obter legalmente as informações necessárias.
7.1.5 Ferramentas, estratégias e procedimentos de perícia digital.
1. Ferramentas
•Ferramentas Forenses: Essas ferramentas incluem software e equipamentos para rastreamento e gerenciamento de casos, estações de trabalho e áreas de trabalho que são segregadas e dedicadas ao trabalho forense para evitar a contaminação das evidências sob investigação. Algumas ferramentas específicas podem incluir bloqueadores de gravação e geradores de imagens de unidade, contêineres Faraday e ferramentas de gravação de vídeo e áudio.
•Ferramentas de análise: Essas ferramentas são utilizadas para processar e analisar os dados coletados, como ferramentas de análise de tráfego de rede (como Wireshark) e ferramentas SIEM.
•Ferramentas de recuperação de dados: Essas ferramentas podem ajudar a recuperar dados excluídos ou substituídos.
• Ambiente experimental: O malware suspeito pode ser executado em um ambiente virtual isolado de outros sistemas para observação e análise seguras.
• Ferramentas de análise de código: incluem descompiladores e ferramentas de análise binária que podem ajudar a compreender e analisar o comportamento e os objetivos do código malicioso.
•Ferramentas de hash: Essas ferramentas podem ajudar a confirmar a integridade dos dados, o que é fundamental para garantir a disponibilidade e a confiabilidade das evidências.
•Kits de ferramentas: são conjuntos de software que contêm um conjunto específico de ferramentas para executar tarefas específicas, como análise forense digital.
2. Tecnologia e procedimentos
Etapas processuais gerais para análise forense:
1) Defina prioridades
As organizações podem ter três prioridades ao responder a um incidente: retornar às operações normais o mais rápido possível, minimizar os danos ou reter o máximo de detalhes sobre o incidente.
2) Determine a fonte de dados
Todas as fontes de dados devem ser rapidamente identificadas e priorizadas para coleta. Por exemplo, alguns dados de log são efêmeros e devem ser capturados antes de serem preenchidos.
3) Planeje coletar dados e executar
Depois de identificar suas fontes de dados, você deve desenvolver um plano e tomar medidas para coletar as informações necessárias.
4) Registrar e preservar a integridade
A recolha de dados é o primeiro elo da cadeia de custódia e os detalhes devem ser registados, incluindo o momento em que as provas foram recolhidas e qualquer processamento realizado nas mesmas.
5) Encontre dados ocultos ou excluídos
Informações importantes necessárias para a investigação podem ter sido excluídas, substituídas ou existir em diretórios ocultos.
6) Realize análises
Uma vez coletados os dados, eles devem ser investigados forenses.
3. Coleta de evidências na nuvem
A natureza da computação em nuvem torna a recolha de provas mais difícil e podem surgir questões jurisdicionais.
7.1.6 Artefatos (por exemplo, computadores, redes, dispositivos móveis)
As evidências físicas na análise forense digital são normalmente rastros digitais, que são rastros digitais deixados quando um usuário ou programa interage com um dispositivo. Um dos principais objetivos da perícia digital é encontrar esses vestígios digitais, pois esses vestígios de atividades são evidências importantes no caso.
1) Fontes comuns de rastros digitais, incluindo: computador (Windows/MacoS/Linux), navegador, armazenamento local, armazenamento em nuvem
2) Fontes de rastreamentos digitais de rede, incluindo: análise NetFlow, análise de pacotes e tráfego de rede malicioso conhecido. A obtenção de rastros digitais de dispositivos móveis nem sempre é fácil, pois os fabricantes de smartphones usam criptografia forte para proteger os dados privados nos dispositivos. É necessário um conjunto especializado de ferramentas e ajuda especializada para capturar rastros digitais de dispositivos móveis. O gerenciamento de dispositivos móveis (MDM) para organizações é uma forma eficaz de fazer isso. Os dispositivos móveis requerem um manuseamento especial, incluindo a sua colocação num Faraday I e a realização de análises numa sala devidamente protegida para evitar que sinais de telemóvel, WiFi, etc. cheguem ao dispositivo para evitar o apagamento remoto.
7.2. Realizar atividades de registro e monitoramento.
7.2.1. Detecção e prevenção de intrusões
7.2.1.1 Sistema de Detecção de Intrusão (IDS)
Principalmente detectando e gerando alertas.
7.2.1.2 Sistema de Prevenção de Intrusões (IPS)
Uma vez detectada uma intrusão, são tomadas diversas acções proactivas, tais como: implementação de regras de firewall para bloquear tráfego malicioso, restauração de ficheiros ao seu estado anterior à corrupção e até encerramento de aplicações, serviços ou servidores para evitar novas intrusões.
7.2.1.3 IDS e IPS baseados em rede e host
IDS e IPS podem ser implantados como variantes baseadas em rede (NIDS e NIPS) ou baseadas em host (HIDS e HIPS).
•Os sistemas baseados em rede são normalmente dispositivos especializados que verificam todo o tráfego da rede em busca de sinais de ataques.
•Os sistemas baseados em host são implantados em terminais de rede específicos, como servidores ou estações de trabalho, geralmente na forma de agentes de software.
7.2.1.4 Métodos de detecção de IDS e IPS
• Detecção baseada em padrões comportamentais, observando se o tráfego se desvia das linhas de base esperadas
•Detecção baseada em assinatura, que verifica o tráfego de rede ou a atividade do host em busca de padrões de ataque conhecidos.
7.2.1.5 Falsos Positivos
Muitos falsos positivos não são uma coisa boa. Portanto, ao usar IDS e IPS, é necessário calibrá-los de acordo com a atividade básica de uma organização específica e evitar ao máximo ataques DoS acidentais.
7.2.2. Gerenciamento de Eventos e Informações de Segurança (SIEM).
SIEM (Security Information and Event Management) é uma tecnologia que combina múltiplas ferramentas e funções. Seu principal objetivo é reunir dados de log espalhados em diferentes sistemas em uma biblioteca central e analisá-los para extrair informações valiosas para identificar potenciais incidentes de segurança. Os principais serviços do SIEM incluem:
1. Centralização: Agregue arquivos de log espalhados em diferentes sistemas em uma biblioteca central para análise e monitoramento.
2. Padronização: Converta dados de log gerados por diferentes sistemas em um formato consistente para pesquisa e correlação.
3 Correlação e detecção: Correlação através de dados especiais para detectar os limites do sistema para as empresas de segurança que operam no sistema.
4. Alertas: assim que os dados forem analisados e processados, o SIEM gerará automaticamente alertas para solicitar que os analistas investiguem, melhorando a eficiência da detecção e resposta a incidentes de segurança.
7.2.3 Monitoramento contínuo
O monitoramento contínuo é uma estratégia de segurança da informação cujo objetivo é detectar e mitigar riscos em tempo hábil, verificando regular e automaticamente a eficácia dos controles de segurança. O objetivo principal desta estratégia é fornecer informações oportunas para permitir que a organização responda rapidamente no caso de uma falha de controle ou falha devido a mudanças na tecnologia ou no ambiente de ameaças.
Consideracoes chave:
Definição do ponto de referência: O monitoramento eficaz requer um conjunto de medidas de base para comparação contínua, que pode ser baseado em uma estrutura de conformidade reconhecida (como PCI-DSS, NIST SP 800, etc.) ou em uma linha de base do sistema (como CIS).
Automação: para monitoramento contínuo, conte com ferramentas automatizadas, como ferramentas de detecção e resposta de endpoint (EDR) e ferramentas de análise de comportamento de usuário e entidade (UEBA).
Frequência: A frequência do monitoramento deve ser determinada com base na prioridade do controle e nos custos avaliados. Isso requer pesar os riscos e o uso de recursos.
Métricas Apropriadas: As métricas definidas para um programa de monitoramento contínuo devem fornecer informações práticas sobre a eficácia dos controles. Isto requer garantir que as métricas sejam mensuráveis para que possam ser monitoradas e melhoradas.
Plano de ação claro: Se forem descobertos problemas durante o monitoramento, deverá haver um plano de ação claro para resolvê-los. Isso inclui solução de problemas, resolução e acompanhamento.
Equilíbrio custo versus valor: O custo de um programa de monitoramento contínuo deve ser equilibrado em relação ao valor obtido com ele. Isto requer uma avaliação abrangente dos benefícios esperados versus custos de implementação para garantir que o investimento seja justificado.
7.2.4 Monitoramento de saída
1) Vazamento de dados e seus métodos:
Uma violação de dados ocorre quando informações confidenciais são transmitidas ilegalmente e saem de uma rede. Os invasores podem aproveitar portas, protocolos e serviços padrão, como e-mail, FTP ou HITTP, para enviar dados. Às vezes, eles até disfarçam suas atividades, disfarçando os dados como fontes comuns de dados de alto tráfego, como o tráfego HTTP.
2) Ferramentas de prevenção de vazamento de dados (DLP)
As ferramentas DLP podem identificar e gerenciar tipos específicos de dados, como verificar a rede em busca de dados confidenciais desconhecidos armazenados na rede, identificar dados confidenciais sendo transferidos pela rede e gerar alertas quando são feitas tentativas de copiar arquivos de arquivos compartilhados. Essas ferramentas podem bloquear temporariamente tal operação e solicitar que o usuário confirme se realmente deseja enviar o arquivo, ou podem até impedir totalmente tal operação.
3)Monitoramento populacional
O objetivo da vigilância demográfica é identificar os dados que entram na rede e evitar que mensagens contendo dados confidenciais, como e-mails, entrem na rede.
4) Monitoramento físico de entrada e saída
As estratégias para monitoramento de entradas e saídas físicas incluem a inspeção da mídia física que entra e sai das instalações para garantir que a transmissão de dados não viole as políticas da organização.
7.2.5 Gerenciamento de registros
1. Importância dos registros:
Brix é uma fonte crítica de informações para atividades de fiscalização de segurança, incluindo monitoramento contínuo e resposta a incidentes (IR). Estruturas como IS027001 e NIST SP 800-53 podem ser usadas para desenvolver uma estratégia de registro. O NIST SP 800-92 fornece requisitos básicos para gerenciamento de dados de log de segurança e processos para padronizar e desagregar as informações coletadas.
2. Eventos de auditoria e definições de valores nacionais:
Uma empresa ou organização precisa determinar quais eventos devem ser registrados e quais eventos podem ser ignorados. Isto precisa ser ponderado em relação às estratégias de risco e segurança para garantir que os dados de log não sejam redundantes nem faltem informações críticas.
3. Principais pontos de dados no log:
Os registos necessitam de registar detalhes suficientes para reconstruir as operações no sistema de informação, incluindo quem executou as operações, o que fizeram e quando ocorreram. Os pontos de dados comuns incluem IDs de usuários ou processos, carimbos de data/hora, identificadores de dispositivos, nomes de objetos, identificadores de políticas, etc.
4 Proteção de dados de registro:
Os dados de registo podem conter informações sensíveis, pelo que a sua confidencialidade e integridade devem ser garantidas. Você pode proteger a integridade da mídia de armazenamento de dados gravando arquivos de log em mídias de armazenamento de alta integridade, como discos WORM. Para logs de aplicativos que possam conter informações confidenciais, o acesso precisa ser restrito para proteger a confidencialidade dos dados.
5. Disponibilidade de dados de registro:
O volume de dados de log aumenta com o tempo, exigindo planejamento de capacidade. Para logs locais armazenados no servidor, você pode implementar um período de retenção mais curto para economizar espaço. Os logs armazenados em uma ferramenta SIEM podem ser retidos por meses, anos ou até para sempre. Os dados de log também podem ser arquivados usando métodos de armazenamento off-line de baixo custo para fornecer custos mais baixos e acesso mais lento.
7.2.6. Inteligência de Ameaças
1. Inteligência sobre ameaças:
A inteligência de ameaças é uma estratégia preventiva que ajuda os profissionais de segurança a identificar e prever ameaças e invasores que possam atingir suas organizações. Essa inteligência pode ser integrada com SIEM e SOAR, e as fontes incluem, mas não estão limitadas a, fornecedores de inteligência de ameaças comerciais, agências governamentais (como CISA nos Estados Unidos), centros de compartilhamento e análise de informações do setor (ISACs) e deep web, dark web, mídias sociais ou blogs, etc.
2. Caça a ameaças:
A caça a ameaças é uma estratégia de defesa proativa que usa análise manual e ferramentas automatizadas para encontrar e analisar dados de ameaças para detectar e defender-se proativamente contra ameaças dentro e fora da organização. Isso pode ser feito nos três níveis a seguir:
1) Nível estratégico: Este nível envolve questões de alto nível, como a necessidade de um diretor de segurança da informação (CISO) para orientar o programa de segurança da organização.
2) Nível tático: envolve detalhes táticos específicos, muitas vezes chamados de indicadores de ameaça (loCs). Esses indicadores são usados para detectar ataques que ameaças específicas podem ter como alvo outros sistemas.
3) Nível operacional: Este nível envolve a compreensão das ferramentas, técnicas e procedimentos (TTPS) do invasor.
7.2.7. Análise do Comportamento de Usuários e Entidades (UEBA)
•Definição da UEBA
A UEBA é uma solução de segurança que utiliza modelos de aprendizagem automática e de análise estatística para definir uma linha de base do comportamento normal ou esperado dos utilizadores e entidades com sistemas de informação. Qualquer desvio desta linha de base esperada será sinalizado como suspeito e usado como entrada para outras ferramentas de segurança para análise posterior.
•Entidades e usuários:
Neste contexto, entidades referem-se a atores não humanos na rede, incluindo hardware (como roteadores e servidores), bem como processos de software, threads ou daemons. Um usuário é um usuário humano que efetua login e interage com um sistema de informação.
•Vantagens da UEBA:
A UEBA fornece monitoramento de segurança e adaptabilidade mais granulares, permitindo que as políticas de segurança sejam personalizadas com base nas necessidades exclusivas de cada organização. Esta abordagem pode evitar restrições e impactos desnecessários em atividades comerciais legítimas, ao mesmo tempo que melhora a relação custo-eficácia das ferramentas de segurança.
•Saída da UEBA:
Os resultados de monitoramento gerados pela UEBA podem servir como informações úteis para outras ferramentas de segurança, como SOAR ou IPS, desencadeando respostas automatizadas e controles de segurança. Por exemplo, se uma máquina potencialmente infectada for detectada, isso poderá desencadear medidas de quarentena de rede ou suspender as credenciais de acesso de um usuário para limitar os danos potenciais que atividades maliciosas podem causar a uma organização.
7.3 Executando o Gerenciamento de Configuração (CM)
7.3.1 Gerenciamento de configuração.
O gerenciamento de configuração (CM) é um processo organizacional chave usado para garantir a consistência e segurança das configurações do sistema de informação. Mantenha a consistência e a segurança do sistema por meio de um processo lógico que começa com a configuração, passa pelo inventário de ativos, define linhas de base e termina com a automação.
1. Provisionamento:
A configuração é a primeira etapa no gerenciamento de configuração. Isso normalmente envolve o uso de uma imagem de linha de base pré-aprovada que atenda às necessidades da organização em termos de configuração de hardware e software, permitindo a rápida implantação de sistemas operacionais e software. Isso reduz o tempo de instalação e possíveis erros.
2. Inventário de Ativos:
Para provisionar de forma eficaz, as organizações devem ter uma compreensão clara de todos os seus ativos, incluindo hardware, software, serviços em nuvem e muito mais. Isto pode ser alcançado através do controle proativo e reativo do inventário de ativos. O controle de inventário proativo registra informações detalhadas à medida que hardware e software são adquiridos, enquanto o controle de inventário reativo adiciona ativos desconhecidos ao inventário à medida que são descobertos.
3. Linha de base:
Depois que todos os ativos forem compreendidos, uma organização pode definir uma linha de base, que é um conjunto estabelecido de padrões organizacionais usados para garantir que os sistemas sejam configurados para atender a esses padrões. No entanto, as linhas de base não são estáticas. À medida que as funções do sistema, as versões do sistema, os aplicativos de patch e os ambientes operacionais mudam, a linha de base pode precisar ser ajustada. Isto requer um processo de gestão de mudanças cuidadosamente projetado para garantir que as mudanças na linha de base sejam cuidadosamente planejadas, testadas e implementadas.
Padrões de referência de referência:
•Guias de Implementação Técnica de Segurança da Agência de Sistemas de Informação de Defesa (DISA STIGs)
•Benchmark da CEI
•Orientação fornecida por fornecedores (ex.: Microsoft, Alibaba Cloud, etc.)
•automação:
As ferramentas de automação desempenham um papel importante no gerenciamento de configuração, visto que os sistemas na infraestrutura são frequentemente complexos e possuem muitas definições de configuração que precisam ser mantidas para manter sua segurança e funcionalidade. Por exemplo, o Active Directory (AD) do Windows Server fornece configurações de Política de Grupo que permitem que administradores de gerenciamento de alterações gerenciem linhas de base de configuração em domínios AD.
7.4 Aplicar conceitos básicos de operação segura
7.4.1 Conheça suas necessidades e tenha menos privilégios
7..4.1.1 Necessidade de saber
Este é um princípio de segurança da informação que gira em torno da ideia de que apenas aqueles que devem aceder a informações específicas devido a responsabilidades profissionais ou requisitos de missão devem ter acesso a essas informações. Simplificando, se alguém não precisa usar as informações para sua função, então não deveria ter acesso a elas.
7..4.1.2 Privilégio Mínimo
Este é outro princípio de segurança da informação que enfatiza a limitação tanto quanto possível do acesso dos utilizadores, concedendo-lhes apenas os direitos mínimos de que necessitam para realizar o seu trabalho. Isso reduz o risco que pode surgir do abuso de privilégios ou se o sistema estiver comprometido.
Dica de exame: A principal diferença entre esses dois princípios é que o princípio “saiba o que você precisa” se concentra nas informações que os usuários podem acessar, enquanto o princípio do “privilégio mínimo” se concentra nas ações que os usuários podem realizar.
7.4.2. Separação de funções
7.4.2.1 Separação de Funções (SOD)
Refere-se à separação de diferentes etapas de um processo de negócios entre várias pessoas para evitar que uma pessoa tenha muitas permissões ou capacidades, reduzindo assim o risco de ameaças internas e atividades fraudulentas.
7.4.2.2 Controle multijogador
O controle multijogador significa que mais de uma pessoa é necessária para realizar uma ação ou tarefa. Isso não significa necessariamente que essas pessoas tenham privilégios iguais ou diferentes, apenas que, por uma questão de equilíbrio, a ação ou tarefa precisa ser executada por várias pessoas.
7.4.2.3 Controle M-de-N
O controle M-De-N também é semelhante ao controle de várias pessoas, mas requer apenas que M de N pessoas capazes de realizar tarefas relacionadas trabalhem juntas para concluir o processo.
7.4.3. Gestão de contas privilegiadas
7.4.3.1 Privilégios
As permissões operacionais (permissões) normalmente concedidas aos usuários no sistema. Essas permissões podem incluir leitura, gravação, modificação de arquivos, execução de programas, acesso a recursos específicos, etc.
7.4.3.2 Contas Privilegiadas
Esta é uma conta com privilégios particularmente elevados no sistema, geralmente um administrador do sistema ou uma conta de superusuário. As permissões dessas contas podem incluir alteração das configurações do sistema, instalação de software, gerenciamento de contas de usuário, etc.
7.4.3.3 Controle de segurança de contas privilegiadas
•Configuração: Os usuários que necessitam de acesso privilegiado devem passar por uma verificação rigorosa para garantir que tenham necessidades legítimas e sejam confiáveis.
•Uso: contas privilegiadas devem ter etapas de autenticação adicionais, como autenticação multifatorial obrigatória, o uso da conta deve ser limitado no tempo e expirar automaticamente, e todas as operações devem ser registradas.
•Auditoria: verificações automáticas ou manuais de registros de contas privilegiadas devem ser realizadas regularmente para detectar qualquer comportamento incomum ou suspeito.
·Desprovisionamento: Ao desprovisionar uma conta privilegiada, é melhor primeiro suspender ou desativar a conta e depois realizar uma revisão para determinar se a conta precisa ser desprovisionada permanentemente.
7.4.4.Rotação de cargos
A rotação de cargos entre funcionários tem dois benefícios principais:
1) Oferece oportunidades de treinamento cruzado, dando aos funcionários a chance de aprimorar suas habilidades e proporcionando mais flexibilidade à organização.
2) Mitigar ameaças internas, como fraude.
7.4.5 Acordo de Nível de Serviço (SLA)
7.4.5.1 Acordo de Nível de Serviço (SLA)
É um acordo firmado entre uma organização e um fornecedor, que estipula os indicadores de disponibilidade e desempenho que os produtos ou serviços fornecidos pelo fornecedor precisam atender, bem como as responsabilidades e obrigações de ambas as partes. Normalmente, os SLAs conterão cláusulas de penalidade para garantir que o fornecedor possa cumprir os seus compromissos e também para incentivá-lo a fornecer melhores produtos ou serviços.
7.4.5.2 Memorando de Entendimento (MOU) e Acordo de Segurança de Interconexão (ISA)
•O MOU e a ISA prestam mais atenção à cooperação e à confiança mútua e geralmente não contêm cláusulas de acordo.
•O MOU é usado principalmente para regular o escopo, os objetivos e os métodos de cooperação entre as duas partes;
•ISA é usado principalmente na área de segurança de rede e estipula as responsabilidades e obrigações de ambas as partes na proteção da segurança da rede e da informação.
7.5. Proteção de recursos do aplicativo
7.5.1 Gerenciamento de mídia
O gerenciamento de mídia exige que as organizações classifiquem, rotulem e rotulem suas mídias de armazenamento de dados e garantam que os funcionários entendam como lidar adequadamente com os dados em diferentes níveis de classificação:
1) Tipos de mídia: incluindo registros em papel, unidades de disco rígido (HDD), unidades de estado sólido (SSD) e armazenamento em ambientes de nuvem.
2) Classificação de dados: Classifique os dados de acordo com a política de classificação da organização para estabelecer as bases para a seleção de medidas de controle apropriadas.
3) Rotulagem e Marcação: Todos os meios de comunicação devem ser rotulados para mostrar o nível de classificação dos dados que contém. Em diferentes circunstâncias, marcas d’água, cabeçalhos/rodapés de arquivos ou metadados podem ser usados para marcação.
4 Processamento: Os usuários devem receber treinamento sobre níveis de classificação e procedimentos de processamento de mídia. Os procedimentos de processamento podem incluir como lidar com dados sensíveis, cumprir os requisitos de destruição, etc.
Desafios da mídia digital: Pode ser difícil rotular corretamente os sistemas de informação com vários arquivos ou dispositivos de armazenamento. As políticas devem fornecer soluções, tais como atribuir meios de comunicação a classificações que contenham o mais alto nível de dados.
7.5.2 Tecnologia de proteção de mídia
As técnicas de proteção dos meios de comunicação incluem a implementação de controlos de segurança, a aplicação do princípio do menor privilégio, o enfoque na proteção física, a garantia da segurança dos meios de comunicação em trânsito e a seleção de métodos adequados de desinfeção e eliminação. Ao mesmo tempo, é também necessária uma gestão adequada dos fornecedores de destruição para garantir a segurança dos dados:
·Implementar controles de segurança: Aplicar as medidas de controle de segurança necessárias de acordo com a classificação dos dados, registrar os processos e procedimentos correspondentes e treinar os usuários.
•Princípio do Menor Privilégio: Limitar o acesso à mídia e implementar medidas de segurança física.
•Proteção Física: Foco na proteção física para lidar com riscos potenciais, como equipamentos perdidos ou roubados. Controles compensatórios, como criptografia de disco, garantem a confidencialidade dos dados.
•Transport Butterfly: Garante a segurança da mídia em trânsito por meio de criptografia, verificação de hash e medidas de proteção física.
•Desinfecção e descarte: Escolha o método de desinfecção e descarte adequado de acordo com sua necessidade, como cobertura, desmagnetização, destruição física ou esmagamento criptográfico. Nas soluções de armazenamento em nuvem, o apagamento criptográfico pode ser o único método de segurança viável.
•Gerenciamento de fornecedores: Garantir que os fornecedores de destruição cumpram os contratos e acordos de nível de serviço, incluindo padrões de segurança física e requisitos de seguro.
7.6. Realizar gerenciamento de eventos
7.6.1. Gestão de eventos de despedida
1. A diferença entre um incidente e um acidente
•Eventos: Itens observáveis, como operações regulares. Geralmente nenhuma ação adicional é necessária.
• Incidentes: eventos não planejados que têm um impacto adverso na organização e exigem que o pessoal de TI, operações e segurança investiguem e remediem em conjunto.
2. Plano de gerenciamento de incidentes:
•Documentar as ferramentas, recursos e processos necessários para identificar, classificar e remediar o impacto de um incidente.
•Contém definições de tipo de incidente, pessoal da equipe de resposta a incidentes, funções e salários, recursos necessários e processos de gerenciamento de incidentes
•A estrutura de resposta a incidentes enfatiza o planejamento antecipado de incidentes e o desenvolvimento de estratégias de resposta apropriadas. Tais como: TL, NIST, ISACA
•Categorizar e priorizar com base na criticidade, impacto e urgência.
Muitas organizações utilizam (P0-P5) para classificar incidentes. P0 é o mais crítico e P5 é o menos crítico de testes e exercícios de resposta a incidentes:
3. Detecção de resposta a incidentes e exercícios
•Teste o plano em situações não emergenciais para identificar lacunas, omissões ou problemas.
•Reduza a confusão ou o desperdício durante um incidente real, treinando os membros da equipe de resposta a incidentes sobre suas responsabilidades por meio de exercícios.
4. Considerações de terceiros:
•Garantir a coordenação adequada com prestadores de serviços externos para permitir que a organização continue operando.
•O plano de resposta a incidentes deve identificar os principais prestadores de serviços externos ou terceiros e documentar as informações de contato.
•Esclareça as funções e responsabilidades de terceiros para que as equipes internas e terceiros possam colaborar no tratamento de incidentes.
7.6.2.
•A detecção de incidentes é uma etapa crítica antes que uma organização possa iniciar uma resposta e envolve integração automatizada (como ferramentas SIEM), ferramentas de segurança (como software antimalware) e detetives humanos.
A estratégia de registo e monitorização de uma organização deve centrar-se na identificação e alerta de potenciais incidentes o mais rapidamente possível; à medida que as capacidades de deteção melhoram e se adaptam, as ferramentas automatizadas e os alertas tornam-se mais precisos;
•Quando um incidente é detectado, os documentos devem ser criados automaticamente para rastrear os esforços e decisões relacionados, acionar o processo de resposta ao incidente e iniciar os recursos apropriados (como um ticket de serviço ou uma lista de verificação) para iniciar uma investigação.
•Os analistas analisam os eventos durante a detecção e realizam pesquisas básicas para determinar se o evento é legítimo ou um falso positivo;
Se o evento for considerado válido, o programa de resposta é iniciado.
7.6.3.
•A triagem é o processo de resposta antecipada que determina a criticidade e a classificação do incidente, e as ferramentas SOAR podem automatizar essa resposta. Se o incidente não puder ser completamente controlado pelo SOAR, o impacto do incidente deverá ser determinado e uma equipe de RI com recursos apropriados deverá ser estabelecida.
O plano inclui orientações sobre cenários, seguindo procedimentos documentados e verificações para garantir uma resposta coordenada. O coordenador de RI ou líder de equipe precisa tomar decisões com base nas informações disponíveis e coordenar as respostas da equipe.
•A equipe de RI é obrigada a coletar e preservar evidências imediatamente, seguindo padrões rígidos para garantir que as informações coletadas possam ser utilizadas posteriormente. O relatório deve registrar com precisão o que aconteceu antes, durante e depois do incidente, incluindo um resumo da detecção do incidente, etapas detalhadas, informações coletadas e quaisquer evidências de TTP (táticas, técnicas, procedimentos), etc.
Extensão: A estrutura VERIS da Verizon fornece uma abordagem estruturada para capturar e gerenciar dados de RI para orientar as atividades da equipe de RI. Mais detalhes podem ser encontrados em veriscommunity.net.
7.6.4.
•O objetivo da fase de mitigação é reparar o incidente. Entenda os motivos e distribua os recursos necessários.
•A mitigação concentra-se na contenção rápida do incidente e na prevenção da propagação do impacto. Pode incluir soluções de curto e longo prazo.
•Isolar ou conter um incidente normalmente envolve desabilitar o sistema ou componente problemático, dependendo do tipo de incidente.
•As ações de mitigação devem seguir diretrizes de resposta pré-estabelecidas para reduzir o estresse na tomada de decisões e aumentar a eficiência.
•O registo e o relatório das ações tomadas durante o processo de mitigação ajudarão a avaliar o impacto do incidente e apoiarão a tomada de decisões subsequente.
•Reuniões regulares de check-in garantem que as partes interessadas entendam a situação atual e ajam de acordo.
7.6.5. Relatórios
•Os relatórios são contínuos durante todo o processo de RI e envolvem diferentes partes interessadas.
•Relatórios internos, incluindo: relatórios informais e formais para fornecer informações sobre o status do incidente e a tomada de decisões aos membros da equipe de RI e à gerência.
•Relatórios externos, que podem envolver: organizações governamentais, reguladores do setor, agências de aplicação da lei, parceiros de negócios, fornecedores, prestadores de serviços, usuários, clientes e o público.
• Relatórios de violação de dados, sujeitos a: diversas leis (GDPR, etc.), regulamentos e estruturas de segurança (PCI, etc.), que geralmente exigem relatórios às autoridades reguladoras dentro de um determinado período de tempo e podem exigir notificação direta aos indivíduos afetados.
7.6.6.
•O principal objetivo da recuperação é restaurar as operações normais, e os esforços de recuperação podem começar imediatamente após a descoberta e continuar até que o incidente termine completamente. A fase de recuperação termina quando a organização retorna aos níveis normais de operação de serviço.
•Nem todos os incidentes envolvem recuperação, como violações de políticas de segurança que simplesmente resultam em disciplina dos funcionários.
Se o incidente resultar numa reclamação BC/DR, a fase de recuperação poderá continuar até que a reclamação seja resolvida.
7.6.7.
•A remediação é uma atividade estratégica de longo prazo que visa eliminar as causas básicas dos incidentes e resolver vulnerabilidades.
. A correção pode incluir maior treinamento, bloqueio de remetentes de e-mail maliciosos ou implementação de ferramentas de segurança de e-mail. Medidas organizacionais de longo prazo, como pessoal ou recursos de segurança adicionais, também podem servir como medidas corretivas.
•Durante o período de remediação, taxas/compensações monetárias poderão ser pagas a reguladores, clientes ou usuários afetados.
7.6.8.
As lições aprendidas são uma parte importante da revisão e melhoria do processo de RI após a solução de um incidente.
Seu propósito é duplo:
1) Identificar processos de RI que precisam de melhorias;
2) Aborde a causa subjacente ou raiz para evitar que o incidente aconteça novamente.
Normalmente, um relatório post-mortem ou pós-ação deve ser facilitado por uma parte neutra para garantir que os factos e indicadores sejam devidamente registados para apoiar os esforços de melhoria.
7.7. Inspeção de operação, manutenção e medidas preventivas
7.7.1 Firewalls (por exemplo, próxima geração, aplicações web, redes)
Um firewall é um dispositivo de controle de acesso usado para isolar e controlar o fluxo de informações para diferentes partes de uma rede. Eles analisam o tráfego e aplicam regras para determinar se o tráfego deve ser encaminhado (permitido) ou descartado (negado).
7.7.1.1 Tipos de firewalls
1•Inspeção estática de pacotes (sem estado): Esta é a primeira geração de firewalls que se concentra na filtragem baseada em regras de informações de cabeçalho de pacotes.
2. Firewall com estado: Baseado na primeira geração, o firewall de segunda geração adiciona uma compreensão do contexto de comunicação (estado) e fornece proteção mais flexível e inteligente.
3. Firewall de aplicativo Web (WAF) e gateway de API: Esses tipos específicos de firewall não correspondem diretamente a uma determinada geração de firewall, mas são soluções dedicadas para cenários de aplicativos específicos (como aplicativos Web e APIs).
4. Firewall baseado em host: Também não corresponde diretamente a uma determinada geração de firewalls, mas é uma proteção implantada em um único host para fornecer uma camada adicional de segurança além do firewall da rede.
5. Firewall de próxima geração (NGFW): Muitas vezes considerado a terceira geração de firewalls, integra vários recursos de segurança. Como firewall com estado, gateway API, detecção de intrusão e serviços VPN, etc., fornecendo um firewall de segurança de rede mais abrangente
7.7.1.2 Grupo de Segurança
Este conceito surge em redes definidas por software (SDN) e ambientes de nuvem e não está diretamente relacionado a uma geração específica de firewall. Eles são funcionalmente semelhantes aos firewalls, mas são mais flexíveis e escaláveis em ambientes virtualizados.
7.7.2. Sistemas de Detecção de Intrusão (DS) e Sistemas de Prevenção de Intrusão (IPS).
7.7.2.1 Sistema de Detecção de Intrusão (IDS)
1. Função: Detectar tentativas de invasão do sistema.
2. Digite:
•Sistema de Detecção de Intrusão de Rede (NIDS): Localizado na rede e utilizado para observar todo o tráfego.
•Host Intrusion Detection System (HIDS): implantado em um host específico para monitorar o tráfego.
3. Como funciona: Um dispositivo passivo que analisa tráfego ou atividade e detecta atividades que correspondam a padrões maliciosos ou que se desviem da operação normal ou esperada do sistema.
4. Resposta: Gera um alerta que requer ação humana.
7.7.2.2 Sistema de Prevenção de Intrusões (IPS)
1. Função: Detectar e reagir a tentativas de invasão do sistema.
2. Digite:
•Network Intrusion Defense System (NIPS): Localizado dentro da rede e observando todo o tráfego.
•Host Intrusion Prevention System (HIPS): implantado em hosts específicos para monitorar o tráfego.
3. Como funciona: um dispositivo ativo que analisa tráfego ou atividade e detecta atividades que correspondam a padrões maliciosos conhecidos ou que se desviem da operação normal ou esperada do sistema.
7.7.2.3 Modelos e locais de implantação
•Resposta: Tomar ações preventivas automaticamente, como implementar novas regras de firewall.
1. NIDS/NIPS
Localização: Limite da rede para visibilidade ideal.
Desvantagens: Pode ser difícil lidar com ambientes virtualizados porque o tráfego entre máquinas virtuais não passa pelos switches
2. ESCONDIDOS/QUADRIS
Prós: Ajuda a resolver problemas de visibilidade do tráfego.
Desvantagens: Custo adicional de licença, sobrecarga de processamento e problemas de compatibilidade com endpoints.
7.7.3 Lista Branca e Lista Negra
Também conhecida como lista de permissão/lista de negação, uma lista de entidades que são explicitamente permitidas ou explicitamente negadas, como aplicativos, endereços IP, pontos de extremidade de rede ou tráfego de rede originado de um país específico.
Método de implementação: tecnologia de rede (como firewall, VPN) e outras ferramentas (como sistema operacional, loja de aplicativos, cliente de e-mail)
7.7.4. Serviços de segurança fornecidos por terceiros.
Ao considerar serviços de segurança de terceiros, avalie os prós e os contras e certifique-se de escolher um provedor de serviços com um forte programa de segurança interno.
1. Vantagens dos serviços de segurança de terceiros:
•Custos mais baixos
•Perícia
2. Desvantagens dos serviços de segurança de terceiros:
•Controle inferior
•Risco de terceiros serem alvos
•Despesas adicionais de gerenciamento de terceiros
3. Serviços comuns de segurança de terceiros:
•Centro de Operações de Segurança (SOC): operações SOC parcial ou totalmente terceirizadas
• Análise Forense Digital e Resposta a Incidentes (DFIR): Como uma extensão da vigilância contínua, fornecida pelo MSSP
Inteligência de ameaças: Fornece informações sobre ameaças potenciais à organização, que podem ser combinadas com monitoramento contínuo, avaliação de riscos e tecnologia SOAR
7.7.5.
1. Conceitos básicos de sandbox:
é um ambiente isolado com capacidade limitada de conexão com recursos fora da sandbox.
2. Cenário de aplicação sandbox:
•Análise de vírus: execute malware em máquinas virtuais isoladas. Prevenir a infecção de outros sistemas
•Prova de conceito: experimente em um ambiente isolado sem afetar a integridade dos dados do sistema de produção
3. Sandbox forçado por software:
Controle o comportamento do tempo de execução do aplicativo por meio de um conjunto restritivo de regras
Exemplo: o sistema iOS da Apple restringe o acesso de aplicativos a dados e funcionalidades
4. Gerenciamento de dispositivos móveis (MDM) e sandbox:
Adicione uma camada extra de segurança ao seu smartphone
Um aplicativo específico é instalado no telefone do usuário que permite acesso aos dados organizacionais, mas restringe o acesso a dados externos
7.7.6 Honeypots e Redes Honeypot
1. Definição de honeypot/honeynet:
•Informações usadas para detectar ou coletar tentativas não autorizadas de acesso a dados e sistemas de informação
Os honeypots parecem ser recursos valiosos, mas na verdade não contêm dados importantes.
2. O papel do honeypot/honeynet:
•Distraia os invasores e proteja alvos de alto valor
•Coletar informações do invasor, como endereço IP
3. Questões jurídicas:
•Existem questões legais relativas ao uso de honeypots/honeynets em diferentes jurisdições, particularmente no que diz respeito à armadilha
4. Honeypots/honeynets não devem ser criados para atrair alvos ou ser usados para capturar bandidos, mas devem ser usados como ferramentas de observação passiva
Serviços de honeypot de terceiros:
• Fornece uma maneira simples de implantar e monitorar dispositivos honeypot
• Lidar com desafios legais relacionados ao honeypot e evitar problemas de armadilha
•Alertas gerados podem ser integrados a ferramentas SIEM ou SOAR
7.7.7.
1. Desenvolvimento antimalware:
O primeiro software antivírus (A/V), à medida que as ameaças evoluíram, foi gradualmente substituído por software antimalware (A/M).
2. Método de implantação:
Adote um modelo de defesa em camadas para garantir que o tráfego e a atividade sejam minuciosamente verificados para detectar comportamentos indesejados
Pode ser implantado em recursos críticos, como servidores de e-mail, servidores de compartilhamento de arquivos e ferramentas de monitoramento de rede
3. Evolução mais recente:
•Solução Endpoint Detection and Response (EDR): combina recursos A/M, firewall de host, monitoramento de integridade de arquivos e UEBA
•Serviço gerenciado de detecção e resposta (MDR): combina recursos de detecção com serviços de segurança de terceiros para lidar com riscos de segurança de endpoint
4. Métodos de detecção e resposta:
• Ferramentas baseadas em assinatura: encontre arquivos específicos ou padrões de atividade associados a malware conhecido
•Detecção heurística: depende de análise estatística de padrões de atividade para detectar comportamento potencialmente malicioso
• Ações pós-detecção: colocar arquivos ou sistemas afetados em quarentena, gerar alertas
•Integração de alertas: integre-se com ferramentas SIEM para monitoramento e resposta centralizados ou com SOAR para resposta automatizada a incidentes
7.7.8. Ferramentas baseadas em aprendizado de máquina (ML) e inteligência artificial (IA)
1. Vantagens de Al e ML em ferramentas de segurança:
• Detecte e responda a incidentes com mais rapidez
•Se configurado corretamente, o erro humano pode ser eliminado da tomada de decisões
2. Potenciais desvantagens de Al e ML:
A natureza de caixa negra da tomada de decisões: é difícil detetar erros ou compreender os resultados, pelo que pode ser difícil agir com base em alertas.
7.8. Implementar e apoiar o gerenciamento de patches e vulnerabilidades.
7.8.1. Gerenciamento de patches
Um patch é uma atualização de software usada para resolver uma vulnerabilidade ou problema específico de gerenciamento de patch;
•Múltiplos atores: pesquisadores, desenvolvedores e pessoal de apoio.
•O processo comum de patch de segurança inclui: detecção de vulnerabilidade, lançamento de patch, avaliação de aplicabilidade de patch, teste de patch, aplicação e rastreamento de patch, reversão (se houver problemas) e atualizações de documentação do sistema.
•O gerenciamento de patches pode envolver processos internos e serviços de terceiros.
• A análise de composição de software (SCA) é outro elemento de terceiros para gerenciamento de vulnerabilidades e patches.
7.8.2. Gestão de vulnerabilidades
Práticas de gerenciamento de vulnerabilidades:
•Caça a ameaças: procura por ameaças que possam explorar vulnerabilidades desconhecidas.
•Verificação de vulnerabilidades: detecta automaticamente vulnerabilidades conhecidas, como configurações inseguras ou software sem patch.
•Confronto Vermelho-Azul: A equipe vermelha realiza testes de alvo em ativos específicos e a equipe azul conduz a defesa.
•Testes de penetração e recompensas de bugs: testes manuais para encontrar vulnerabilidades.
•Automatize processos e fluxos de trabalho de gerenciamento de vulnerabilidades usando ferramentas SOAR.
7.9. Compreender e participar do processo de gestão de mudanças
7.9.1. Gestão de Mudanças
1. Etapas de gerenciamento de mudanças:
1) Crie uma solicitação de mudança: documente o propósito, a justificativa, a pessoa responsável, os recursos necessários e o impacto esperado da mudança.
2) Revisão de mudanças: O comitê de controle de mudanças ou conselho consultivo de mudanças (CCB ou CAB) conduz uma revisão para avaliar o valor comercial, o impacto e os riscos potenciais da mudança.
3) Aprovação de Mudança: Executada pelo responsável conforme plano registrado.
4) Coordenar questões de segurança: Garantir que os processos relevantes sejam seguidos durante a aquisição e implantação de novo hardware.
2. Tipo de alteração:
•Alterações padrão: baixo risco, improvável de ter impacto negativo, pré-aprovadas. Por exemplo: aplique patches padrão, adicione ativos padrão e instale software aprovado.
•Mudanças normais: exigem um processo completo de gerenciamento de mudanças. A implementação é programada de acordo com reuniões regulares do Comitê de Mudança.
•Mudanças emergenciais: responda a emergências, como incidentes de segurança. Tomada de decisão simplificada ou processos mais leves podem ser empregados para equilibrar segurança e velocidade.
7.10. Implementar estratégias de recuperação
7.10.1 Implementar estratégia de recuperação
1- Implementar uma estratégia de recuperação:
Relevante para os objetivos de segurança de disponibilidade, identifique ativos e funções críticas por meio de análise de impacto nos negócios (B/A) e projete estratégias de recuperação para equilibrar necessidades e custos de disponibilidade.
2 indicadores principais de recuperação:
•Recovery Time Objective (RTO): O tempo necessário para restaurar um sistema ou processo usando procedimentos de emergência.
•Recovery Point Objective (RPO): A quantidade de perda de dados que pode ser tolerada no caso de um desastre.
•Tempo de inatividade máximo tolerado (MTD ou MAD): O tempo que uma organização pode sobreviver sem que um ativo ou processo esteja disponível para uso.
3. Estratégia de armazenamento de backup:
•Backup completo: Fazer backup de todos os dados leva mais tempo e ocupa mais espaço.
• Backup incremental: faz backup dos dados que foram alterados desde o último backup completo ou incremental. É o mais rápido, mas leva mais tempo para restaurar.
•Backup diferencial: Faz backup de todos os dados que foram alterados desde o último backup completo, de forma mais rápida e com menores requisitos de armazenamento.
4.3-2-1 Estratégia de backup:
Mantenha pelo menos três cópias dos dados, duas cópias são armazenadas localmente ou no local, incluindo a cópia dos dados mestres, e uma cópia é armazenada em um backup remoto offline.
Integridade e confidencialidade do backup:
•Execute verificações de integridade nos dados de backup.
•Realizar recuperações de teste periodicamente para verificar a integridade dos dados.
•Implemente o mesmo nível ou superior de controles de segurança na mídia de backup que no ambiente de produção.
5. RAID (matriz redundante de discos)
6. Backup na nuvem:
•Serviços em nuvem, como software como serviço (SaaS), configurados para alta disponibilidade, replicação automática de dados e persistência de dados
•Use infraestrutura como serviço (laas) ou plataforma como serviço (paas) como solução de armazenamento de backup.
•Avalie a compensação entre perda de controle físico de dados e economia de custos ao usar serviços em nuvem. Criptografar dados antes de armazená-los em um ambiente de nuvem pode ser uma medida de segurança eficaz.
7.10.2. Estratégia do local de recuperação
1. Configuração do local de recuperação e seleção do local: análise de custo-benefício, velocidade de recuperação, distância do local primário.
2. Site espelho: Alocar permanentemente funcionários, recursos e processos entre vários locais para atender às necessidades de RTO e MTD de curto prazo, mas o custo é mais alto.
3. Tipo de site de recuperação:
•Local frio: instalação vazia, requer configuração de equipamentos e utilidades, maior tempo de recuperação e menor custo.
•Local quente: Possui alguns equipamentos e requer um certo grau de construção.
·Hot site: Possui as mesmas instalações e dados do site principal, é caro, mas ajuda a cumprir o RTO ou RPO de curto prazo.
4. Fornecedores terceirizados: Fornecem serviços de calibração de hotsite e hotsite e compartilham parte dos custos de construção e manutenção.
5. Site móvel: instalações de processamento de dados que podem ser implantadas rapidamente, como racks de servidores em contêineres, adequados para emergências como desastres naturais.
6. Site na nuvem: use serviços em nuvem temporariamente para recuperação quando ocorrer um desastre. Implante rapidamente nova infraestrutura virtual na nuvem com base em infraestrutura como código (lac) e tecnologias de conteinerização semelhantes.
7.10.3.
1 Vários locais de processamento: As organizações podem evitar que o mesmo desastre afete vários locais através da pré-engenharia de processos ou funções em vários locais de processamento distribuídos geograficamente.
· Vantagens: Metadados integrados para sites de multiprocessamento. Possui alta confiabilidade.
•Desvantagens: Maiores custos com aluguéis, pessoal e equipamentos.
2. Desafios técnicos: A replicação e sincronização de dados entre vários locais de processamento pode utilizar soluções como espelhamento de disco ou banco de dados.
3. Suporte a serviços em nuvem: Muitos serviços em nuvem oferecem suporte natural a cenários de aplicativos de sites de multiprocessamento. O armazenamento de dados replicados instantaneamente é um recurso padrão de muitos bancos de dados em nuvem e ferramentas SaaS. Isso resolve o risco de sincronização e replicação de dados entre sites.
Riscos: Mudar para a nuvem ou para um provedor de serviços terceirizado pode resultar em um risco maior de perda de controle dos seus dados.
7.10.4 Resiliência do sistema, alta disponibilidade (HA), qualidade de serviço (QoS) e tolerância a falhas.
1. Flexibilidade do sistema:
Refere-se à capacidade do sistema de resistir a falhas e depende de um projeto que leva em conta as falhas e incorpora ações corretivas.
2. Alta disponibilidade:
Forneça redundância e reencaminhamento dinâmico através de tecnologias como balanceadores de carga ou clustering para garantir a disponibilidade contínua do sistema.
3. Qualidade de Serviço (QoS):
Uma função na tecnologia de rede que prioriza tráfego importante, como dados de missão crítica ou urgentes.
4. Tolerância a falhas:
De acordo com os níveis do Uptime Institute, diferentes níveis de data centers podem fornecer graus variados de tempo de atividade garantido diante de interrupções.
5. Sistema tolerante a falhas:
Sistemas que podem tolerar falhas de hardware, software ou processamento de dados e continuar a operar, como sistemas RAID e de banco de dados.
7.11. Implementar Processos de Recuperação de Desastres (DR).
7.11.1.
A recuperação de desastres concentra-se primeiro em salvar vidas e prevenir danos a indivíduos e, em seguida, em restaurar ou salvar equipamentos, sistemas, instalações e até mesmo dados.
A recuperação de desastres é um subconjunto da continuidade dos negócios que se concentra na restauração de serviços e funções de TI em caso de desastre. A continuidade dos negócios se concentra na continuidade das operações de negócios de uma organização.
Depois que o desastre for contido ou resolvido, use um plano de recuperação de desastres para identificar e executar as etapas necessárias para restaurar as operações no local original ou em um novo local primário de sua escolha.
Processo de resposta:
1. Os profissionais de segurança são frequentemente responsáveis pela resposta inicial a situações de desastre.
2. As ações necessárias para responder a um desastre variam dependendo do tipo de desastre. As pessoas têm capacidades limitadas de tomada de decisão durante situações estressantes, por isso é melhor ter planos de resposta e ação pré-aprovados nos planos de recuperação de desastres e continuidade de negócios.
3. Algumas tarefas que precisam ser abordadas no plano incluem:
1) A vida, a saúde e a segurança do pessoal são a principal preocupação.
2) Conduzir operações de resposta coordenadas com o coordenador designado para desastres ou crises para fornecer foco.
3) Fornecer comunicação clara e consistente às diversas partes interessadas, incluindo funcionários, quadros superiores e, possivelmente, o público ou os responsáveis pela aplicação da lei.
4 Documente todas as operações para apoiar as revisões pós-desastre e forneça as evidências necessárias para seguros ou ações legais.
7.11.2.
O pessoal organizacional selecionado como membro da equipe de resposta deve ser treinado e qualificado para realizar todas as atividades detalhadas no DRP. Estas atividades incluem não apenas procedimentos gerais de emergência, mas o pessoal da equipe de recuperação de desastres também deve ser treinado em atividades como avaliação de danos a instalações e equipamentos, operações de recuperação e salvamento e retomada de operações comerciais.
7.11.3.
Manter as partes interessadas informadas é fundamental e as comunicações de crise devem ter em conta o ambiente dinâmico e fornecer informações claras.
1. Comunique-se com as partes interessadas internas:
•Inclui funcionários e gestores que precisam saber informações sobre o incidente e como participar da resposta.
•Os métodos de comunicação podem ser ativos (como uma árvore telefônica) ou passivos (como mensagens postadas em um site).
2. Comunique-se com as partes interessadas externas:
•O método de comunicação escolhido deve levar em consideração a criticidade de quem o recebe e a mensagem transmitida.
•Inclui clientes, público, parceiros de negócios e fornecedores afetados por emergências organizacionais.
•Obrigações legais ou contratuais podem ditar a forma como as comunicações são conduzidas com partes interessadas externas, tais como avisos de privacidade em caso de violação de dados.
•Use métodos de comunicação ativos e passivos conforme apropriado, como notificar clientes de forma proativa ou emitir novas consultas.
•A comunicação segue o princípio de uma só voz: A organização deve ter uma voz unificada ao comunicar com as partes interessadas externas (como os meios de comunicação social ou o público), e este princípio deve ser incluído como parte da formação.
7.11.4.
1. Avaliação de desastres:
•Semelhante a uma avaliação de riscos, o objetivo principal é identificar impactos e priorizar respostas.
•A natureza e a origem do desastre (tal como provocado pelo homem ou natural) e a prioridade das ações de recuperação (tais como evacuação de pessoal ou encerramento normal e realocação de equipamento para instalações de backup) precisam ser determinadas.
•O processo de avaliação pode ser contínuo e a equipa de resposta deve identificar os impactos actuais e possíveis futuros do evento ou desastre.
2. Resultados da avaliação:
•Devem ser comunicados à administração e aos tomadores de decisão para determinar a direção correta de ação.
•Se existir um bom plano de BCDR, a resposta deverá seguir determinados procedimentos ou etapas e ser adaptada ao desastre específico.
• Estas medidas precisam de dar prioridade à vida, à saúde e à segurança, ao mesmo tempo que consideram o impacto nos clientes, as obrigações regulamentares e os custos diretos e indiretos (tais como perda de receitas e danos à reputação).
3. Pós-avaliação:
•Após a recuperação, avalie o impacto global do desastre ou evento.
•A avaliação deve incluir o custo financeiro geral para a organização (incluindo custos de recuperação e qualquer perda de negócios ou produtividade), bem como informações sobre como melhorar as operações de desastre e continuidade no futuro.
•O registro e a aplicação das lições aprendidas serão discutidos com mais detalhes nos capítulos subsequentes.
7.11.5.
Fase de recuperação:
•Restaurar o local ou instalação original afetada pelo desastre.
•Restaurar funções críticas de negócios.
•Retomada dos níveis normais de serviço nos principais locais.
7.11.6 Treinamento e conscientização
Escreva e teste planos de BC e DR e treine pessoal-chave. Todos os funcionários são obrigados a receber treinamento básico de planejamento de vida, saúde e segurança.
1. Formação avançada:
•Texto das pessoas específicas que consomem cogumelos nos planos C e DR.
•E o papel da equipe de segurança na restauração dos serviços de TI e na garantia dos controles de segurança.
•As equipes de RH, finanças e jurídica podem desempenhar papéis importantes em certos tipos de desastres.
2. Formação regular e sensibilização:
•Garantir que o conhecimento permaneça atualizado.
• Realize exercícios regulares de incêndio ou evacuação.
•Realizar testes e simulações de rotina do plano BC ou DR para treinamento cruzado e atualização do conhecimento do pessoal-chave.
7.11.7.
1. Melhoria e revisão contínua
•Revisão regular dos planos BC e DR
•Revisão formal após a conclusão da recuperação
•Aproveitar as lições aprendidas para otimizar planos e processos
2. Revisão e avaliação
•Identificar pontos fortes e fracos no plano
•Analisar o impacto do comportamento dos funcionários no processo de recuperação
•Conduzir análises post-mortem e de causa raiz
3. Mudar estratégia
•Identificar os pontos fortes em um plano ou resposta
•Identificar potenciais oportunidades de melhoria
•Aplicar as informações coletadas ao programa BCDR e melhorias de processo
7.12. Testando o Plano de Recuperação de Desastres de Incêndio (DRP).
7.12.1 Testando Recuperação de Desastres
1. Leitura/mesa
•O teste BCDR mais simples
•Discutir planos com várias partes interessadas
• Revise as principais informações e processos
2. Passo a passo
• Pratique exercícios em cenários da vida real
•Operações locais com participantes importantes
•Identificar possíveis problemas e suposições
3.Simulação
• Semelhante a uma simulação de incêndio
• Responder a cenários específicos
•Verificar o objetivo do tempo de recuperação (RTO) e o objetivo do ponto de recuperação (RPO)
4. Teste paralelo (paralelo)
•Teste sistemas ativos e de backup simultaneamente
•Garantir que os sistemas de backup possam suportar a carga real
•Descubra erros de configuração ou problemas de backup de dados
5. Interrupção total
•Simule um desastre real
• Alto custo, que pode afetar as operações normais
•Identificar todos os problemas nos planos e processos do BCDR
7.13 Participar no planejamento e exercícios de continuidade de negócios (BC).
7.13.1.1 Participar de planejamento e exercícios de continuidade de negócios.
As principais tarefas para profissionais de segurança e CISSPs no planejamento e execução de continuidade de negócios incluem:
1. Mudanças nos requisitos de segurança durante operações de emergência, fornecer sugestões de mudanças nos requisitos de segurança para implementar ou gerenciar medidas para lidar com novos requisitos
2. Orientações sobre alterações nos planos BC e DR
•Identificar mudanças que precisam ser refletidas no plano (como pessoal, processos ou lições aprendidas de incidentes anteriores)
•Garantir a integridade e disponibilidade de arquivos de plano atualizados
3. Projetar cenários de teste e simulação
• Fornecer às partes interessadas novas cópias do plano (incluindo cópias off-line) e destruir cópias antigas
• Incidentes de segurança podem levar a declarações de desastre, como ataques de ransomware
•Os profissionais de segurança são adequados para desenvolver cenários práticos e servir como facilitadores
•Responder perguntas durante a simulação para ajudar na compreensão
7.14. Implementar e gerenciar a segurança física
7.14.1. Controles de segurança externos
1. Distinguir limites:
•Áreas públicas: estradas, calçadas, saguões, estacionamentos
• Entradas e saídas do local: recepção, porta de entrada, área de carga e descarga
•Instalações externas: gerador de backup, serviços públicos, estacionamento
•Instalações operacionais: espaço de escritório, salas de reuniões
2. Tipo de controle físico:
•Instalações de alta segurança: data centers, cofres, SCIF
•Controles Preventivos: Controles projetados para evitar a ocorrência de incidentes de segurança. Por exemplo, sistemas de controle de acesso, cercas e fechaduras podem impedir a entrada de pessoas não autorizadas nas instalações.
•Controle de ameaças: Ao criar ameaças potenciais, os invasores em potencial terão medo de atacar, reduzindo assim a possibilidade de incidentes de segurança. Por exemplo, câmaras de segurança e sinais de alerta podem fazer com que potenciais atacantes sintam que estão a ser vigiados, reduzindo a probabilidade de cometerem um crime.
•Controles de Detecção: Medidas de controle utilizadas para detectar incidentes de segurança em tempo hábil. Por exemplo, câmeras de segurança, sistemas de detecção de intrusão (IDS) e sensores de movimento podem detectar intrusões não autorizadas ou comportamento anormal.
• Controles compensatórios: controles que fornecem proteção adicional quando outros controles não conseguem prevenir ou detectar completamente incidentes de segurança. Por exemplo, o pessoal de segurança pode ser utilizado para realizar patrulhas temporárias quando os sistemas de controlo de acesso falham.
Controles de recuperação: controles que ajudam a restaurar as operações normais após um incidente de segurança. Por exemplo, geradores de reserva e planos de recuperação de desastres podem restaurar as operações de instalações críticas após um incidente.
•Controles Diretivos: Controles que direcionam o comportamento dentro de uma organização prescrevendo regras e procedimentos. Por exemplo, o treinamento, as políticas e os procedimentos operacionais de segurança podem orientar os funcionários a seguir práticas seguras.
•Controles Corretivos: Controles que tomam medidas para reparar danos ou corrigir erros após a ocorrência de um incidente de segurança. Por exemplo, investigações pós-evento, auditorias de segurança e ações corretivas podem ajudar as organizações a resolver problemas de segurança e evitar que incidentes semelhantes aconteçam novamente.
3. Implementação do controle físico:
•Controles físicos: barreiras, cercas
•Controle técnico: leitor de cartão de identificação
•Controles Administrativos: Políticas e Procedimentos
4. Princípios do Projeto Ambiental de Prevenção ao Crime (CPTED):
•Utilizar paisagismo para fornecer segurança física
•A iluminação desempenha um papel importante na dissuasão do comportamento criminoso
•Considere a localização das janelas e os materiais com base nas necessidades de segurança das instalações
7.14.2. Controles de segurança interna
Os controles de segurança interna são áreas sobre as quais uma organização tem controle direto. O plantio controlado dessas áreas visa proteger a segurança de dados e sistemas. Ao mesmo tempo, também precisamos de prestar atenção à segurança do pessoal.
1. Instalações operacionais:
Essas instalações normalmente têm funcionários permanentemente estacionados nelas e estão sujeitas ao controle de segurança física da organização. Precisamos prestar atenção às medidas de controle, como proteção contra incêndio e controle ambiental, para garantir a segurança do pessoal e do equipamento.
• Detecção e extinção de incêndio: Estabelecer estradas de detecção de incêndio e fumaça e usar spray de água, extinção de incêndio com gás e outros métodos para reduzir o impacto do incêndio no pessoal e no equipamento.
•Controle de acesso: Divida o acesso a diferentes áreas dentro das instalações com base nas permissões dos funcionários e use cartões de acesso ou fechaduras para controlar o acesso.
•Políticas e procedimentos: Treine os funcionários para seguir procedimentos de segurança, como limpeza de mesas e bloqueio de telas, e desenvolver evacuação de emergência e outros aspectos. Materiais: Use materiais de construção apropriados, como paredes, portas e janelas, de acordo com os requisitos de segurança para melhorar a segurança.
2. Instalações de alta segurança:
Essas instalações geralmente incluem salas de armazenamento de evidências, instalações seguras de informações compartimentadas (SCIFs) e salas de servidores ou data centers porque armazenam ativos confidenciais ou de alto valor.
•As instalações de alta segurança precisam implementar medidas adicionais de controle de segurança, como inspeção de equipamentos de entrada e saída, controle de acesso físico em vários níveis, etc.
•Data centers são instalações especiais de alta segurança que exigem habilidades especializadas para serem projetadas e mantidas. Estas instalações exigem um nível mais elevado de segurança e muitas vezes envolvem um orçamento de segurança mais elevado.
•Padrões de projeto de referência, como as Diretrizes de Controle Térmico de Data Center da ASHRAE e as Classificações de Disponibilidade de Equipamentos de Data Center do Uptime Institute.
7.15. Abordando questões de segurança e proteção do pessoal.
7.15.1. Viagem de negócios
1. Segurança do pessoal em viagens de negócios
Quando os funcionários viajam a negócios, as empresas devem garantir a sua segurança, incluindo o fornecimento de seguro, cobertura médica, etc. Em áreas de alto risco, poderá ser necessário fornecer medidas de segurança adicionais, tais como pessoal de segurança ou transporte seguro. Ao mesmo tempo, os funcionários precisam receber treinamento sobre segurança de dispositivos para proteger os dados da empresa contra vazamentos.
7.15.2 Treinamento e conscientização em segurança.
Os métodos para melhorar a sensibilização para a segurança dos funcionários incluem publicidade (fornecendo informações básicas através de cartazes e outros formulários), formação (fornecendo aos funcionários competências específicas para as suas responsabilidades) e educação (compreensão aprofundada do conhecimento teórico e das aplicações práticas). Esses três métodos podem ajudar os funcionários a compreender e responder melhor às ameaças à segurança.
7.15.3. Gestão de emergências
1. Responda a emergências
Durante uma emergência, as empresas precisam se coordenar com as autoridades de resposta a emergências (como médicas, bombeiros, autoridades policiais, etc.). Ao mesmo tempo, é necessário desenvolver métodos de comunicação de backup para fornecer informações críticas quando os canais normais de comunicação estão bloqueados. Situações de emergência também podem exigir a ativação de planos de continuidade de negócios e de recuperação de desastres.
7.15.4.
1. Proteja-se contra a coerção
Coerção ocorre quando um funcionário é forçado a agir em violação à política da empresa devido a ameaças.
Códigos de coerção especiais ou palavras-código são usados para detectar situações de coerção. Esses códigos ou palavras-código devem ser ocultados e alterados regularmente. Além disso, forneça treinamento aos funcionários de alto risco sobre como usar esses códigos e palavras-código.
Revise as perguntas
1 Na arquitetura do sistema mostrada aqui, quais são as técnicas que fornecem tolerância a falhas no servidor de banco de dados? A. Cluster de failover B. Fonte de alimentação ininterrupta (UPS) C. Backup em fita D. Local frio
A
2. Joe é administrador de segurança de um sistema de planejamento de recursos empresariais (ERP). Ele está se preparando para criar contas para vários novos funcionários. Qual acesso padrão ele deve conceder a todos os novos funcionários ao criar contas? A. Permissões somente leitura (somente leitura) B. Permissões de edição (Editor) C. Direitos de administrador (Administrador) D. Sem acesso
D
3. Tim está configurando uma solução de gerenciamento de contas privilegiadas para sua organização. Qual das alternativas a seguir não é uma atividade de gerenciamento privilegiada que deve ser enviada automaticamente para o log de ações do superusuário? A. Limpar entradas de registro B. Restaurar o sistema do backup C. Faça login na estação de trabalho D.Gerenciar contas de usuário
C
Embora a maioria das organizações deseje registrar tentativas de login em uma estação de trabalho, esta não é uma atividade de gerenciamento de privilégios e deve ser enviada automaticamente para o log de ações do superusuário.
4 Quando um dos funcionários da empresa de Alice pediu apoio, ela usou uma palavra-código acordada pela empresa para indicar que o funcionário estava sendo forçado a realizar uma ação. Como é chamada essa condição? A. Engenharia social B. Força C. Força maior D. Síndrome de Estocolmo
B
5. A Jordânia está a preparar-se para apresentar provas em tribunal depois de conduzir uma investigação sobre um incidente de segurança cibernética. Ele é responsável por preparar evidências físicas, incluindo servidores e dispositivos móveis afetados. Qual dos seguintes tipos de provas consiste inteiramente em itens tangíveis que podem ser levados a tribunal? Uma prova documental B. Provas de liberdade condicional C. Prova testemunhal D. Evidência real
D
6.Lauren deseja garantir que seus usuários executem apenas software aprovado pela organização. Qual tecnologia ela deveria implantar? A. Lista negra B. Gerenciamento de configuração C. Lista de permissões D. Lista cinza
C
7.Colin é responsável por gerenciar o uso de tecnologias enganosas de segurança cibernética pela organização. Qual das opções a seguir deve ser usada em um sistema honeypot para consumir o tempo do invasor e alertar o administrador? A. Honeynet B. Pseudodefeito C. Faixa de advertência D.Darknet
B
Uma armadilha (pseudovulnerabilidade) é uma vulnerabilidade falsa em um sistema que pode atrair a atenção de um invasor. Uma rede honeypot é uma rede composta por vários honeypots, criando um ambiente mais complexo para intrusos. A dark web é uma porção do espaço de endereço de rede não utilizado que está livre de atividade de rede e, portanto, pode ser facilmente usada para monitorar atividades ilegais. Um banner de aviso é uma ferramenta legal usada para notificar intrusos de que eles não estão autorizados a acessar um sistema.
8.Toni respondeu a uma solicitação de um usuário para relatar atividade lenta do sistema. Ao verificar as conexões de rede de saída do sistema, Toni percebeu uma grande quantidade de tráfego de mídia social proveniente do sistema. Os usuários não usam mídias sociais quando Quando Toni verificou as contas relevantes, encontrou algumas informações estranhas que pareciam estar criptografadas. Qual é a causa mais provável desse tráfego? Um outro usuário retransmite solicitações de mídia social por meio do computador desse usuário. B. O computador do usuário faz parte de uma botnet. C. Os usuários mentem sobre o uso das mídias sociais. D. Outra pessoa está usando o computador do usuário enquanto ele não está presente.
B
9.John usa balanceadores de carga em todo o mundo por meio de seu provedor de serviços de infraestrutura em nuvem para distribuir seu site Implante em várias regiões. Qual conceito de usabilidade ele está usando? A. Vários locais de processamento B. Sites quentes C. Locais frios D. Honeynet
A
10. Jim deseja identificar sistemas comprometidos na rede que possam estar participando de uma botnet. Ele planejou fazer isso monitorando links estabelecidos com servidores de comando e controle conhecidos. Se Jim tiver acesso a uma lista de servidores conhecidos, qual das técnicas a seguir tem maior probabilidade de fornecer essas informações? A. Registros NetFlow Registro B.IDS C.Registro de autenticação Registro D.RFC
A
Para as perguntas 11 a 15, consulte os seguintes cenários: Gary foi recentemente contratado como o primeiro Diretor de Segurança da Informação (CISO) de uma agência governamental local. A agência sofreu recentemente uma violação de segurança e está tentando estabelecer um novo programa de segurança da informação. Ao elaborar este plano, Gary queria aplicar algumas práticas recomendadas para operações seguras. 11. Ao decidir quais permissões de acesso devem ser concedidas a cada usuário, qual princípio Gary deve seguir para orientar sua decisão sobre as permissões padrão? A. Segregação de funções B. Menor privilégio C. Agregação D. Separação de permissões 12. Ao elaborar o plano, Gary usou a matriz mostrada abaixo. Qual princípio de segurança da informação esta matriz ajuda mais diretamente a aplicar? A. Segregação de funções B. Agregação C. Controle de duas pessoas D. Defesa em profundidade 13Gary criará uma conta para um novo usuário e atribuirá permissões ao banco de dados de RH. Quais são os dois elementos de informação que Gary deve verificar antes de conceder esse acesso? A. Credenciais e necessidade de saber B. Autorização de segurança e necessidade de saber C. Senhas e autorizações de segurança D. Senha e verificação biométrica 14. Gary está se preparando para estabelecer controles ao acessar chaves de criptografia raiz e deseja aplicar uma política de segurança projetada especificamente para operações muito confidenciais. Qual princípio ele deveria aplicar? A. Menor privilégio B. Defesa em profundidade C. Segurança através da ambiguidade D. Controle de duas pessoas 15.Com que frequência Gary e sua equipe devem revisar os usuários quanto ao acesso privilegiado a sistemas confidenciais? (Selecione tudo que se aplica.) A. Realize revisões regulares B. Quando um usuário sai da organização C. Quando um usuário muda de função D. Realizar revisões diárias
B
A
B
D
abc
16. Qual dos termos a seguir é comumente usado para descrever patches não relacionados lançados em coleções de grande escala? A. Patch a quente B. Atualização C. Correções de segurança D. Pacote de serviço
D
17. Tonya está reunindo evidências de uma série de sistemas envolvidos em um incidente de segurança cibernética. Um colega sugeriu que ela usasse um controlador de disco forense de computador durante o processo de coleta. Qual é a função deste dispositivo? A Mascara condições de erro relatadas por dispositivos de armazenamento B. Transmitir comando de gravação para dispositivo de armazenamento C. Interceptar, modificar ou descartar comandos enviados ao dispositivo de armazenamento D. Bloquear dados retornados por operações de leitura enviadas ao dispositivo
C
18. Lydia está processando a solicitação de controle de acesso da organização. Ela encontra uma solicitação de um usuário que possui a autorização de segurança necessária, mas não tem motivo comercial para precisar desse acesso. Lydia recusou o pedido. Que princípios de segurança ela segue? A. preciso saber B. Menor privilégio C. Separação de funções D. Controle de duas pessoas
A
19.Helen é responsável por implementar controles de segurança nas organizações para evitar atividades internas fraudulentas. Qual dos seguintes mecanismos é menos prático para o seu trabalho? A. Rotação de cargos B. Licença obrigatória C. Resposta a incidentes D. Controle de duas pessoas
C
20.Matt deseja garantir que o tráfego crítico da web dentro da empresa seja priorizado em relação à navegação na web e ao uso de mídias sociais. Que técnicas ele pode usar para conseguir isso? A.VLAN B.Qos C.VPN D. ISDN
B
21.Tom está respondendo a um incidente de segurança recente e procurando informações sobre o processo de aprovação de alterações recentes nas configurações de segurança do sistema. Onde ele provavelmente encontraria essa informação? A. Registro de alterações B. Registro do sistema C. Registro de segurança D.Registro do aplicativo
Um não encontrado, lembre-se
22. Os funcionários da empresa de Susan viajam frequentemente para o exterior e precisam se conectar ao sistema da empresa para trabalhar. Susan acredita que estes utilizadores podem ser alvo de conspiração corporativa devido à tecnologia que a empresa está a desenvolver e pretende que sejam incluídas recomendações na formação em segurança para viajantes internacionais. Qual prática de networking Susan deveria recomendar que adotassem? A. Conecte-se apenas a redes WiFi públicas. B. Use uma VPN para todas as conexões. C. Use apenas sites que suportem TLS. D. Não se conecte à Internet durante viagens.
B
23.Ricky está procurando uma lista de vulnerabilidades de segurança da informação em aplicativos, dispositivos e sistemas operacionais. Qual das seguintes fontes de inteligência sobre ameaças seria mais útil para ele? A. OWASP B. Bugtraq C. Boletins de Segurança da Microsoft D.CVE
D
OWASP (Open Web Application Security Project) é uma organização de comunidade aberta e sem fins lucrativos. Atualmente, existem 82 capítulos em todo o mundo com quase 10.000 membros. Seu principal objetivo é discutir e ajudar a resolver padrões de segurança de software da Web, ferramentas e documentos técnicos. compromisso de longo prazo para ajudar governos ou empresas a compreender e melhorar a segurança de aplicações e serviços web. BugTraq é uma lista de discussão de divulgação moderada completa para anúncios e discussões detalhadas sobre vulnerabilidades de segurança de computadores (o que são, como explorá-las e como corrigi-las). O nome completo em inglês de CVE é "Common Vulnerabilities & Exposures". O CVE é como um dicionário, dando um nome público às vulnerabilidades ou fraquezas de segurança da informação amplamente reconhecidas que foram expostas.
24. Ao planear a recuperação de desastres, qual das seguintes opções é normalmente considerada um exemplo de desastre? (Selecione tudo que se aplica.) A. Incidente de ataque de hackers B. Inundação C.Fogo D. Terrorismo
ABCD
25.Glenda deseja realizar um teste de recuperação de desastres e está procurando um tipo de teste que permita a revisão do plano sem interromper as atividades normais dos sistemas de informação e que exija o mínimo de tempo. Qual teste ela deveria escolher? A. Exercício de mesa B. Teste paralelo C. Interromper completamente o teste D. Revisão da lista
D
As revisões da lista de verificação são o tipo de teste de recuperação de desastres menos perturbador. Durante a revisão da lista de verificação, os próprios membros da equipe revisam o conteúdo da lista de verificação de recuperação de desastres e fazem recomendações para alterações no sistema, se necessário. Durante os exercícios práticos, os membros da equipe se reúnem para fazer julgamentos sobre o status operacional do sistema sem fazer quaisquer alterações no sistema de informação. Durante os testes paralelos, a equipe ativou o site de recuperação de desastres para teste, mas o site primário permaneceu operacional. Durante um teste de interrupção completo, a equipe remove o site primário e confirma se o site de recuperação de desastres pode lidar com operações regulares. O teste completo de interrupção é o teste mais completo e mais destrutivo.
26. Qual das alternativas a seguir não é um exemplo de esquema de rotação de fita de backup? A. Esquema Avô/Pai/Filho B. Encontre-se no meio C. Torre de Hanói D. Seis cassetes giradas semanalmente
B
27. Helen está a implementar um novo mecanismo de segurança para conceder direitos administrativos aos funcionários no sistema contabilístico. Ela projetou um processo que exigia que tanto o gerente do funcionário quanto o gerente de contabilidade aprovassem a solicitação antes de autorizá-la. Qual princípio de segurança da informação Helen está implementando? A. Menor privilégio B. Controle de duas pessoas C.Rotação de trabalho D. Segregação de funções
B
28.Frank está considerando usar diferentes tipos de provas em um próximo processo criminal. Qual das alternativas a seguir não é um requisito para que as provas sejam admissíveis em tribunal? A. As evidências devem ser relevantes. B. As evidências devem ser substanciais. C. A evidência deve ser tangível. D. As evidências devem ser obtidas adequadamente.
C
29. Harold concluiu recentemente uma análise de incidentes de segurança. Que documentos ele deve preparar a seguir? A. Documentos de treinamento e aprendizagem B. Avaliação de Risco C. Lista de correções D. Lista de verificação de mitigação
Uma lembrança
30.Beth está criando uma nova Equipe de Resposta a Incidentes de Segurança Cibernética (CSIRT) e deseja identificar os membros apropriados da equipe. Qual dos seguintes grupos normalmente deve ser incluído? (Selecione tudo que se aplica.) A. Segurança da informação B. Agências de aplicação da lei C. Alta administração D. Assuntos Públicos
DAC
31. Sam é responsável por fazer backup do servidor de arquivos principal da empresa. Ele configurou um plano de backup para realizar um backup completo toda segunda-feira às 21h e um backup diferencial no mesmo horário nos demais dias úteis. Com base nas informações mostradas na figura abaixo, quantos arquivos serão copiados para o backup de quarta-feira? Status de modificação do arquivo Segunda-feira, 8h - Criar arquivo 1 Segunda-feira, 10h - Criar arquivo 2 Segunda-feira, 11h - Criar arquivo 3 Segunda-feira do próximo ano às 4 horas - Modificar arquivo 1 Segunda-feira, 17h - Criar arquivo 4 Terça-feira, 8h - Modificar arquivo 1 Terça-feira, 9h - Modificar arquivo 2 Terça-feira, 10h - Criar Arquivo 5 Quarta-feira, 8h - Modificar arquivo 3 Quarta-feira, 9h - Criar Arquivo 6 A. 2 B.3 C.5 D. 6
C
32. Qual das seguintes ferramentas de segurança não gera uma resposta proativa a um incidente de segurança? A.IPS B.Firewall C. IDs D. Software antivírus
C
33.scott é responsável pelo descarte de unidades de disco que foram removidas da SAN da empresa. Se os dados na SAN forem considerados altamente confidenciais pela sua organização, qual das opções a seguir ele deverá evitar? A. Destruição física B. Contratar o fornecedor de SAN para exigir o descarte adequado e fornecer o processo de certificação C. Reformate cada unidade antes de sair da organização D. Use uma ferramenta de limpeza segura como DBAN
C
34. Qual é o termo usado para descrever o conjunto padrão de permissões atribuídas a um usuário quando uma nova conta é criada? A. Agregação B. Transitividade C. Linha de base D.Permissões
D
35. Qual dos seguintes acordos é o documento mais formal que contém expectativas de disponibilidade e outros parâmetros de desempenho entre um prestador de serviços e um cliente? A. Acordo de Nível de Serviço (SLA) B. Acordo de Nível Operacional (OLA) C. Memorando de Entendimento (MOU) D. Declaração de Trabalho (SOW)
A
36 Como diretora de informação de uma grande organização, Clara deseja adotar processos padrão para gerenciar atividades de TI. Qual das opções a seguir se concentra no gerenciamento de serviços de TI e inclui gerenciamento de mudanças, gerenciamento de configuração e acordos de nível de serviço? Esperando por um tema? A.ITIL B. РМВОК C. PCI-DSS D.TOGAF
A
TOGAF é a abreviatura de The Open Group Architecture Framework, que foi desenvolvido pelo The Open Group, uma aliança sem fins lucrativos da indústria de tecnologia que atualiza e reafirma continuamente o TOGAF.
37.Richard está enfrentando problemas de qualidade de serviço de rede na rede de sua organização. O principal sintoma é o pacote O tempo de transferência da origem ao destino é muito longo. Como é chamado esse problema? A. Tremor B. Perda de pacotes C. Mil perturbações D. atraso
D
38. Joe quer testar um programa que ele suspeita conter malware. Que técnica ele pode usar para isolar o programa enquanto ele está em execução? A. ASLR B. Caixa de areia C. Recorte D. Isolamento de processo
B
39 Qual das alternativas a seguir não é um exemplo de desastre natural? Um furacão B. Inundação C. Deslizamento de lama D. Explosão do transformador
D
40.Anne deseja coletar informações sobre configurações de segurança coletando um conjunto de Windows 10 estações de trabalho para construir uma visão holística dos ativos da organização. Qual ferramenta do Windows é melhor para esse tipo de tarefa de gerenciamento de configuração? A.SCCM B.Política de Grupo C. SCOM D. Script Powershell personalizado
A
sccm (System Center Configuration Manager) é a abreviatura interna de Microsoft System Center Configuration Manager. É um excelente software de gerenciamento de desktop que pode coletar inventários de hardware e software e publicar software em computadores clientes; também pode gerenciar atualizações de clientes e até mesmo negar acesso à rede a clientes que não atualizaram os patches a tempo;
41.Javier está verificando se apenas administradores de sistemas de TI podem fazer login no servidor para fins administrativos. Qual princípio de segurança da informação ele está implementando? A. Princípio da necessidade de saber B. Princípio do menor privilégio C. Princípio de controle de duas pessoas D. Princípio da Confiança Transitiva
B
42Qual das alternativas a seguir não é uma medida preventiva básica para proteger sistemas e aplicativos contra ataques? A Implementar um sistema de detecção e prevenção de intrusões. BMantenha os níveis de patch atuais em todos os sistemas operacionais e aplicativos. C. Exclua contas e serviços desnecessários. D Realizar mapeamento forense de todos os sistemas.
D
43. Tim está tentando recuperar informações do disco rígido. Ele é um analista forense. Parece que o usuário está tentando apagar os dados e Tim está tentando reconstruí-los. Que tipo de análise forense Tim está conduzindo? A. Análise de software B. Análise de mídia C. Análise de dispositivos incorporados D. Análise de rede
B
44. Qual das alternativas a seguir é um exemplo de incidente de segurança informática? (selecione tudo que se aplica) A. O backup não foi concluído corretamente B. Acesso ao sistema registrado em logs C. Verificação de vulnerabilidade não autorizada do servidor de arquivos D. Atualizar assinaturas de antivírus
AC
45. Roland é especialista em segurança física em uma organização que mantém uma grande quantidade de equipamentos experimentais caros. Esses dispositivos são frequentemente movidos pelas instalações. Qual das seguintes tecnologias automatizaria melhor o processo de controle de estoque de maneira econômica? A.IPS B. Wi-Fi C. RFID D.Ethernet
C
46. A empresa de Connor sofreu recentemente um ataque de negação de serviço, que Connor acreditava ter sido causado por uma pessoa interna. Se for verdade, que tipo de incidente a empresa sofreu? A. Espionagem B. Violação de confidencialidade C. Sabotagem D. Violação de integridade
C
47.Evan detecta um ataque ao servidor de sua organização e examina uma série de pacotes Bandeira TCP, Como mostrado abaixo. Que tipo de ataque provavelmente ocorreu? A. Inundação SYN B. Inundação de ping C.Smurf D. Fraggle
A
48. Florian está desenvolvendo um plano de recuperação de desastres para sua organização e quer determinar por quanto tempo um serviço específico pode ficar inativo sem causar sérias interrupções nos negócios. Qual variável Florian está calculando? A. RTO (objetivo de tempo de recuperação) B. MTD (Tempo Máximo de Interrupção Aceitável) C.RPO (objetivo de ponto de recuperação) D. SLA (Acordo de Nível de Serviço)
B
49. Quais dos seguintes são normalmente classificados como ataques de dia zero? (selecione tudo que se aplica) A. Um invasor novo no mundo do hacking B Substitua o ataque ao banco de dados pela data 000000 no banco de dados para explorar a falha na lógica de negócios C. Ataques até então desconhecidos pela comunidade de segurança D. Ataque que define a data e hora do sistema operacional para 00/00/0000 e 00:00:00
C
50. Grant está reunindo registros em preparação para possíveis litígios e está preocupado com o fato de sua equipe gastar muito tempo coletando informações que podem ser irrelevantes. Qual conceito nas Regras Federais de Processo Civil (FCRP) ajuda a garantir que tempo e despesas adicionais não sejam adicionados como parte da descoberta eletrônica quando os custos superam os benefícios? A. Revisão assistida por ferramenta B. Cooperação C. Destruir evidências D.Princípio da proporcionalidade
D
51. Durante uma investigação de incidente, os investigadores reuniram-se com um administrador de sistema que pode ter Tenha informações sobre o incidente, mas não seja suspeito. Que tipo de conversas estavam acontecendo nesta conferência? A. Entrevista B. interrogatório C. Uma entrevista e um interrogatório D. Nem entrevista nem interrogatório
A
53. Como parte do seu trabalho de planeamento de continuidade de negócios (BCP), você está avaliando o risco de inundação num bairro. Você fez referência à geosfera de inundação da Agência Federal de Gerenciamento de Emergências (FEMA). Com base nestes factores geológicos, a área está localizada numa zona de inundação de 200 anos. Qual é a taxa de incidência anual (ARO) para a área? A.200 B. 0,01 C.0.02 D. 0,005
D
54. Na maioria das organizações bem defendidas, qual dos seguintes indivíduos representa o maior risco para a segurança? A. Ativista político B. Insiders maliciosos C. Crianças do script D. Atacantes em busca de diversão
B
55. Veronica está considerando implementar um mecanismo de recuperação de banco de dados recomendado por um consultor. Na abordagem recomendada, os backups de banco de dados são movidos da instalação principal para um local off-line todas as noites por meio de um processo automatizado. Que tipo de técnica de recuperação de banco de dados o consultor está descrevendo? A. Registro remoto B. Espelhamento remoto C. Cofre Eletrônico D. Registro de transações
C
Link eletrônico (e-vault em questão): No método de salto eletrônico, ferramentas automatizadas movem backups de banco de dados do servidor de banco de dados principal para um site remoto de forma programada (geralmente diariamente). O log de transações não é apenas uma tecnologia de recuperação, ele armazena todas as alterações realizadas no banco de dados e registra todas as inserções, atualizações, exclusões, confirmações, reversões e alterações no esquema do banco de dados. O registro remoto entrega logs de transações a um site remoto com mais frequência (geralmente de hora em hora). O espelhamento remoto mantém um servidor de banco de dados ativo no site de backup e espelha todas as transações no servidor do site primário de backup
56. Ao projetar o esquema de controle de acesso, Hilda configurou funções para evitar que a mesma pessoa pudesse criar novas contas de usuário e atribuir privilégios de superusuário às contas. A qual princípio de segurança da informação Hilda adere? A. Princípio do menor privilégio B. Segregação de funções C.Rotação de trabalho D. Fique seguro com a obscuridade
B
57.Patrick é responsável pela implementação do programa de caça a ameaças para a organização. Quais são as suposições subjacentes que ele deve usar ao planejar seu Plano de Caça a Ameaças? Um controle de segurança adota uma estratégia de defesa profunda. B. As auditorias podem revelar deficiências de controlo. C. O invasor pode já estar presente na rede. D. Os mecanismos de defesa podem ter vulnerabilidades não corrigidas.
C
58. Brian está desenvolvendo um programa de treinamento para o plano de recuperação de desastres da organização e quer garantir que os participantes entendam o desastre Quando termina o processo de recuperação. Qual dos seguintes eventos marca a conclusão do processo de recuperação de desastres? A. Proteger a propriedade e a vida B. Retomada das operações na instalação de backup C. Retomar as operações na instalação principal D. Desavisar os socorristas
C
O objetivo final do processo de recuperação de desastres é restaurar as operações comerciais normais nos equipamentos primários. As operações das outras três opções também são realizadas durante o processo de recuperação de desastres, mas somente quando o negócio da organização nos equipamentos principais retornar à operação normal o trabalho de recuperação de desastres poderá ser basicamente concluído.
59 Mevanie suspeita que alguém esteja usando malware para roubar recursos computacionais de sua empresa. Qual das seguintes ferramentas de segurança é mais adequada para detectar esse tipo de evento? A.NIDS (Sistema de Detecção de Intrusão de Rede) B.Firewall C. HIDS (Sistema de Detecção de Intrusão de Host) D, DLP (prevenção contra vazamento de dados)
C
60. Zhang San observou que um usuário autorizado de Yiweitong na rede recentemente abusou de sua conta, explorou vulnerabilidades do sistema para atacar um servidor compartilhado e obteve 100% de permissões no servidor. Que tipo de ataque An ocorreu? A. Negação de serviço B. Elevação de privilégio C.Reconhecimento D. Quebra de força bruta
B
61. Kara trabalha na empresa há 15 anos em diversos cargos. Cada vez que ela mudava de cargo, ela ganhava novos privilégios associados a esse cargo, mas nunca os teve tirados dela. Qual conceito descreve o conjunto de privilégios que ela acumulou? A. Permissões B. Agregação C. Transitividade D.Isolamento
B
62. Em que fase do processo de resposta a incidentes o administrador toma medidas para limitar o âmbito do incidente? A. Detecção B.Resposta C. Alívio D. restaurar
C
Para as questões 63-66, consulte o seguinte cenário Ann é profissional de segurança em uma empresa de médio porte e normalmente é responsável pela análise de logs e tarefas de monitoramento de segurança. Uma de suas responsabilidades é monitorar alertas gerados pelos sistemas de detecção de intrusões da organização. O sistema normalmente gera dezenas de alertas por dia, muitos dos quais se revelaram falsos positivos após a investigação. Esta manhã, um sistema de detecção de intrusão emitiu um alerta porque a rede começou a receber níveis anormalmente elevados de tráfego de entrada. Ann recebeu este alerta e começou a investigar a origem do tráfego. 63. Qual é o termo que melhor descreve o que está acontecendo na organização de Ann durante esta fase do processo de resposta a incidentes? A. Ocorrência de segurança B. Incidente de segurança C. Evento de segurança D. Intrusão de segurança 64. Ann continua sua investigação e percebe que o tráfego que acionou o alerta era um tráfego de entrada excepcionalmente alto na porta 53 Tráfego UOP. Qual serviço normalmente usa essa porta? A.DNS B.SSH/SCP C.SSL/TLS D.HTTP 65. Ao analisar melhor o tráfego, Ann percebeu que o tráfego vinha de diversas fontes diferentes e estava inundando a rede. O pacote de entrada é uma resposta a uma consulta que ela não fez no tráfego de saída. Essas respostas são extraordinariamente grandes para seu tipo. Que tipo de ataque Ann deveria suspeitar? A. Reconhecimento B. Código malicioso C. Penetração do sistema D. Negação de serviço 66. Agora que Ann descobre que ocorreu um ataque que viola a política de segurança de sua organização, qual é o termo que melhor descreve o que ocorreu na organização de Ann? A. Ocorrência de segurança B. Incidente de segurança C. Evento de segurança D. Intrusão de segurança
C
A
D
B
67. Frank tenta levar o laptop de um hacker ao tribunal como prova contra o hacker. O laptop continha registros que sugeriam que os hackers cometeram crimes, mas o tribunal decidiu que a busca que levou a polícia a encontrar o laptop era inconstitucional. Qual padrão de admissibilidade impede Frank de apresentar o laptop como prova? A. Materialidade B. Relevância C. Rumores D.habilidade
D
68. Gordon suspeita que hackers invadiram um dos sistemas de sua empresa. O sistema não continha nenhuma informação regulamentada e Gordon desejava investigar em nome da empresa. Ele obteve permissão de seu supervisor para conduzir a investigação. Qual das seguintes afirmações está correta? R. Gordon é legalmente responsável por entrar em contato com as agências de aplicação da lei antes de iniciar uma investigação. B. Gordon não pode conduzir a sua própria investigação do conteúdo. C. A investigação de Gordon pode incluir o exame de discos rígidos, tráfego de rede e qualquer outro sistema ou informação da empresa D. Depois de confirmar a identidade do escritor, Gordon pode "revidar" moralmente.
C
69.Qual das seguintes ferramentas fornece a uma organização o mais alto nível de proteção contra falhas de um fornecedor de software? A. Acordo de Nível de Serviço B. Contrato de Garantia C. Acordo de Assistência Mútua D. Acordo de conformidade com PCI DSS
B
70. Fran está a considerar novas políticas de recursos humanos para o seu banco, a fim de prevenir comportamentos ilegais. Ela planeja implementar uma política de licença obrigatória. Normalmente, qual é o período mínimo de validade da licença compulsória? R. 2 dias B. 4 dias C. 1 semana D. 1 mês
C
71Quais dos seguintes eventos constituem um incidente de segurança? (Selecione tudo que se aplica.) A. Tentativa de invasão de rede B. Intrusão de banco de dados bem-sucedida C. Infecção por malware D. Tentativa bem-sucedida de acessar o arquivo E. Violação da política de confidencialidade F. Tentativas fracassadas de remover informações de áreas seguras
ABCEF
72. Amanda está configurando o firewall da sua organização para implementar filtragem de saída. Qual dos seguintes tipos de tráfego Não deveria ser bloqueado pela política de filtragem de saída da sua organização? (Selecione tudo que se aplica.) A. Verifique rapidamente o tráfego de vários endereços IP na porta 22 B. Tráfego destinado à transmissão C. Tráfego cujo endereço de origem é a rede externa D. Tráfego com endereço de destino da rede externa
abc
73. Ellie é responsável por revisar os logs de autenticação da rede de sua organização. Ela não tem tempo para revisar todos os logs, então decide selecionar apenas logs que tenham quatro ou mais tentativas de autenticação inválidas. Que técnica Ellie está usando para reduzir o escopo do log? A. Amostragem B. Seleção aleatória C. Editar D.Análise estatística
C
74. Você está investigando uma possível infecção por bot na sua rede e deseja realizar uma análise forense das informações transmitidas entre a rede e a Internet. Você acha que esta informação provavelmente está criptografada. Qual é a maneira melhor e mais fácil de obter essas informações ao iniciar uma pesquisa após o evento? A. Captura de pacotes B. Dados NetFlow C. Registros do sistema de detecção de intrusões D. Registros de autenticação centralizados
B
Os dados do Netflow contêm informações como endereço de origem, endereço de destino e tamanho do pacote de todas as comunicações de rede. O registro dessas informações é uma atividade normal. As capturas de pacotes podem fornecer informações relevantes, mas a atividade geralmente ocorre durante uma investigação de atividades suspeitas. Depois que a atividade suspeita termina, as capturas de pacotes não podem ser repetidas, a menos que a organização tenha concluído 100% das capturas de pacotes, mas isso é muito raro. Além disso, o uso da criptografia limita a eficácia das capturas de pacotes. É pouco provável que os registos do sistema de deteção de intrusões contenham informações relevantes porque o tráfego encriptado pode não corresponder à assinatura da intrusão. Os registros de autenticação centralizada não contêm informações sobre o tráfego de rede.
75 Quais das ferramentas a seguir podem ajudar fornecendo modelos de configuração de segurança padrão para sistemas operacionais e aplicativos? Administrador do sistema? A. Diretrizes de Segurança B. Política de segurança C. Configuração de linha de base Configuração D.Run
C
76. Qual dos seguintes tipos de recuperação de desastres envolve fazer backup de um recurso de processamento de backup e usá-lo para transações, mantendo o site primário operacional? A. Teste completo de interrupção B. Teste paralelo C. Aplicativo de lista D. Dedução de desktop
B
77. Em que fase do processo de resposta a incidentes um analista recebe um alerta do sistema de detecção de intrusões e verifica a sua precisão? Uma resposta B. Alívio C. Detecção D.Relatório
C
78. Kevin está desenvolvendo uma estratégia de monitoramento contínuo de segurança para sua organização. Ao determinar a frequência da avaliação e monitoramento Qual das opções a seguir não é normalmente usada? A. Inteligência de ameaças B. Classificação do Sistema/Nível de Impacto C. Ônus da Operação de Controle de Segurança D. Tolerância ao risco organizacional
C
79. Hunter está revendo a estratégia de vigilância da sua organização e identificando novas tecnologias que podem ser implantadas. Sua avaliação mostrou que a empresa não estava fazendo o suficiente para monitorar a atividade dos funcionários nos dispositivos finais. Qual das seguintes tecnologias atenderia melhor às suas necessidades? A. Detecção e resposta de endpoint (EDR) B. Sistema de Prevenção de Intrusões (IPS) C. Sistema de Detecção de Intrusão (IDS) D. Análise do Comportamento de Usuários e Entidades (UEBA)
D
80. Bruce vê muitas atividades suspeitas em sua rede. Após analisar seus registros SIEM, parece que entidades externas estão tentando se conectar a todos os seus sistemas usando conexões TCP na porta 22. Que tipo de varredura esse estranho pode estar conduzindo? A. Verificação de FTP B. Varredura Telnet C. Varredura SSH Verificação D.HTTP
C
Ataques de injeção de SQL foram observados no serviço de banco de dados ativo do 81DeLun. Qual das seguintes ações Dylan provavelmente tomaria durante a fase corretiva do ataque? A. Reconstrua o banco de dados a partir do backup B. Adicione validação de entrada ao seu aplicativo web C Revise os registros do firewall D. Revise os logs do banco de dados
B
82Roger aceitou recentemente um cargo como profissional de segurança em uma empresa que migrou toda a sua infraestrutura de TI para um ambiente IaaS. Qual das alternativas a seguir é provavelmente de responsabilidade da Roger Company? A. Configurar firewall de rede B. Aplicar atualizações do hipervisor C. Patch do sistema operacional D. Limpe a unidade antes de descartá-la
C
83. Qual das técnicas a seguir um desenvolvedor de aplicativos pode usar para testar um aplicativo em um ambiente virtualizado isolado antes de permitir que ele entre na rede de produção? A. Teste de penetração B. Ambiente sandbox C. Teste de caixa branca D. Teste de caixa preta
B
84. Gina é administradora de firewall de uma pequena empresa e instalou recentemente um novo firewall. Depois de ver sinais de tráfego de rede excepcionalmente alto, ela verificou seu sistema de detecção de intrusões e descobriu que um ataque de inundação SYN estava em andamento. Que configuração de firewall Gina pode fazer para prevenir esse ataque de maneira mais eficaz? A. Bloqueie SYN de IPs conhecidos B. Bloquear SYN de IP desconhecido C. Habilite a falsificação de SYN-ACK no firewall D. Desativar TCP
C
85. Nancy está liderando um esforço para atualizar a proteção contra malware de sua organização e deseja adicionar recursos de detecção e resposta de endpoint (EDR). Quais das seguintes operações são normalmente suportadas por sistemas EDR? (Selecione tudo que se aplica.) A. Analise a memória do endpoint, o sistema de arquivos e a atividade da rede em busca de sinais de atividade maliciosa B. Isolar automaticamente atividades potencialmente maliciosas para limitar possíveis danos C. Realizar atividades de pesca simuladas D. Integrar com fontes de inteligência contra ameaças
ABD
86. Allen está avaliando o potencial do uso de aprendizado de máquina e inteligência artificial em seu programa de segurança cibernética. Qual das seguintes atividades tem maior probabilidade de se beneficiar desta tecnologia? A. Detecção de intrusão B. Configuração da conta C. Modificação de regra de firewall D. Eliminação da mídia
A
87. Uma empresa da indústria madeireira teve recentemente uma disputa com um cliente. Durante reunião com seu representante de conta, o cliente se levantou e disse que não havia outra solução. Devemos levar isso a tribunal. °Então ele saiu da sala. Em que momento as empresas da indústria madeireira têm a obrigação de começar a reter provas? R. Imediatamente B. Após receber a notificação da ação judicial do advogado da outra parte C. Após receber a intimação D. Após receber a ordem judicial
A
88. Candace está projetando uma estratégia de backup para os servidores de arquivos de sua organização. Ela deseja fazer um backup todos os dias úteis e ocupar o mínimo de espaço de armazenamento. Que tipo de backup ela deve fazer? A. Backup incremental B. Backup completo C. Backup diferencial D. Backup do log de transações
A Parece que C deve ser escolhido
Backup incremental: faz backup dos dados que foram alterados desde o último backup completo ou backup incremental. É o mais rápido, mas leva mais tempo para restaurar. Backup diferencial: faz backup de todos os dados que foram alterados desde o último backup completo, de forma mais rápida e com menores requisitos de armazenamento.
89. Darcy é um especialista em segurança de computadores que está ajudando a processar um hacker. Os promotores pediram a Dassey que testemunhasse no tribunal sobre sua opinião sobre se os registros e outros registros do caso mostravam uma tentativa de hacking. Que tipo de evidência Darcy deve fornecer? A. Opinião de especialistas B. Evidência direta C. Evidência física D. Provas documentais
A
90. Qual das seguintes técnicas normalmente não é usada para remover A. Destruição física B. Eliminação da magnetização C. Substituir D. Reformatar Excluir dados residuais desnecessários?
D
91. Sally está configurando um novo servidor para seu ambiente e planeja implementar o RAID nível 1 como Controle de disponibilidade de armazenamento. Qual é o número mínimo de discos rígidos físicos que ela precisa para implementar essa abordagem? Um B. Dois C três D. cinco
B
Aos 92 anos, Jerome está conduzindo uma investigação forense e revisando os logs do servidor de banco de dados para investigar o conteúdo das consultas, em busca de evidências de um ataque de injeção de SQL. Que tipo de análise ele está fazendo? A. Análise de hardware B. Análise de Software C. Análise de rede D. Análise de mídia
B
93. A Ouigley Corpuing frequentemente envia fitas de dados de backup para instalações secundárias em todo o país. As fitas continham informações confidenciais. Qual é a medida de segurança mais necessária que Quigley pode usar para proteger essas fitas? A. Contêiner de transporte trancado B. Empresa de correio privado C. Criptografia de dados D. Rotação de mídia
C
94. Carolyn está preocupada com o fato de os usuários da rede armazenarem informações confidenciais, como números de Seguro Social, em seus discos rígidos sem autorização ou usando controles de segurança apropriados. Ela deveria implementar um serviço de segurança de terceiros para melhor detectar essa atividade? A. Sistema de Detecção de Intrusão (IDS) B Sistema de Prevenção de Intrusões (IPS) C. Prevenção contra perda de dados (DLP) D. Segurança da Camada de Transporte (TLS)
C
95. Gavin é o líder da equipe de recuperação de desastres de sua organização, que está atualmente na fase de resposta a um incidente que tem alto impacto nos clientes. Gavin acabara de receber uma ligação de um repórter pedindo detalhes sobre a causa raiz e o tempo estimado de recuperação. Gavin está sempre disponível para fornecer essas informações. O que ele deveria fazer? A. Fornecer informações aos repórteres. B. Peça alguns minutos para coletar informações e depois ligue de volta. C. Encaminhe o assunto ao departamento de relações públicas. D. Recuse-se a fornecer qualquer informação.
C
96. Pauline está revisando o plano de gestão de emergências da sua organização. Ao criar esses planos, qual deve ser a maior prioridade? A. Proteja dados de missão crítica B. Mantenha o sistema operacional C. Coletar evidências D. Proteger a segurança
D
97 Barry é Diretor de Informações de uma organização que sofreu recentemente um grave problema operacional que exigiu a ativação de um plano de recuperação de desastres. Ele quer uma reunião de lições aprendidas para revisar o incidente. Quem é o melhor organizador deste encontro? A. Barry, diretor de informações B Diretor de Segurança da Informação C. Líder da equipe de recuperação de desastres D.Consultor externo
D
98 Brent está revendo medidas para proteger as organizações no caso de uma queda de energia contínua. Qual das seguintes soluções atende melhor às suas necessidades? A. Servidores redundantes B. Fonte de alimentação ininterrupta (UPS) C.Gerador D. RAID
C
99. Combine cada termo numerado com sua definição correta: O termo 1. Pote de mel 2. Rede de mel 3. Pseudovulnerabilidades 4. Rede Escura definição A. Vulnerabilidades deliberadamente projetadas usadas para atrair invasores B. Configurando uma rede com vulnerabilidades intencionais C. Configurar sistemas com vulnerabilidades intencionais D. Uma rede de monitoramento sem hosts
1C2B3A4D
100. Combine cada tipo de resiliência numerado com sua definição correta: O termo 1. Sites populares 2. Local frio 3. Site quente 4. Agência de serviços definição A. Restaurar serviços dentro do prazo de uma organização que pode fornecer serviços de TI no local ou fora do local em caso de desastre B Locais com armazenamento dedicado e replicação de dados em tempo real, muitas vezes com equipamentos compartilhados que podem restaurar o serviço em um tempo muito curto C. Sites que dependem de armazenamento compartilhado e backup para recuperação D. Espaço alugado equipado com energia, refrigeração e conectividade que pode aceitar equipamentos como parte dos esforços de recuperação
1B2D3C4A