Escolar Documentos
Profissional Documentos
Cultura Documentos
E ONLINE AO VIVO
www.trainning.com.br
Curso preparatório CEH
Introdução ao Ethical Hacking
www.trainning.com.br
FORMAÇÕES PARA SEGURANÇA DA INFORMAÇÃO:
Página 5
Agenda do curso
Página 6
Sobre CEH
O que é a CEH?
Página 8
Sobre o Treinamento
Página 9
Sobre a prova
• Nome: 312-50
• Preço: U$ 600,00 + U$ 100,00
• Numero de questões: 125
• Média mínima: 70%
• Duração do Teste: 4 horas
• Formato do teste: Múltipla escolha
Página 10
Processo de
credenciamento
O primeiro passo para fazer o exame é preencher o CEH Exam Eligibility
Application Form (formulário de elegibilidade). Neste formulário seu gerente
ou responsável técnico deve assinar o documento dizendo que o candidato
tem pelo menos dois anos de experiência na área de segurança da
informação.
Link do formulário da prova:
• https://cert.eccouncil.org/Exam-Eligibility-Form.html
Página 11
Processo de
credenciamento
Depois de preencher o cadastro online o candidato irá receber um e-mail com
os formulários em anexo. Após preencher o formulário, o candidato deverá
enviar um email com o formulário em anexo devidamente preenchido, o
curriculum atualizado e o comprovante da taxa de pagamento.
O tempo de espera para validação do requerimento é de cerca de cinco dias
úteis, caso o candidato não receber nenhuma confirmação dentro desse prazo
ele pode contatar a EC-Concil pelos endereços:
• For USA/Canada/LATAM applicants: applicationservices@eccouncil.org
• For International applicants: cehapp@eccouncil.org
Página 12
Introdução ao
Ethical Hacking
O que é um 0day?
Página 14
O que é um 0day?
Página 15
Elementos da SI
Página 16
Hackers Vs Ethical Hackers
• BLACK HATS - Indivíduos com extraordinário conhecimento em computação voltado para praticas
maliciosas.
• WHITE HATS - Indivíduos com conhecimentos hackers que atual para a segurança defensiva, também
conhecidos como analistas de segurança.
• GRAY HATS - Indivíduos que trabalham para ambos os lados, black e white hats.
• SUICIDE HACKERS - Indivíduos que visam comprometer sistemas críticos por uma causa não se
preocupam de serem pegos ou pagarem pelos seus crimes.
• SCRIPT KIDDIES - Individuo sem conhecimento que comprometem sistema executando scrips,
ferramentas e softwares feitos por hackers reais.
• SPY HACKERS - Indivíduos empregados por organizações para descobrir segredos do concorrente.
• CYBER TERRORISTS - Indivíduos com largo conhecimento, motivados por uma religião ou intuitos
políticos.
• STATE SPONSORED HACKERS - Indivíduos empregados pelo governo para obter segredos e outras
informações de outros governos.
Página 17
Vulnerability Research
Página 18
Segurança da informação
Página 19
Mecanismos de segurança
Página 20
Mecanismos de segurança
Página 22
Ameaças humanas
Página 23
IPv6 Security Threats
Página 24
Tipos de Ataques
Página 26
Terminologia
Hack Value - É a noção entre hackers que alguma coisa é interessante ou vale a pena ser feita.
Exploit - Um exploit é uma definição para violar a segurança de um sistema através de uma
vulnerabilidade. O termo exploit é utilizado quando qualquer tipo de ataque foi feito em um
sistema ou rede. Um exploit pode também ser definido como código malicioso ou comando
malicioso.
Vulnerabilidade - Uma vulnerabilidade é uma fraqueza no design de um sistema ou um erro
de implementação que pode levar a um evento inesperado e indesejável dentro do sistema, o
que pode comprometer a segurança do sistema.
Target of Evaluation - Um alvo de avaliação é um sistema de TI, produto ou componente que
é submetido para uma avaliação de segurança.
Zero-day Attack - No ataque 0day o atacante explora as vulnerabilidades dentro de um
sistema antes que o fornecedor lance uma correção.
Daisy Chaining - Ganhar acesso privilegiado a base de dados SQL e depois apagar os rastros
do ataque.
Página 27
Conceitos sobre Hacking
Página 28
Efeitos do Hacking
Página 29
Quem é um Hacker?
Página 30
Conhecimentos de um
Ethical Hacker
• PLATAFORMA – Ter conhecimento profundo dos principais sistemas
operacionais de mercado, tais como Linux, Unix, Mac OS e Windows.
• REDES – Ter conhecimento profundo sobre redes de computadores (protocolos,
topologias, modelo OSI, switch TCP/IP, fluxo de dados, etc..), tecnologias e
hardware/software relacionados.
• COMPUTER EXPERT – Deve ser um usuário de computador extremamente
avançado em domínios técnicos
• SEGURANÇA – Ter profundo conhecimento na área de segurança e problemas
relacionados.
• CONHECIMENTO TÉCNICO – Ter um alto conhecimento técnico para realizar um
ataque sofisticado.
Página 31
Defense-in-Depth
Página 32
Politicas da Segurança
da Informação
Uma política de segurança é um documento ou
conjunto de documentos que descrevem os
controles de segurança que devem ser
implementados na empresa em alto nível para
proteger a rede organizacional de ataques de
dentro e de fora.
Este documento define a arquitetura completa de
segurança de uma organização e o documento
inclui objetivos claros, metas, regras e
regulamentos, procedimentos formais, e assim por
diante. Ele menciona claramente os ativos a serem
protegidos e a pessoa que pode logar e acessar
sites, que podem visualizar os dados selecionados,
bem como as pessoas que têm permissão para
alterar os dados, etc.
Página 33
Tipos de políticas de
segurança
• Promíscua - Com uma política promíscua, não há nenhuma restrição no acesso
à Internet. Um usuário pode acessar qualquer site, fazer download de
qualquer aplicativo e acessar um computador ou uma rede de um local
remoto.
• Permissiva - Em uma política permissiva, a maioria do tráfego da Internet é
aceito, mas vários serviços e ataques perigosos conhecidos são bloqueados.
• Prudente - A política prudente começa com todos os serviços bloqueados. O
administrador permite os serviços seguros e necessários individualmente.
• Paranoica - Em uma política paranoica, tudo é proibido. Há conexão com a
Internet ou uso severamente limitada a Internet.
Página 34
O que é Penetration
Testing?
Página 35
Tipos de Pentesting
Página 36
Fases do pentest
Página 37
Padrões
PCI-DSS
O Payment Card Industry Security Standards Council (PCI-SSC) foi fundado pela
American Express, Discover Financial Services, JCB International, MasterCard
Worldwide e Visa Inc., como um fórum global para a disseminação de padrões
de segurança na proteção de dados de pagamento, e define o PCI Data
Secutity Standart (PCI-DSS).
O PCI Data Secutity Standart (PCI-DSS) especifica recomendações mínimas de
segurança obrigatórias para todas as empresas que participam da rede de
captura de pagamento com cartões, o comércio, e prestadores de serviços que
processam, armazenam e/ou transmitem eletronicamente dados do portador
do cartão de crédito.
Página 39
ISO/IEC 27001:2013
Página 40
HIPAA
A Health Insurance
Portability and
Accountability Act
(HIPAA) do ano de
1996 foi promulgada
pelo Congresso dos
Estados Unidos e
assinada pelo
presidente Bill
Clinton em 1996.
Página 41
SOX
Página 42
DMCA
Digital Millennium Copyright Act, conhecido como DMCA é uma lei dos Estados
Unidos da América sobre direito autoral, que criminaliza não só a infração em si,
mas também a produção e a distribuição de tecnologia que permita evitar as
medidas de proteção aos direitos de autor. Além disso, ela aumenta as penas por
infrações de direitos autorais cometidas via Internet.
Aprovada em 12 de outubro de 1998 por unanimidade no Senado dos Estados
Unidos e sancionada pelo presidente Bill Clinton em 28 de outubro de 1998, a
DMCA alterou a legislação dos EUA para ampliar o alcance dos direitos de autor,
ao mesmo tempo em que limitou a responsabilidade dos prestadores de serviços
on-line sobre violações de direitos autorais cometidas por seus usuários.
Página 43
FISMA
FISMA define um framewok para a gestão da segurança da informação que deve ser seguido por todos
os sistemas de informação utilizados ou acionados por uma agência do governo federal dos EUA sobre os
poderes executivos ou legislativos, ou por um contratante ou outra organização em nome de uma
agência federal nesses ramos. Este framewok é ainda definido pelas normas e diretrizes desenvolvidas
pelo NIST. Isso inclui:
• Padrão para categorização da informação e sistema de informação por impacto.
• Padrão para requerimento mínimo de segurança para informação e sistemas de informação.
• Guia para selecionar controles de segurança apropriados para sistemas de informação.
• Guia para avaliar controles de segurança em sistemas de informação e determinar controles de
segurança efetivos.
• Guia para autorização de segurança do sistema de informação.
Página 44
Trainning Education Services
SAP – COBIT – ITIL – PMP – MICROSOFT – CISCO
Obrigado
www.trainning.com.br