002 - Netwrix Auditor - Guia de Estudos CISSP

Guia de
Estudos do
exame CISSP
Brian Svidergol
RHEL3, VCP, NCIE-SAN, MCT, MCSE

Introdução.....................................................................................................................................................7
Visão Geral do Exame............................................................................................................................................................................... 7
Como utilizar esse guia de estudo ........................................................................................................................................................ 8
Recentes mudanças no exame .............................................................................................................................................................. 8
Domain 1. Segurança e Gestão de Riscos ................................................................................................................ 9
1.1 Entenda e aplique os conceitos de confidencialidade, integridade e disponibilidade ....................................................... 9
1.2 Avalie e aplique princípios de governança da segurança ......................................................................................................... 9
1.3 Determine requerimentos de compliance ................................................................................................................................. 11
1.4 Entenda questões legais e regulamentais no que diz respeito a segurança de informação em um contexto global 12
1.5 Entender, aderir e promover ética profissional ........................................................................................................................ 13

• Proteger a sociedade, o bem comum, a confiança pública e a infraestrutura. ........................................................................... 13
1.6 Desenvolver, documentar e implementar políticas, normas, procedimentos e diretrizes de segurança ................... 14
1.7 Identificar, analisar e priorizar os requisitos de Continuidade de Negócios (BC) ............................................................. 14
1.8 Contribuir para aplicar políticas e procedimentos de segurança de pessoal ..................................................................... 15
1.9 Entenda e aplique conceitos de gerenciamento de risco........................................................................................................ 16
1.10 Compreender e aplicar conceitos e metodologias de modelagem de ameaças ........................................................ 20
1.11 Aplique conceitos de gerenciamento baseados em risco à cadeia de suprimentos ................................................. 21
1.12 Estabelecer e manter um programa de conscientização, educação e treinamento sobre segurança.................. 19
Domínio 1 Revisão perguntas ..................................................................................................................................20
Respostas às Perguntas de Revisão do Domínio 1 ...............................................................................................22

1. Resposta: B ......................................................................................................................................................................................... 22
2. Resposta: B ......................................................................................................................................................................................... 22
3. Resposta: B ......................................................................................................................................................................................... 22
Domínio 2. Segurança de Ativos ..............................................................................................................................23
2.1 Identificar e classificar informações e ativos ............................................................................................................................ 23
2.2 Determinar e manter informações e propriedade de ativos ................................................................................................. 25
2.3 Proteger a privacidade ................................................................................................................................................................... 25
2.4 Garantir a retenção apropriada de ativos .................................................................................................................................. 26
2.5 Determinar controles de segurança de dados .......................................................................................................................... 27
2.6 Estabeleça requerimentos de manuseio de ativos e informação ......................................................................................... 28
3
Domínio 2 Questões de revisão ..............................................................................................................................29
Respostas às Questões de Revisão do Domínio 2 ................................................................................................31

1. Resposta: D ........................................................................................................................................................................................ 31
2. Resposta: B, D, E ................................................................................................................................................................................. 31
3. Resposta: A ........................................................................................................................................................................................ 31
Domínio 3. Arquitetura e engenharia de segurança ............................................................................................32
3.1 Implemente e gerencie processos de engenharia usando princípios de design seguros................................................. 32
3.2 Entenda os conceitos fundamentais dos modelos de segurança .......................................................................................... 30
3.3 Selecione controles com base nos requisitos de segurança dos sistemas .......................................................................... 30
3.4 Entenda os recursos de segurança dos sistemas de informação .......................................................................................... 32
3.6 Avaliar e mitigar vulnerabilidades em sistemas baseados na web....................................................................................... 41
3.7 Avaliar e mitigar vulnerabilidades em sistemas móveis ........................................................................................................ 42
3.8 Avaliar e atenuar vulnerabilidades em dispositivos incorporados ....................................................................................... 42
3.9 Aplicar criptografia .......................................................................................................................................................................... 43
3.10 Aplique princípios de segurança ao design do site e das instalações .......................................................................... 47
3.11 Implementar controles de segurança do site e das instalações ................................................................................... 48
Questões de revisão do domínio 3 .........................................................................................................................51

1. Resposta: C ......................................................................................................................................................................................... 53
2. Resposta: D ......................................................................................................................................................................................... 53
3. Resposta: C ......................................................................................................................................................................................... 53
Domínio 4. Comunicação e Rede Segurança .........................................................................................................54
4.1 Implementar princípios de design seguros na arquitetura de rede ..................................................................................... 54
4.2 Componentes de rede seguros...................................................................................................................................................... 56
4.3 Implementar canais de comunicação seguros de acordo com o design .............................................................................. 59
Perguntas de Revisão do Domínio 4 .......................................................................................................................49

1. Resposta: B ......................................................................................................................................................................................... 50
2. Resposta: B ......................................................................................................................................................................................... 50
3. Resposta: E.......................................................................................................................................................................................... 50
Domínio 5. Gerenciamento de identidade e acesso (IAM)...................................................................................51
5.1 Controle o acesso físico e lógico aos ativos ............................................................................................................................... 51
4
5.2 Gerenciar identificação e autenticação de pessoas, dispositivos e serviços ...................................................................... 53
5.3 Integrar identidade como um serviço de terceiros .................................................................................................................. 56
5.4 Implementar e gerenciar mecanismos de autorização ........................................................................................................... 58
5.5 Gerenciar o ciclo de vida de fornecimento de identidade e acesso ...................................................................................... 59
Domínio 5 Questões para revisão ...........................................................................................................................62

1. Resposta: B, C, E ................................................................................................................................................................................. 64
2. Resposta: B ......................................................................................................................................................................................... 64
3. Resposta: D ......................................................................................................................................................................................... 64
Domínio 6. Avaliação e teste de segurança ...........................................................................................................65
6.1 Projetar e validar estratégias de avaliação, teste e auditoria ............................................................................................... 65
6.2 Realizar testes de controle de segurança ................................................................................................................................... 65
6.3 Coletar dados do processo de segurança ................................................................................................................................... 67
6.4 Analise a saída de teste e gere relatórios ................................................................................................................................... 69
6.5 Realizar ou facilitar auditorias de segurança ............................................................................................................................ 69
Perguntas de Revisão do Domínio 6 .......................................................................................................................70
Respostas às Perguntas de Revisão do Domínio 6 ...............................................................................................72

1. Resposta: B ......................................................................................................................................................................................... 72
2. Resposta: C ......................................................................................................................................................................................... 72
3. Resposta: B ......................................................................................................................................................................................... 72
Domínio 7. Operações de Segurança .....................................................................................................................73
7.1 Compreender e apoiar investigações .......................................................................................................................................... 73
7.2 Compreender os requisitos para diferentes tipos de investigações .................................................................................... 74
7.3 Realizar atividades de registro e monitoramento .................................................................................................................... 75
7.4 Recursos de provisão segura ......................................................................................................................................................... 76
7.5 Entenda e aplique conceitos de operações de segurança fundamentais............................................................................ 77
7.6 Aplicar técnicas de proteção de recursos ................................................................................................................................... 79
7.7 Realizar gerenciamento de incidentes ........................................................................................................................................ 80
7.8 Operar e manter medidas de detetive e preventivas .............................................................................................................. 81
7.9 Implementar e suportar gerenciamento de correção e vulnerabilidade ............................................................................ 82
7.10 Entenda e participe de processos de gerenciamento de mudanças ............................................................................ 84
7.11 Implementar estratégias de recuperação .......................................................................................................................... 85
5
7.12 Implementar processos de recuperação de recuperação de desastres (DR) .............................................................. 87
7.13 Testar planos de recuperação de desastre (DRP).............................................................................................................. 88
7.14 Participe do planejamento e exercícios de continuidade de negócios (BC) ................................................................ 89
7.15 Implementar e gerenciar segurança física ......................................................................................................................... 91
7.16 Questione as questões de segurança e proteção pessoal............................................................................................... 91
Domínio 7 Perguntas de Revisão ............................................................................................................................83

1. Resposta: A, B ..................................................................................................................................................................................... 85
2. Resposta: B ......................................................................................................................................................................................... 85
3. Resposta: D ......................................................................................................................................................................................... 85
Domínio 8. Segurança do Desenvolvimento de Software ...................................................................................86
8.1 Compreender e integrar a segurança em todo o software ciclo de vida de desenvolvimento (SDLC) .......................... 86
8.2 Identifique e aplique controles de segurança em ambientes de desenvolvimento ......................................................... 90
8.3 Avaliar a eficácia da segurança de software ............................................................................................................................. 92
8.4 Avaliar o impacto da segurança do software adquirido ......................................................................................................... 92
8.5 Definir e aplicar diretrizes e padrões de codificação seguros ................................................................................................ 92
Domínio 8 Questões para revisão ...........................................................................................................................91

1. Resposta: A ......................................................................................................................................................................................... 92
2. Resposta: A ......................................................................................................................................................................................... 92
3. Resposta: D ......................................................................................................................................................................................... 92
Referências úteis .......................................................................................................................................................93
Sobre o Autor .............................................................................................................................................................95
Sobre a Netwrix .........................................................................................................................................................95
6
Introdução
Visão Geral do Exame
Se preparar para o exame de Profissional de Segurança de Sistemas Certificado (CISSP) requer certo
tempo e esforço. O exame consiste em oito domínios:
1. Gestão de Segurança e Risco
2. Segurança de Ativos
3. Arquitetura e Engenharia de Segurança
4. Segurança de Comunicação e Redes
5. Gestão de Identificação e Acesso
6. Avaliação de Testes de Segurança
7. Operações de Segurança
8. Segurança em Desenvolvimento de Software
Para se qualificar ao exame, você geralmente precisa ter pelo menos cinco anos cumulativos de
experiência de trabalho em dois ou mais dos oito domínios. Entretanto, você pode ser elegível ao
requerimento com quatro anos de experiência em pelo menos dois dos oito domínios se você tiver um
diploma de graduação de pelo menos quatro anos ou uma aprovação ou certificação. Veja
https://www.isc2.org/Certifications/CISSP/Prerequisite-Pathway para uma lista completa de credenciais e
certificações aprovadas.
O exame é longo, especialmente quando comparado com outras certificações da indústria. Você pode
realizá-lo em Inglês ou outros idiomas:
• O exame em inglês é um teste computadorizado adaptativo (CAT), então ele muda de acordo
com as suas respostas. Você tem até 3 horas para completar um mínimo de 100 questões até
no máximo 150 questões.
• O exame em idiomas além de inglês permanece em formato linear. Você tem até 6 horas para
completar uma série de 250 questões.
Você precisa fazer 700 pontos ou mais para passar no exame.
7
Como utilizar esse guia de estudo
Utilizar múltiplas fontes de estudo e métodos aumentam suas chances de passar no exame CISSP. Por
exemplo, em vez de ler três ou quatro livros, você pode ler um livro, assistir uma série de vídeos, fazer
algumas questões de testes e ler um guia de estudos. Ou você pode fazer uma aula, praticar usando as
questões de teste e ler um guia. Ou você também pode entrar em um grupo de estudos e ler um livro. A
combinação de ler, ouvir e realizar testes ajuda seu cérebro a processar e reter a informação. Se o seu
plano é ler este guia de estudos e ir direto ao centro de exame, você deveria imediatamente repensar essa
estratégia!
• Antes de fazer qualquer coisa além de estudar - Leia o guia completo. Avalie seu conhecimento
enquanto você ler. Você já sabe de tudo? Ou você acha que não consegue acompanhar algum dos
tópicos facilmente? Baseado em como a leitura do guia de estudos se sair você vai saber em quais
domínios do exame dar mais atenção e quanto tempo de estudo adicional você precisa.
• A última coisa que você deve fazer antes de realizar o exame - Talvez você tenha feito uma aula, lido
um livro e realizado diversas questões de teste, e agora você está pensando se está pronto. Este guia
de estudos irá ajudá-lo a responder essa questão. No mínimo, tudo nesse guia deve ser familiar para
você, fazer sentido e não te confundir.
Saiba que um guia de estudos como esse não se aprofunda o suficiente para ensiná-lo cada tópico
completamente se você for novo no assunto em questão. Mas é uma ferramenta de preparação muito útil
porque lhe possibilita que você reveja muito conteúdo em um curto período de tempo. Neste guia, tentamos
providenciar os pontos mais importantes de cada um dos tópicos, mas isso não pode incluir detalhes
aprofundados que você encontraria em um livro de 1.000 páginas.
Recentes mudanças no exame
Em 15 de Abril de 2018, a agência que providencia o CISSP, o International Info System Security Certification
Consortium, publicou um conjunto de objetivos atualizado do exame (o plano do exame). Este plano está
disponível em https:// www.isc2.org/-/media/ISC2/Certifications/Exam-Outlines/CISSP-Exam-Outline-121417--
Final.ashx.
Enquanto a maioria dos tópicos permanecem o mesmo, existem algumas mudanças menores que refletem
as tendências mais recentes da indústria. A maioria dos livros para a nova versão do exame serão publicados
em maio de 2018 ou depois. Esse guia de estudos foi atualizado para refletir o novo plano do exame. As
alterações são pequenas: Alguns pequenos tópicos foram removidos, alguns outros foram adicionados, e
alguns itens foram remodelados.
O que isso significa para você se você estiver se preparando para realizar o exame? Se você já tiver dedicado
uma boa quantidade de tempo se preparando, você só precisa suplementar seus estudos com algumas
fontes que explicam o material novo e revisado. Mas se você estiver apenas começando a estudar, considere
esperar até que os guias atualizados sejam publicados.
Domain 1. Segurança e Gestão de Riscos

1.1 Entenda e aplique os conceitos de confidencialidade,
integridade e disponibilidade
Confidencialidade, integridade e disponibilidade fazem o que é conhecido como a tríade CIA. A tríade CIA é
um modelo de segurança que ajuda organizações a manterem o foco em aspectos importantes de se
manter um ambiente seguro.
• Confidencialidade. Dados sensíveis, incluindo informações pessoalmente identificáveis (PII) como

números de identificação e números de contas bancárias, devem ser mantidos confidenciais. É
importante entender que confidencialidade é diferente de segredo. Se você não está ciente de que
algo existe (como dados ou web services), então é secreto. Mas manter algo secreto, por si só, não
garante confidencialidade. Você provavelmente já ouviu histórias de agressores (ou até mesmo
usuários da internet comuns) encontrando informações ou web sites "secretos", as vezes por
acidente. Para garantir a confidencialidade, você deve se certificar de que até mesmo se alguém
ciente da existência de itens valiosos (como uma loja que processa informações de cartões de
crédito ou compartilha dados sensíveis), não poderá acessá-los. Em alto nível, você pode utilizar
controles de acesso - portas trancadas, permissões de pasta e autenticação de dois fatores - para
manter a confidencialidade. Em um nível mais baixo, você usa encriptação para proteger dados em
repouso, hashing para proteger dados em movimento, e segurança física para proteger dados em
utilização (telas de privacidade ou separadores físicos entre dados em uso e pessoal não
autorizado). Você pode usar uma "negação padrão" para que a não ser que alguém tenha sido
expressamente autorizado a acessar esses dados, o acesso seja negado.
• Integridade. Você tem que garantir que os dados não sejam alterados indevidamente. Encriptação
ajuda a garantir a integridade dos dados em repouso, mas não é a melhor opção para dados em
movimento. Em vez disso, hashing é tipicamente utilizado. Hashing dos dados atribui-lhes um valor
numérico, que é calculado na fonte antes da transferência e novamente pelo receptor depois da
transferência; uma combinação providencia a integridade dos dados. Algoritmos como SHA256 e
SHA512 são comumente utilizados para hashing; outros como SHA-1, se tornaram suscetíveis a
ataques e por isso são raramente utilizados.
• Disponibilidade. Pra garantir a disponibilidade de serviços e dados, utilize técnicas como failover
clustering, resiliêcia do site, failover automático, load balance, redundância de hardware e
software e fault tolerance. Por exemplo, eles podem te ajudar a frustrar um ataque de negação de
serviço (DDoS) que visa negar a disponibilidade de um serviço de dados sobrecarregando um
sistema com requisições inválidas ou requisiçoes que levam muito tempo para processar.
1.2 Avalie e aplique princípios de governança da segurança

Para estabelecer princípios de governança de segurança, adote um framework como o que o
National Institute of Standards and Technology (NIST). Tenha certeza de que o framework de sua
escolha inclui o seguinte:
• Alinhamento de funções de segurança para estratégia, metas, missão e objetivos. Uma

organização tem a missão de utilizar estratégias, planos e objetivos de tentar atender essa missão.
Esses componentes fluem abaixo, onde os de baixo normalmente suportam os de cima. A estratégia
do negócio normalmente está focada em 5 ou mais anos. Em períodos mais curtos, tipicamente um
ou dois anos, você tem planos táticos que estão alinhados com os planos estratégicos. Abaixo estão
os planos operacionais - os que representam pequenos esforços para ajudá-lo a alcançar a missão.
Por exemplo, a missão de um fabricante de carros pode ser construir8 e vender carros da melhor
qualidade possível. Os objetivos podem incluir expandir a automação para reduzir o tempo total de
montagem de um carro e expandir de duas para três fábricas. Um framework de segurança deve
estritamente assegurar a missão e objetivos da empresa, capacitando o negócio a completar seus
objetivos e avançar na missão enquanto garantindo o ambiente baseado em segurança de risco.
Continuando com o exemplo do fabricante de carros, o framework de segurança deve capacitar a
expansão da automação. Se o framework de segurança não puder ser expandido, então ele não
está suficientemente alinhado com os objetivos e missão da empresa.
• Processos organizacionais (aquisições, desinvestimentos, comitês de governança). Esteja

ciente dos riscos em aquisições (desde que o estado do ambiente de TI a ser integrado seja
desconhecido, diligência devida é crucial) e desinvestimentos (você precisa determinar como dividir
a infraestrutura de TI e o que fazer com as identificações e credenciais). Entenda o valor de comitês
de segurança (governança de fornecedores, de projetos, arquitetura e etc). Executivos, gestores e
indivíduos precisam se reunir para avaliar a arquitetura, projetos e incidentes (de segurança ou
outra forma), e providenciar avais para novas estratégias ou direcionamentos. A meta é um olhar
renovado, um que não esteja puramente focado em segurança da informação.
• Funções e responsabilidades organizacionais. Existem múltiplas funções a serem consideradas.

A gestão possui a responsabilidade de manter os negócios funcionando e maximizar os lucros e
valores de acionistas. O arquiteto de segurança ou engenheiro de segurança têm a
responsabilidade de entender as necessidades de negócio da organização, o ambiente de TI
existente, e o estado atual da segurança e vulnerabilidade, além de pensar através de estratégias
(melhorias, configurações e contramedidas) que possam maximizar a segurança e diminuir riscos.
Existe a necessidade de pessoas que possam fazer a tradução entre pessoal técnico e pessoal não-
técnico. Os custos precisam ser justificados e razoáveis, baseados nas necessidades e riscos da
organização.
• Frameworks de controle de segurança. Um framework de controle ajuda a garantir que a sua

organização está de acordo com todas as bases para assegurar o ambiente. Existem diversos
frameworks para se escolher, como Control Objectives for Information Technology (COBIT) e as
séries ISO 27000 (27000, 27001, 27002, etc). Esses frameworks são divididos em quatro categorias.
• Preventivos — Previnem problemas de segurança e violações utilizando

controles de acesso e tecnologias como firewalls, detecção de sistemas intrusos e
câmeras ativadas por movimento
• Dissuasivos — Desencorajam atividades mal-intencionadas utilizando controles de
acesso como firewalls, sistemas de detecção de intrusos e câmeras ativadas por
movimento
• Detectores — Descobrem atividade não autorizada no seu ambiente
• Corretores — Colocam seu ambiente no estado que estavam antes do incidente de segurança
• Cuidado Devido / Diligência Prévia. Tenha certeza que você compreende a diferença entre esses
dois conceitos. Diligência prévia se trata da sua responsabilidade legal ou dentro de políticas
organizacionais de implementar os controles da sua organização, seguir políticas de segurança,
fazer a coisa certa e tomar decisões corretas. Diligência devida é sobre entender os princípios de
governança de segurança da organização (políticas e procedimentos) e os riscos para a
organização. Diligência devida comumente se relaciona como coletar informação através de
descoberta, avaliações de risco e da documentação existente; criar documentação para estabelecer
políticas escritas; e disseminar a informação para a organização. Algumas vezes, as pessoas
pensam em diligência devida como o método que o cuidado devido deve ser exercido.
Depois de você ter estabelecido e documentado um framework para governança, você precisa de
treinamentos de noções de segurança para reunir tudo. Todas as novas contratações devem completar
o treinamento de noções de segurança assim que forem efetuadas, e funcionários existentes devem ser
constantemente reavaliados (anualmente).
1.3 Determine requerimentos de compliance

Muitas organizações precisam estar de acordo com leis aplicáveis e padrões da indústria. Estar em
desacordo pode significar multas, prisão para executivos e até o fim do negócio. Para atingir o compliance,
você deve focar em controles. Apesar dos padrões mais comuns serem vagos sobre a implementação,
alguns providenciam documentação detalhada para auxiliar as organizações a atingirem o compliance. Por
exemplo, o NIST providencia um guia para padrões federais.
• Padrões contratuais, legais, da indústria, e requerimentos regulamentais. Entender os sistemas

legais. Leis civis são as mais comuns; decisões de juízes tipicamente não configuram precedentes
que impactam outros casos. Com as leis comuns, que são utilizadas nos Estados Unidos, Canadá,
Reino Unido e colônias britânicas, decisões de juízes podem configurar precedentes que têm
impacto significante em outros casos. Um exemplo de lei religiosa é a Sharia (lei islâmica), que utiliza
o Alcorão e Hádice para a fundação das leis. Leis baseadas em costumes normalmente tomam
práticas locais e as transformam em leis. Para leis comuns, você tem a lei criminal (leis contra a
sociedade) e a lei civil (tipicamente pessoa versus pessoa e resulta em compensação monetária para
o lado derrotado). Fatores de compliance em leis, regulamentações, e padrões da indústria,
Sarbanes-Oxley (SOX), GLBA, PCI DSS, HIPAA e FISMA. Familiarize-se com esses padrões como parte
da sua preparação para o exame lendo seus resumos.
• Requerimentos de privacidade. Privacidade se trata da proteção de PII. As leis variam. A união

europeia possui leis mais duras sobre privacidade. Esteja familiarizado com a Regulamentação Geral
de Proteção de Dados (GDPR). Esteja familiarizado com os requerimentos em torno de dados de
saúde, cartão de crédito e outros dados relacionados ao PII no que se refere a vários países e suas
leis e regulamentações.
1.4 Entenda questões legais e regulamentais no que diz

respeito a segurança de informação em um contexto
global
Por mais que você esteja familiarizado com as questões legais e regulamentações locais, é necessário que
entenda essas questões em outros lugares também, ao menos em alto nível.
• Crimes cibernéticos e vazamentos de dados. Antes da sua organização se expandir para outros
países, execute diligências prévias para compreender seus sistemas legais e que mudanças podem
ser necessárias na forma que os dados são manuseados e protegidos. Em particular, esteja
familiarizado com a Convenção do Conselho da Europa sobre o Cibercrime, um tratado assinado por
diversos países que estabelece padrões de políticas para cibercrimes. Conheça as diversas leis sobre
vazamentos de dados, incluindo requerimentos de notificação. Nos Estados Unidos, o ato Health
Information Technology for Economic and Clinical Health (HITECH) demanda notificações sobre
vazamentos de dados em alguns casos, como quando as informações pessoais sobre dados de
saúde não estavam protegidas de acordo com o HIPAA. O GLBA se aplica a organizações de seguros
e financeiras; ele demanda que notificações para reguladores federais, agências de aplicação da lei e
clientes quando ocorrem vazamentos de dados. Estados dos Estados Unidos também impõem seus
próprios requerimentos quando se trata de vazamentos de dados. a União Europeia e outros países
têm seus próprios requerimentos também. A GDPR possui requerimentos de notificação sobre
vazamentos de dados muito estritos: Um vazamento de dados precisa ser notificado a autoridade
superior competente dentro de 72 horas de sua descoberta. Alguns países não possuem
requerimentos de notificação.
• Requerimentos de licenciamento e propriedade intelectual. Entenda as regras em torno de:

• Trademarks — Um logo, símbolo ou mascote utilizado no marketing de uma marca
• Patents — Um monopólio temporário para produzir um item específico como um

brinquedo, que precisa ser único para se qualificar a uma patente
• Copyright — Uso exclusivo de trabalhos artísticos, musicais ou literários que previne

reprodução, distribuição ou modificação
• Licenciamento — Um contrato entre o fabricante do software e o consumidor que

limita o uso e/ou distribuição do software
• Controle de importação/Exportação. Cada país tem leis em torno da importação e exportação

de hardware e software. Por exemplo, os Estados Unidos possuem restrições em torno da
exportação de tecnologia criptográfica, e a Rússia requer uma licença para importar tecnologias
de encriptação fabricadas fora do país.
• Fluxo de Dados Cross-Border. Se a sua organização adere a leis e regulamentações específicas,

você deve mantê-las sob essa regulamentação não importa onde os dados estejam armazenados -
por exemplo, se você mantém uma cópia dos seus dados em outro país. Esteja ciente das leis
aplicáveis em todos os países onde você
mantenha dados e sistemas. Em alguns casos, os dados podem precisar serem mantidos no país.
Em outros, você precisa ter cuidado com esses dados porque equipes técnicas podem não estar
cientes dos requerimentos de segurança e compliance. O EU-US Privacy Shield (formalmente, o
tratado EU-US Safe Harbor) controla o fluxo de dados entre a União Europeia e os Estados Unidos.
A União Europeia tem proteções de privacidade mais estritas e sem o Safe Harbor, o fluxo de
dados pessoais da UE para os EU não seria permitido.
• Privacidade. Muitas leis incluem proteções de privacidade para dados pessoais. A nova GDPR tem
regras de privacidade fortes que se aplicam a qualquer organização que armazena ou processa
dados de cidadãos da UE; os indivíduos precisam ser avisados como seus dados são coletados e
utilizados, e precisam ter o poder e recusar tal utilização. As normas de privacidade da Organization
for Economic Co-operation and Development (OECD) requer que as organizações evitem obstáculos
injustificáveis para o fluxo de dados através de fronteiras, limite a coleta de dados pessoais, proteja
esses dados razoavelmente, e mais.
1.5 Entender, aderir e promover ética profissional

Como um CISSP, você precisa entender e seguir o código de ética (ICS)², assim como o próprio código da sua
organização.
• Código de Ética Profissional (ISC)². Tome um tempo para ler o código de ética disponível em
www.isc2.org/ ethics. No mínimo, entenda as normas de ética:
• Proteger a sociedade, o bem comum, a confiança pública e a infraestrutura.
• Aja de maneira honrosa, honesta, justa, responsável e legal. Siga sempre as leis.
Mas e se você se encontrar trabalhando em um projeto onde leis conflitantes de
diferentes países ou jurisdições se aplicam? Nesse caso, você deve priorizar a jurisdição
local a partir da qual você está executando os serviços.
• Fornecer serviço diligente e competente aos princípios. Evite se passar por um

especialista ou qualificado em áreas que você não é. Mantenha e expanda suas
habilidades para fornecer serviços competentes.
• Avance e proteja a profissão. Não traga publicidade negativa para a profissão. Fornecer
serviços competentes, receber treinamento e agir com honra. Pense nisso da seguinte
maneira: se você seguir os três primeiros cânones do código de ética, estará
automaticamente em conformidade com este.
• Código de Ética Organizacional. Você também deve apoiar a ética em sua organização. Isso
pode ser interpretado como uma forma de evangelizar a ética em toda a organização,
fornecendo documentação e treinamento em ética, ou procurando maneiras de melhorar a
ética organizacional existente. Algumas organizações podem ter uma ética ligeiramente
diferente das outras, por isso, familiarize-se com a ética e as diretrizes da organização.
1.6 Desenvolver, documentar e implementar políticas,
normas, procedimentos e diretrizes de segurança
Desenvolva uma documentação de política de segurança clara, incluindo o seguinte:
• Política. Este é o documento de alto nível, geralmente escrito pela equipe de gerenciamento.
Política é obrigatória. É propositalmente vago. Por exemplo, uma política pode exigir que você
garanta a confidencialidade dos dados da empresa, mas não especifique o método para fazer isso.
• Padrões. Estes são mais descritivos do que políticas e documentam os padrões a serem usados
pela empresa para coisas como hardware e software. Por exemplo, uma organização pode
padronizar em máquinas virtuais e não em servidores físicos.
• Procedimentos. Estes são os documentos passo a passo que detalham como realizar tarefas
específicas, por exemplo, como restaurar um banco de dados. A pessoa que segue o
procedimento usa o documento para executar a tarefa. Procedimentos são obrigatórios. Se você
tiver um procedimento para restaurar um banco de dados, esse procedimento precisará ser
seguido para cada restauração do banco de dados.
• Diretrizes. These are recommended but optional. For example, your organization might have a
guideline that recommends storing passwords in an encrypted password vault. It is a good idea to
do that. But somebody might choose to store passwords in their brain or using another secure
storage mechanism.
• Baselines. Embora as linhas de base não sejam explicitamente mencionadas nesta seção do
exame, não as esqueça. Linhas de base automatizam a implementação de seus padrões,
garantindo assim a aderência a eles. Por exemplo, se você tiver 152 itens de configuração para as
compilações de servidor, poderá configurar todos eles em uma linha de base aplicada a todos os
servidores criados. Objetos de diretiva de grupo (GPOs) geralmente são usados para obedecer a
padrões em uma rede do Windows. As soluções de gerenciamento de configuração também
podem ajudá-lo a estabelecer linhas de base e configurações pontuais que se afastam delas.
1.7 Identificar, analisar e priorizar os requisitos de

Continuidade de Negócios (BC)
A continuidade de negócios é a meta de permanecer totalmente operacional durante uma interrupção. A ISO
/ IEC 27031 abrange detalhadamente a continuidade dos negócios (fornece uma estrutura para a construção,
juntamente com métodos e processos cobrindo todo o assunto). A continuidade de negócios requer muito
planejamento e preparação. A implementação real dos processos de continuidade de negócios ocorre com
pouca frequência. As principais facetas da continuidade dos negócios são a resiliência (dentro de um data
center e entre sites ou data centers), recuperação (se um serviço ficar indisponível, você precisa recuperá-lo
o mais rápido possível) e contingência (último recurso em caso de resiliência e recuperação se mostrar
ineficaz).
• Desenvolver e documentar o escopo e o plano. Desenvolver o escopo e o plano do projeto começa

com o apoio da equipe de gerenciamento, fazendo um caso de negócio (análise de custo / benefício,
razões regulatórias ou de conformidade, etc.) e, finalmente, obtendo aprovação para avançar. Em
seguida, você precisa formar uma equipe com representantes da empresa e também de TI. Então
você está pronto para começar a desenvolver o plano. Comece com uma declaração de política de
continuidade de negócios e, em seguida, realize uma análise de impacto nos negócios (conforme
explicado no próximo item) e desenvolva os componentes restantes: controles preventivos,
realocação, plano de continuidade real, teste, treinamento e manutenção). Familiarize-se com a
diferença entre continuidade de negócios (retomada de funções críticas sem levar em consideração
o local) e recuperação de desastres (recuperação de funções críticas no site primário, quando
possível).
• Realize uma análise de impacto nos negócios (BIA). Identifique os sistemas e serviços dos quais a
empresa depende e calcule os impactos que uma interrupção ou interrupção causaria, incluindo os
impactos nos processos de negócios, como contas a receber e vendas. Você também precisa
descobrir quais sistemas e serviços você precisa para fazer as coisas funcionarem novamente
(pense em serviços de TI básicos, como a rede e o diretório, dos quais muitos outros sistemas
confiam). Certifique-se de priorizar a ordem na qual os sistemas e serviços críticos são recuperados
ou reativados. Como parte da BIA, você estabelecerá os objetivos de tempo de recuperação (RTOs)
(quanto tempo leva para se recuperar), os objetivos de ponto de recuperação (RPOs) e o tempo
máximo de inatividade tolerável (MTD). os custos de tempo de inatividade e recuperação.
1.8 Contribuir para aplicar políticas e procedimentos de

segurança de pessoal
Em muitas organizações, o risco número um para o ambiente de TI são as pessoas. E não é apenas a equipe
de TI, mas qualquer pessoa que tenha acesso à rede. Atores maliciosos segmentam rotineiramente usuários
com campanhas de phishing e spear phishing, engenharia social e outros tipos de ataques. Todo mundo é
um alvo. E quando os invasores comprometem uma conta, eles podem usar esse ponto de entrada para se
movimentar na rede e elevar seus privilégios. As seguintes estratégias podem reduzir seu risco:
• Triagem e contratação de candidatos. A seleção de candidatos é uma parte essencial do

processo de contratação. Certifique-se de realizar uma verificação completa de antecedentes que
inclua uma verificação de antecedentes criminais, verificação do histórico profissional, verificação
educacional, validação de certificação e confirmação de outros elogios, quando possível. Além
disso, entre em contato com todas as referências.
• Contratos e políticas de emprego. Um contrato de trabalho especifica deveres do trabalho,

expectativas, taxa de pagamento, benefícios e informações sobre a rescisão. Às vezes, esses
contratos são por um período determinado (por exemplo, em um contrato ou trabalho de curto
prazo). Contratos de emprego facilitam a rescisão quando necessário para um funcionário com
desempenho insatisfatório. Quanto mais informações e detalhes em um contrato de emprego,
menor o risco (risco de um processo de rescisão por negligência, por exemplo) que a empresa
tem durante um processo de rescisão. Por exemplo, um funcionário demitido pode levar uma
cópia de seu e-mail sem pensar nele como algo roubado, mas é menos provável que o faça se um
contrato de emprego ou outro documento de política o proíba claramente.
• Processos de integração e rescisão. A integração abrange todos os processos vinculados a um

novo funcionário, começando pela sua organização. A implementação de um processo
documentado permite que novos funcionários sejam integrados da forma mais rápida e consistente
possível, o que reduz o risco. Por exemplo, se você tiver cinco administradores de TI executando os
vários processos de integração, você poderá obter resultados diferentes sempre que não tiver os
processos padronizados e documentados; uma nova contratação pode acabar com mais acesso do
que o necessário para o trabalho. A rescisão é, às vezes, um processo cordial, como quando um
trabalhador se aposenta depois de 30 anos. Outras vezes, pode ser uma situação de alto estresse,
como quando uma pessoa está sendo encerrada inesperadamente. Você precisa ter políticas e
procedimentos documentados para lidar com todos os processos de encerramento. O objetivo é ter
um procedimento para revogar imediatamente todo o acesso a todos os recursos da empresa. Em
um mundo perfeito, você apertaria um botão e todo o acesso seria revogado imediatamente.
• Contratos e controles de fornecedores, consultores e contratados. Quando trabalhadores que

não são funcionários em tempo integral têm acesso à sua rede e dados, você deve tomar
precauções extras. Os consultores costumam trabalhar com vários clientes simultaneamente. Por
isso, você precisa ter proteções para garantir que os dados de sua empresa não estejam
misturados com dados de outras organizações ou transmitidos acidental ou deliberadamente a
pessoas não autorizadas. Em organizações de alta segurança, é comum que a organização emita
um dispositivo de computação para consultores e permita que o consultor acesse a rede e os
dados somente por meio desse dispositivo. Além das proteções técnicas, você também deve ter
uma maneira de identificar consultores, fornecedores e contratados. Por exemplo, talvez eles
tenham um distintivo de segurança diferente dos empregados regulares em tempo integral. Talvez
eles estejam na mesma área ou seus nomes de exibição no diretório indiquem seu status.
• Requisitos da política de conformidade. As organizações têm que aderir a diferentes exigências

de conformidade, dependendo de seu setor, país e outros fatores. Todos eles precisam manter a
documentação sobre suas políticas e procedimentos para atender a esses requisitos. Os
funcionários devem ser treinados nos mandatos de conformidade da empresa em alto nível
mediante contratação e regularmente depois disso (como uma nova certificação por ano).
• Requisitos da política de privacidade. As informações pessoalmente identificáveis sobre

funcionários, parceiros, contratados, clientes e outras pessoas devem ser armazenadas de maneira
segura, acessíveis apenas àqueles que exigem as informações para realizar seus trabalhos. Por
exemplo, alguém no departamento de folha de pagamento pode precisar acessar as informações
bancárias de um funcionário para que ele receba o pagamento automaticamente, mas ninguém
mais poderá acessar esses dados. As organizações devem manter uma política de privacidade
documentada que descreva os tipos de dados cobertos pela política e a quem a política se aplica.
Funcionários, contratados e qualquer outra pessoa que possa ter acesso aos dados devem ser
obrigados a ler e concordar com a política de privacidade após a contratação e em uma base regular
a partir de então (como anualmente).
1.9 Entenda e aplique conceitos de gerenciamento de risco

O gerenciamento de riscos envolve três etapas principais: identificar ameaças e vulnerabilidades, avaliar o
risco (avaliação de riscos) e escolher se e como responder (geralmente a escolha é a mitigação de riscos).
Como parte do gerenciamento do risco geral, a equipe de TI se esforça para proteger o ambiente de TI,
fornecer informações às equipes de gerenciamento para que possam tomar decisões informadas e permitir
que a equipe de gerenciamento conclua o ambiente de TI com base nas metas e requisitos. A gestão de
riscos também tem um componente financeiro: a equipe de gerenciamento deve equilibrar o risco com o
orçamento. Em um mundo perfeito, a empresa gastaria a quantia mínima de dinheiro e tempo para
minimizar o risco a um nível aceitável para a organização.
• Identifique ameaças e vulnerabilidades. Ameaças e vulnerabilidades estão ligadas. Uma ameaça

(como um hacker assumindo um computador cliente) é possível quando uma vulnerabilidade (como
um computador cliente
sem correção) está presente. Essa é uma ameaça conhecida. Mas ameaças desconhecidas também existem,
como quando um hacker está ciente de um bug que ninguém mais conhece em seu software antivírus e
pode comprometer remotamente seu computador.
• Avalie o risco. Você corre um risco quando tem uma ameaça e uma vulnerabilidade. Nesses casos,
você precisa descobrir as chances de a ameaça explorar a vulnerabilidade e as consequências se
isso acontecer. Familiarize-se com as abordagens:
• Qualitativo: Esse método usa uma matriz de análise de risco e atribui um valor de risco,
como baixo, médio ou alto. Por exemplo, se a probabilidade for rara e as conseqüências
forem baixas, o risco será baixo. Se a probabilidade é quase certa e as conseqüências
são maiores, então o risco é extremo.
• Quantitativo: Este método é mais objetivo que o método qualitativo; Ele usa dólares ou
outras métricas para quantificar o risco.
• Híbrido. Uma mistura de qualitativa e quantitativa. Se você pode facilmente atribuir um

valor em dólar, você faz; se não, você não. Isso muitas vezes pode fornecer um bom
equilíbrio entre qualitativo e quantitativo.
• Responda ao risco. Você deve formular um plano de ação para cada risco identificado. Para um
determinado risco, você pode escolher mitigação de risco (reduzir o risco), atribuição de risco
(atribuir o risco a uma equipe ou fornecedor para ação), aceitação de risco (aceitar o risco) ou
rejeição de risco (ignorar o risco).
Fora das três etapas principais para aplicar o gerenciamento de riscos, você deve se familiarizar com alguns
dos detalhes dessas três etapas:
• Seleção e implementação de contramedidas. Você pode usar uma solução de software ou

hardware para reduzir um risco específico, implementando uma contramedida, às vezes chamada
de “controle” ou “salvaguarda”. Suponha que você tenha uma política de senha que um aplicativo
herdado não possa atender tecnicamente (por exemplo, aplicativo é limitado a 10 caracteres para a
senha). Para reduzir a probabilidade de que a senha seja comprometida, você pode implementar
várias contramedidas: Por exemplo, você pode exigir que a senha seja alterada com mais
freqüência do que outras senhas (mais longas) ou exigir que a senha seja armazenada em um cofre
de senha segura. que requer autenticação de dois fatores. Para a sua preparação para o exame,
não basta entender as palavras e definições; Entenda como você implementa os conceitos em seu
ambiente. Você não precisa fornecer uma configuração técnica passo a passo, mas precisa
entender o processo de implementação - onde você começa, a ordem das etapas que você toma e
como termina.
• Tipos aplicáveis de controles. Familiarize-se com os 6 tipos de controles:
• Preventivo. Esse tipo de controle destina-se a impedir que um incidente de segurança

aconteça. Por exemplo, você adiciona um produto antivírus aos seus computadores.
• Detetive. Esse tipo de controle é usado para identificar os detalhes de um incidente

de segurança, incluindo (às vezes) o invasor.
• Corretivo. Um controle corretivo implementa uma correção após um incidente de segurança.
• Dissuasivo. Esse tipo de controle tenta desencorajar os invasores. Por exemplo, você trava
18
seu escritório sempre que sai para o almoço ou vai para casa durante o dia.
• Recuperação. Um controle de recuperação tenta recuperar o ambiente para onde estava

antes de um incidente de segurança.
• Compensador. Um controle de compensação é um controle alternativo para reduzir

um risco. Suponha que você precise permitir que usuários externos acessem seu site do
SharePoint, que reside em sua rede local. Em vez de abrir o firewall para permitir a
comunicação da Internet para os servidores do SharePoint, você pode implementar um
controle de compensação, como implantar um proxy reverso na rede de perímetro e
habilitar o acesso externo do SharePoint por meio do proxy reverso. No final, a
funcionalidade é normalmente a mesma, mas o método de chegar lá é diferente.
• Avaliação de Controle de Segurança (SCA). Você precisa avaliar periodicamente seus controles de
segurança. O que está funcionando? O que não está funcionando? Como parte dessa avaliação, o
documento existente deve ser cuidadosamente revisado e alguns dos controles devem ser testados
aleatoriamente. Um relatório é tipicamente produzido para mostrar os resultados e permitir que a
organização corrija deficiências.
• Monitoramento e Medição. Monitoramento e medição estão intimamente alinhados com a

identificação de riscos. Por exemplo, se houver muitas tentativas de consultas de banco de dados
inválidas vindas de seu servidor da Web, isso pode indicar um ataque. No mínimo, vale a pena
investigar. Se a ação é necessária dependerá. Sem o monitoramento adequado, você não saberá
sobre esses tipos de eventos. Você pode não saber quando uma pessoa está investigando sua rede.
Mesmo que você esteja capturando informações de monitoramento, isso não é suficiente por si só.
Você também precisa de uma maneira de medir isso. Por exemplo, se seu monitoramento mostrar
500 tentativas de logon inválidas no seu servidor da Web hoje, isso é motivo de preocupação? Ou
isso é típico porque você tem 75.000 usuários? Embora o monitoramento seja usado para mais de
fins de segurança, é necessário ajustá-lo para garantir que você seja notificado sobre possíveis
incidentes de segurança o quanto antes. Em alguns casos, será tarde demais e poderá ocorrer uma
violação de dados. É quando os dados de monitoramento se tornam valiosos de uma perspectiva
forense. Você precisa analisar os dados e descobrir por que não viu nada durante o incidente e
quais ajustes precisa ser feito para minimizar as chances de que isso aconteça novamente.
• Avaliação de ativos. Quando você pensa em ativos, não pense apenas em ativos físicos, como
computadores e móveis de escritório (ativos tangíveis). Os ativos também incluem os dados da
empresa e a propriedade intelectual (ativos intangíveis). Embora os ativos tangíveis sejam fáceis de
avaliar por valor (por exemplo, você comprou a unidade de disco por US $ 250,00), dados e
propriedade intelectual podem ser mais difíceis de colocar um valor. Familiarize-se com as seguintes
estratégias de avaliação de ativos intangíveis:
• Abordagem de custo. Quanto custaria para substituir o ativo?
• Abordagem de renda. Quanta renda o ativo produzirá ao longo de sua vida útil?
• Abordagem de mercado. Quanto custa um ativo semelhante?
19
• Quantidade aproximada. Atribui um valor em dólar para avaliar o risco.
• Abordagem Qualitativa. Atribui uma pontuação para avaliar o risco.
• Relatórios. Um dos fundamentos de uma solução de segurança de nível empresarial é a

capacidade de gerar relatórios sobre seu ambiente (o que você tem, quais são os principais riscos,
o que está acontecendo agora, o que aconteceu há três dias etc.). Relatórios fornece informações.
E essa informação é usada às vezes para iniciar um processo de melhoria contínua.
• Melhoria continua. Melhoria contínua é um esforço contínuo e interminável para pegar o que você
tem e melhorá-lo. Muitas vezes, as melhorias são pequenas e incrementais. No entanto, com o
tempo, pequenas melhorias podem se somar. A melhoria contínua pode ser aplicada aos produtos
(por exemplo, atualizando para a versão mais recente), serviços (por exemplo, expandindo seu teste
interno de phishing) ou processos (por exemplo, automatizando processos para economizar tempo
e melhorar a consistência).
• Estruturas de risco. Uma estrutura de riscos documenta como sua organização lida com a
avaliação de riscos, a resolução de riscos e o monitoramento contínuo. Veja
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/ NIST.SP.800-37r1.pdf para um exemplo de
uma estrutura de risco. Existem outras estruturas de risco, como o British Standard BS 31100.
Familiarize-se com as estruturas de risco e seus objetivos. A estrutura do NIST identifica as
seguintes etapas: categorizar, selecionar, implementar, avaliar, autorizar e monitorar.
1.10 Compreender e aplicar conceitos e metodologias de

modelagem de ameaças
When you perform threat modeling for your organization, you document potential threats and prioritize
those threats (often by putting yourself in an attacker’s mindset). There are four well-known methods.
STRIDE, introduced at Microsoft in 1999, focuses on spoofing of user identity, tampering, repudiation,
information disclosure, denial of service and elevation of privilege. PASTA (process for attack simulation and
threat analysis) provides dynamic threat identification, enumeration and scoring. Trike uses threat models
based on a requirements model. VAST (visual, agile and simple threat modeling) applies across IT
infrastructure and software development without requiring security experts.
• Metodologias de modelagem de ameaças. Parte do trabalho da equipe de segurança é

identificar ameaças. Você pode identificar ameaças usando métodos diferentes:
• Concentre-se em atacantes. Este é um método útil em situações específicas. Por exemplo,

suponha que o emprego de um desenvolvedor seja encerrado. Depois de extrair dados do
computador do desenvolvedor, você determina que a pessoa ficou descontente e irritada
com a equipe de gerenciamento. Agora você sabe que essa pessoa é uma ameaça e pode se
concentrar no que ela deseja alcançar. No entanto, fora de situações específicas como essa,
as organizações geralmente não estão familiarizadas com seus invasores.
• Concentre-se em ativos. Your organization’s most valuable assets are likely to be

targeted by attackers. For example, if you have a large number of databases, the
database with the HR and employee information might be the most sought after.
20
• Foco em software. Muitas organizações desenvolvem aplicativos em casa, seja para uso
próprio ou para uso do cliente. Você pode analisar seu software como parte de seus esforços
de identificação de ameaças. O objetivo não é identificar todos os possíveis ataques, mas sim
focar no quadro geral, como se os aplicativos são suscetíveis a ataques de DoS ou divulgação
de informações.
• Conceitos de modelagem de ameaças. Se você compreender as ameaças à sua organização, estará

pronto para documentar os possíveis vetores de ataque. Você pode usar o diagrama para listar as
várias tecnologias sob ameaça. Por exemplo, suponha que você tenha um servidor do SharePoint
que armazene informações confidenciais e, portanto, seja um alvo em potencial. Você pode
diagramar o ambiente integrando com o SharePoint. Você pode listar os firewalls de borda, o proxy
reverso na rede de perímetro, os servidores do SharePoint no farm e os servidores de banco de
dados. Separadamente, você pode ter um diagrama mostrando a integração do SharePoint com o
Active Directory e outros aplicativos. Você pode usar esses diagramas para identificar vetores de
ataque contra as várias tecnologias.
1.11 Aplique conceitos de gerenciamento baseados em risco à

cadeia de suprimentos
As organizações devem usar conceitos de gerenciamento baseados no risco quando contratam tarefas
(como contratar uma empresa de ar condicionado para manter o ar condicionado em seus data centers),
contratar novos fornecedores ou utilizar empresas de serviços para transportar seus produtos. Muitos
desses conceitos também se aplicam a fusões e aquisições.
• Riscos associados a hardware, software e serviços. A empresa deve realizar due diligence, que
inclui a análise da infraestrutura de TI do fornecedor. Ao pensar sobre as considerações de risco,
você deve considerar:
• Hardware. A empresa está usando hardware antiquado que apresenta possíveis

problemas de disponibilidade? A empresa está usando hardware herdado que
não está sendo corrigido pelo fornecedor? Haverá problemas de integração com o
hardware?
• Software. A empresa está usando software que está fora de suporte ou de um fornecedor
que não está mais no mercado? O software está atualizado em patches de segurança?
Existem outros riscos de segurança associados ao software?
• Serviços. A empresa presta serviços para outras empresas ou para usuários finais? A
empresa é dependente de provedores terceirizados de serviços (como aplicativos SaaS)? A
empresa avaliou os provedores de serviços de forma a permitir que sua empresa
atendesse aos seus requisitos? A empresa presta serviços a seus concorrentes? Em caso
afirmativo, isso introduz algum conflito de interesses?
• Avaliação e monitoramento de terceiros. BAntes de concordar em fazer negócios com outra

empresa, sua organização precisa aprender o máximo possível sobre essa empresa. Muitas vezes,
avaliações de terceiros são usadas para ajudar a coletar informações e realizar a avaliação. Uma
21
avaliação no local é útil para obter informações sobre segurança física e operações. Durante a
revisão do documento, seu objetivo é revisar completamente toda a arquitetura, projetos,
implementações, políticas, procedimentos, etc. Você precisa ter um bom entendimento do estado
atual do ambiente, especialmente para entender quaisquer falhas ou problemas de conformidade.
antes de integrar as infraestruturas de TI. Você precisa garantir que a infraestrutura da outra
empresa atenda a todos os requisitos de segurança e conformidade da sua empresa. O nível de
acesso e a profundidade de informações que você pode obter estão, muitas vezes, diretamente
relacionados a quão próximas suas empresas trabalharão juntas. Por exemplo, se uma empresa é
seu principal fornecedor de um componente de hardware crítico, uma avaliação completa é
essencial. Se a empresa é uma das três empresas de entrega usadas para transportar mercadorias
de seu depósito, a avaliação é importante, mas não precisa ser tão profunda.
• Requisitos mínimos de segurança. Como parte da avaliação, os requisitos mínimos de

segurança devem ser estabelecidos. Em alguns casos, os requisitos mínimos de segurança são os
requisitos de segurança da sua empresa. Em outros casos, novos requisitos mínimos de
segurança são estabelecidos. Em tais cenários, os requisitos mínimos de segurança devem ter
um período definido, como 12 meses.
• Requisitos de nível de serviço. Uma área final a ser analisada envolve contratos de nível de
serviço (SLAs). As empresas têm SLAs para operações internas (por exemplo, quanto tempo leva
para o helpdesk responder a um novo ticket), para clientes (como a disponibilidade de um serviço
público) e para organizações parceiras (como quanto suporte fornecedor fornece um parceiro).
Todos os SLAs da empresa devem ser revisados. Sua empresa às vezes tem um padrão de SLA
que deve ser aplicado, quando possível, aos SLAs como parte do trabalho com outra empresa.
22
Às vezes, isso pode levar tempo, já que a empresa adquirente pode ter que dar suporte aos SLAs
estabelecidos até que eles expirem ou que a renovação ocorra.
1.12 Estabelecer e manter um programa de conscientização,

educação e treinamento sobre segurança
Esta seção do exame abrange todos os aspectos de garantir que todos em sua organização estejam
conscientes da segurança e familiarizados com as políticas e procedimentos da organização. Em geral, é
mais eficaz começar com uma campanha de conscientização e, em seguida, fornecer treinamento detalhado.
Por exemplo, ensinar a todos sobre campanhas de malware ou phishing antes que eles entendam que a
imagem maior do risco não é muito eficaz.
• Métodos e técnicas para apresentar conscientização e treinamento. Embora a equipe de

segurança da informação seja geralmente bem versada em segurança, o restante da organização
geralmente não é. Como parte de um programa de segurança abrangente, a organização deve
oferecer educação, treinamento e conscientização de segurança para toda a equipe. Os
funcionários precisam entender o que devem estar cientes (tipos de ameaças, como phishing ou
pen drives), entender como executar seus trabalhos com segurança (criptografar dados
confidenciais, proteger fisicamente ativos valiosos) e como a segurança desempenha um papel
importante picture (reputação da empresa, lucros e perdas). O treinamento deve ser obrigatório e
fornecido tanto para os novos funcionários quanto anualmente (no mínimo) para treinamento
contínuo. Devem ser realizados testes de rotina de segurança operacional (como a utilização não
autorizada nas portas da empresa e testes de engenharia social, como campanhas de phishing).
• Revisões periódicas de conteúdo. Ameaças são complexas e o treinamento precisa ser relevante e
interessante para ser eficaz. Isso significa atualizar os materiais de treinamento e o treinamento de
conscientização e alterar as formas pelas quais a segurança é testada e medida. Se você sempre usa
a mesma campanha de teste de phishing ou a envia da mesma conta no mesmo dia do ano, ela não
é eficaz. O mesmo se aplica a outro material. Em vez de contar com uma documentação de
segurança longa e detalhada para treinamento e conscientização, considere o uso de ferramentas
internas de mídia social, vídeos e campanhas interativas.
• Avaliação da eficácia do programa. Tempo e dinheiro devem ser alocados para avaliar a
conscientização e o treinamento de segurança da empresa. A empresa deve acompanhar as
principais métricas, como a porcentagem de funcionários que clicam em um link em um e-mail de
phishing de teste. A conscientização e o treinamento estão diminuindo o número total de cliques? Se
sim, o programa é efetivo. Se não, você precisa reavaliar.
19
Domínio 1 Revisão perguntas
Leia e responda às seguintes perguntas. Se você não obtiver pelo menos um deles correto, passe mais
tempo com o assunto. Em seguida, vá para o domínio 2.
1. 1. Você é um consultor de segurança. Um cliente de grande porte o contrata para garantir que suas
operações de segurança estejam seguindo as estruturas de controle padrão da indústria. Para este
projeto, o cliente quer que você se concentre em soluções tecnológicas que desencorajam
atividades maliciosas. Em qual tipo de estrutura de controle você deve se concentrar?
a. Preventivo
b. Dissuasivo
c. Detectivo
d. Corretivo
e. Avaliativo
2. Você está executando uma análise de risco para um provedor de serviços de Internet (ISP) que
possui milhares de clientes em sua rede de banda larga. Nos últimos 5 anos, alguns clientes
sofreram violações de dados comprometidas ou experientes. O ISP possui uma grande quantidade
de dados de monitoramento e registro para todos os clientes. Você precisa descobrir as chances de
clientes adicionais experimentarem um incidente de segurança com base nesses dados. Que tipo de
abordagem você deve usar para a análise de risco?
a. Qualitativo
b. Quantitativo
c. STRIDE
d. Redução
e. Mercado
3. Você está trabalhando em um projeto de continuidade de negócios para uma empresa que gera
uma grande quantidade de conteúdo todos os dias para uso em redes sociais. Sua equipe
estabelece 4 horas como a perda de dados tolerável máxima em um evento de recuperação de
desastre ou continuidade de negócios. Em que parte do plano de continuidade de negócios você
deve documentar isso?
a. Recovery time objective (RTO)
20
b. Recovery point objective (RPO)
c. Maximum tolerable downtime (MTD)
d. Maximum data tolerance (MDT)
21
Respostas às Perguntas de Revisão do
Domínio 1
1. Resposta: B
Explicação: As estruturas impeditivas são relacionadas à tecnologia e usadas para desencorajar
atividades maliciosas. Por exemplo, um sistema de prevenção de intrusões ou um firewall seria
apropriado nessa estrutura. Existem três outras estruturas de controle primário. Uma estrutura
preventiva ajuda a estabelecer políticas de segurança e treinamento de conscientização de
segurança. Uma estrutura de detetive concentra-se em localizar atividades não autorizadas em seu
ambiente após um incidente de segurança. Uma estrutura corretiva enfoca atividades para
recuperar seu ambiente após um incidente de segurança. Não existe um quadro de avaliação.
2. Resposta: B
Explicação: Você tem três métodos de análise de risco para escolher: qualitativo (que usa uma
matriz de análise de risco), quantitativo (que usa dinheiro ou métricas para calcular) ou híbrido (uma
combinação de qualitativa e quantitativa, mas não uma opção de resposta nesse cenário). Como o
ISP tem dados de monitoramento e registro, você deve usar uma abordagem quantitativa; isso
ajudará a quantificar as chances de clientes adicionais experimentarem um risco de segurança. O
STRIDE é usado para modelagem de ameaças. Uma abordagem de mercado é usada para avaliação
de ativos. Uma análise de redução tenta eliminar a análise duplicada e está vinculada à modelagem
de ameaças.
3. Resposta: B
Explicação: O RTO estabelece o tempo máximo que a organização ficará inativa (ou quanto tempo
leva para se recuperar), o RPO estabelece a perda máxima de dados que é tolerável, o MTD cobre o
tempo máximo de inatividade tolerável e o MDT é apenas um make-up frase usada como uma
distração. Nesse cenário, com o foco na perda de dados, a resposta correta é RPO.
22
Domínio 2. Segurança de Ativos
Quando pensamos em ativos, algumas pessoas consideram apenas ativos físicos, como prédios, terrenos e
computadores. Mas a segurança de ativos para o exame CISSP se concentra em ativos virtuais, como
propriedade intelectual e dados. (No Domínio 3, haverá alguns tópicos de segurança física.)
2.1 Identificar e classificar informações e ativos

Para melhorar a segurança, você precisa identificar seus dados e seus ativos físicos e classificá-los de
acordo com sua importância ou sensibilidade, para que você possa especificar procedimentos para lidar
com eles de maneira apropriada com base em sua classificação.
• Classificação de dados. Organizações classificam seus dados usando rótulos. Você pode estar
familiarizado com dois rótulos de classificação do governo, Secret e Top Secret. As organizações não
governamentais geralmente usam rótulos de classificação como Público, Apenas Uso Interno,
Somente Uso do Parceiro ou Confidencial da Empresa. No entanto, a classificação de dados pode
ser mais granular; por exemplo, você pode rotular determinadas informações como apenas RH.
• Classificação de ativos. Você também precisa identificar e classificar os ativos físicos, como
computadores, smartphones, carteiras e carros da empresa. Ao contrário dos dados, os ativos são
normalmente identificados e classificados por tipo de ativo. Muitas vezes, a classificação de ativos
é usada para fins contábeis, mas também pode estar vinculada à segurança da informação. Por
exemplo, uma organização pode designar um conjunto de laptops especiais com software
específico instalado e atribuí-los aos funcionários quando eles viajam para destinos de alto risco,
para que seus ativos do dia-a-dia possam permanecer em segurança em casa.
Os rótulos de classificação ajudam os usuários a disseminar dados e recursos de maneira adequada. Por
exemplo, se a Sue tiver um documento classificado como Somente Uso do Parceiro, ela saberá que ele pode
ser distribuído apenas aos parceiros; qualquer outra distribuição é uma violação da política de segurança.
Além disso, algumas soluções de prevenção de perda de dados podem usar dados de classificação para
ajudar a proteger os dados da empresa automaticamente. Por exemplo, um servidor de e-mail pode impedir
que documentos classificados como Apenas Uso Interno sejam enviados para fora da organização.
As pessoas com a permissão certa podem visualizar determinadas classificações de dados ou verificar certos
tipos de equipamentos da empresa (como um caminhão da empresa). Embora a liberação seja
freqüentemente associada a governos ou militares, também é útil para as organizações. Algumas
organizações usam isso rotineiramente em todos os seus ambientes, enquanto outras organizações o usam
para cenários especiais, como uma fusão ou aquisição. Ao estudar para esta seção, concentre-se em
entender os seguintes conceitos:
• Autorização. A autorização determina quem tem acesso a quê. Geralmente, uma certa liberação
fornece acesso a uma determinada classificação de dados ou a determinados tipos de
equipamentos. Por exemplo, a autorização secreta dá acesso a documentos secretos, e uma
organização de aplicação da lei pode exigir um determinado nível de autorização para o uso de
armas pesadas.
• Aprovação formal de acesso. Sempre que um usuário precisar obter acesso a dados ou recursos
aos quais não tem acesso atualmente, deverá haver um processo de aprovação formal. O processo
deve envolver a aprovação do proprietário dos dados, que deve receber detalhes sobre o acesso
solicitado. Antes de um usuário ter acesso aos dados, eles devem receber as regras e limites de
trabalho com ele. Por exemplo, eles devem estar cientes de que não devem enviar documentos para
fora da organização se forem classificados como Somente Internos.
• Necessidade de saber. Suponha que sua empresa esteja adquirindo outra empresa, mas ainda não
foi anunciada. O CIO, que está ciente da aquisição, precisa que a equipe de TI analise alguns
diagramas de rede redigidos como parte do processo de due diligence. Nesse cenário, a equipe de
TI recebe apenas as informações que precisam saber (por exemplo, que é um layout de rede e a
empresa está interessada em sua compatibilidade com sua própria rede). A equipe de TI não precisa
saber sobre a aquisição naquele momento. Isso é "necessidade de saber".
2.2 Determinar e manter informações e propriedade de ativos

Se você não sabe quem é o proprietário de um dado, como você pode passar por um processo formal de
aprovação de acesso? Você não pode, pelo menos não de maneira tão eficaz. Da mesma forma, não é
possível contabilizar adequadamente os recursos se você não souber qual departamento é o proprietário
deles ou atribuir o tipo certo de laptop para viagens de alto risco se você não tiver os materiais classificados.
Os proprietários de dados são responsáveis por classificar os dados que possuem. Em empresas maiores,
um departamento de gerenciamento de ativos lida com classificação de ativos. Um custodiante é uma
função prática que implementa e opera soluções para dados (por exemplo, backups e restaurações). Um
proprietário do sistema é responsável pelo ambiente do computador (hardware, software) que armazena
dados; isso é tipicamente uma função de gerenciamento com tarefas operacionais entregues ao custodiante.
2.3 Proteger a privacidade

Todos os funcionários precisam estar cientes das políticas e procedimentos de privacidade da empresa e
saber como entrar em contato com os proprietários de dados no caso de um problema. Os principais
termos para entender incluem o seguinte:
• Proprietários de dados. Os proprietários de dados geralmente são membros da equipe de

gerenciamento ou de gerenciamento sênior. Eles aprovam o acesso aos dados (geralmente
aprovando as políticas de acesso a dados usadas diariamente).
• Processadores de dados. Processadores de dados são os usuários que leem e editam os dados
regularmente. Os usuários devem entender claramente suas responsabilidades com dados com
base em sua classificação. Eles podem compartilhar isso? O que acontece se eles perdem ou
destroem acidentalmente?
• Remanência de dados. A remanência de dados ocorre quando os dados são excluídos, mas
permanecem recuperáveis. Sempre que você exclui um arquivo, o sistema operacional marca o
espaço que o arquivo utilizou como disponível. Mas os dados ainda estão lá e, com ferramentas de
download gratuito, você pode extrair facilmente esses dados. As organizações precisam contabilizar
a remanência de dados para garantir que estejam protegendo seus dados. Existem algumas
opções:
• Exclusão segura ou sobrescrita de dados. Você pode usar uma ferramenta para
sobrescrever o espaço que um arquivo estava usando com 1s e 0s aleatórios, em uma
25
passagem ou em várias passagens. Quanto mais passes você usa, menos provável é que os
dados possam ser recuperados.
• Destruindo a mídia. Você pode destruir as unidades de disco, esmagá-las em pequenos

pedaços ou usar outros meios para destruí-las fisicamente. Isso é eficaz, mas torna a mídia
inutilizável depois disso.
Desmagnetização. A desmagnetização depende da remoção ou redução de campos magnéticos

nas unidades de disco. É muito eficaz e está em conformidade com muitos requisitos
governamentais para reminiscência de dados.
• Limitação de coleta. A segurança geralmente se concentra na proteção dos dados que você já
possui. Mas parte da proteção de dados está limitando a quantidade de dados que sua organização
coleta. Por exemplo, se você coletar datas de nascimento ou números de cartão de identificação dos
usuários, deverá proteger esses dados. Se sua organização não precisa dos dados, ela não deve ser
coletada. Muitos países estão promulgando leis e regulamentos para limitar a coleta de dados. Mas
muitas organizações não sabem e continuam a coletar grandes quantidades de dados confidenciais.
Você deve ter uma política de privacidade que especifique quais informações são coletadas, como
são usadas e outros detalhes pertinentes.
2.4 Garantir a retenção apropriada de ativos

Há dois aspectos para a retenção de dados: você deve garantir que a sua organização mantenha os dados
pelo tempo que for necessário e que os dados que não são mais necessários sejam apagados com
segurança, para reduzir o risco de exposição.
Para determinar por quanto tempo manter determinados dados, você precisa considerar se os dados ainda
são úteis para sua organização e se existem regulamentações, motivos legais ou políticas da empresa que
exijam sua retenção. Em muitos casos, uma empresa deve manter os dados por mais tempo do que os
dados fornecem valor; por exemplo, sua organização pode ter uma política para reter dados de e-mail por
sete anos, independentemente de seu valor. Como parte de suas políticas de segurança abrangentes, você
deve garantir a destruição de dados desnecessários.
Além dos dados, esta seção também abrange o hardware e o pessoal necessários para usar os dados. Estes são
muito importantes.
• Hardware. Mesmo se você mantiver dados para o período de retenção adequado, isso não será
bom se você não tiver hardware que possa ler os dados. Por exemplo, se você tiver dados sobre fitas
de backup e os mantiver por 10 anos, correrá o risco de não conseguir ler as fitas no final do período
de retenção, pois o hardware da fita muda a cada poucos anos. Portanto, você deve garantir que o
hardware e o software relacionado (unidades de fita, leitores de mídia e assim por diante) sejam
necessários para acessar os dados que está salvando.
• Pessoal. Suponha que sua empresa esteja retendo dados para os períodos de tempo necessários e
mantendo o hardware para ler os dados. Mas o que acontece se a única pessoa que sabia como
operar suas unidades de fita e restaurar dados a partir delas não trabalha mais na empresa e a
nova equipe estiver familiarizada apenas com o backup de disco para disco? Você pode não
26
conseguir acessar seus dados! Ao documentar todos os procedimentos e arquitetura, você pode
minimizar esse risco.
2.5 Determinar controles de segurança de dados

Você precisa de controles de segurança de dados que protejam seus dados à medida que são armazenados, usados
e transmitidos.
• Entendendo os estados dos dados. A indústria identifica três estados de dados:
• Dados em repouso são dados armazenados em um meio de armazenamento (disco, fita, etc.).
• Dados em movimento são dados passando de uma fonte (como um computador)

para um destino (como outro computador).
• Dados em uso são dados que estão sendo ativamente trabalhados (por exemplo, uma
pessoa editando uma planilha).
• Escopo e adaptação. Escopo é o processo de finalização de quais controles estão no escopo e

quais estão fora do escopo (não aplicável). Adaptação é o processo de personalizar a
implementação de controles para uma
organização.
• Seleção de padrões. A seleção de padrões é o processo pelo qual as organizações planejam,

escolhem e documentam tecnologias e / ou arquiteturas para implementação. Por exemplo, você
pode avaliar três fornecedores para uma solução de firewall de borda. Você pode usar um processo
de seleção de padrões para ajudar a determinar qual solução melhor se adapta à organização. A
seleção de fornecedores está intimamente relacionada à seleção de padrões, mas se concentra nos
fornecedores, não nas tecnologias ou soluções. O objetivo geral é ter um processo de seleção
objetiva e mensurável. Se você repetir o processo com uma equipe totalmente diferente, eles
devem escolher a mesma seleção da primeira equipe. Nesse cenário, você saberia que seu
processo de seleção está funcionando conforme o esperado.
• Métodos de proteção de dados. As opções para proteger os dados dependem do seu estado:
• Dados em repouso. Você pode criptografar dados em repouso. Você deve considerar a
criptografia dos volumes do sistema operacional e dos volumes de dados e também deve
criptografar os backups. Certifique-se de considerar todos os locais para dados em
repouso, como fitas, unidades USB, unidades externas, matrizes RAID, SAN, NAS e mídia
ótica.
• Dados em movimento. Os dados estão em movimento quando estão sendo transferidos de

um lugar para outro. Às vezes, ele está se movendo da sua rede local para a internet, mas
também pode ser interno à sua rede, como de um servidor para um computador cliente.
Você pode criptografar dados em movimento para protegê-los. Por exemplo, um servidor da
Web usa um certificado para criptografar dados sendo exibidos por um usuário e você pode
usar o IPsec para criptografar as comunicações. Existem muitas opções. O ponto mais
importante é usar a criptografia sempre que possível, inclusive para sites somente internos
disponíveis apenas para trabalhadores conectados à sua rede local.
27
• Dados em uso. Os dados em uso geralmente estão na memória porque estão sendo
usados, por exemplo, por um desenvolvedor trabalhando em algumas atualizações de
código ou um usuário executando relatórios sobre vendas da empresa. Os dados devem
estar disponíveis para as aplicações relevantes e funções do sistema operacional. Existem
algumas soluções de terceiros para criptografar dados na memória, mas a seleção é
limitada. Além de manter os patches mais recentes implantados em todos os dispositivos de
computação, manter um processo padrão de compilação do computador e executar
softwares antivírus e antimalware, as organizações geralmente usam autenticação,
monitoramento e registro fortes para proteger os dados em uso.
2.6 Estabeleça requerimentos de manuseio de ativos e informação

Esta seção aborda como as pessoas e os sistemas trabalham com dados. Isso inclui qualquer ação que
você possa realizar com os dados, como ler, copiar, editar ou excluir. Os principais subtópicos são
importantes para saber:
• Marcações e rótulos. Você deve marcar os dados para garantir que os usuários estejam seguindo
os requisitos de manuseio adequados. Os dados podem ser impressões ou mídia, como discos ou
fitas de backup. Por exemplo, se o processo de revisão do funcionário estiver no papel, os
documentos devem ser rotulados como confidenciais, para que qualquer pessoa que passar por
eles acidentalmente saiba não os ler, mas entregue-os ao proprietário dos dados ou a um membro
do gerenciamento ou segurança. equipe. Você também pode restringir a movimentação de dados
confidenciais, como fitas de backup, para determinados funcionários ou para determinadas áreas de
suas instalações. Sem rótulos, as fitas de backup podem não ser manipuladas de acordo com os
requisitos da empresa.
• Armazenamento. Você pode armazenar dados de várias maneiras, inclusive em papel, disco ou
fita. Para cada cenário, você deve definir os locais de armazenamento aceitáveis e informar os
usuários sobre esses locais. É comum fornecer um cofre ou seguro para fitas de backup
armazenadas nas instalações, por exemplo. O pessoal que lida com documentos confidenciais
deve ter um gabinete trancado ou armazenamento seguro similar para esses documentos. Os
usuários devem ter um local para armazenar arquivos com segurança, como um volume
criptografado ou uma pasta compartilhada criptografada.
• Destruição. Sua organização deve ter uma política para destruição de dados confidenciais. A
política deve cobrir todas as mídias que sua organização usa para armazenar dados - papel, disco,
fita, etc. Algumas classificações de dados, como aquelas que lidam com informações confidenciais
ou confidenciais, devem exigir a forma mais segura de destruição de dados, como destruição física
ou exclusão segura de dados com múltiplas passagens de sobregravação. Outras classificações
podem exigir apenas um único passo de substituição. O mais importante é documentar o requisito
para as várias formas de mídia e os níveis de classificação. Em caso de dúvida, destrua os dados
como se fossem classificados como os dados mais confidenciais da sua organização.
28
Domínio 2 Questões de revisão
Leia e responda às seguintes perguntas. Se você não obtiver pelo menos um correto, passe mais tempo com
o assunto. Em seguida, vá para o domínio 3.
1. Você está realizando uma auditoria de segurança para um cliente. Durante a auditoria, você
encontra várias instâncias de usuários obtendo acesso a dados sem passar por um processo
formal de aprovação de acesso. Como parte da correção, você recomenda estabelecer um
processo formal de aprovação de acesso. Qual papel você deve listar para aprovar políticas que
determinam quais usuários podem obter acesso aos dados?
a. Criador de dados
b. Processador de dados
c. Armazenamento de dados
d. Proprietário de dados
e. Proprietário de sistema
2. Sua organização tem como meta maximizar a proteção dos dados organizacionais. Você precisa
recomendar três métodos para minimizar a remanência de dados na organização. Quais dos
seguintes métodos você deve recomendar?
a. Formatar os volumes
b. Sobrescrever os dados
c. Encriptar os dados
d. Desmagnetização
e. Destruição física
3. Você está se preparando para criar um ambiente de nuvem híbrida para sua organização. Três
fornecedores apresentam sua solução proposta. Qual metodologia a sua equipe deve usar para
selecionar a melhor solução?
a. Seleção de padrões
b. Desvio padrão
c. Triagem de fornecedores
29
d. Revisão de fornecedores
30
Respostas às Questões de Revisão do
Domínio 2
1. Resposta: D
Explicação: Cada proprietário de dados é responsável por aprovar o acesso aos dados que eles
possuem. Isso normalmente é feito por meio da aprovação de políticas de acesso a dados que são
implementadas pela equipe de operações. Como parte de um processo formal de aprovação de
acesso, o proprietário dos dados deve ser a pessoa final responsável pelo acesso aos dados.
2. Resposta: B, D, E
Explicação: Quando você executa uma exclusão típica do sistema operacional, os dados
permanecem na mídia, mas o espaço na mídia é marcado como disponível. Assim, os dados são
frequentemente recuperáveis. Existem 3 métodos estabelecidos para impedir a recuperação de
dados: sobrescrevendo os dados (às vezes chamados de “exclusão segura” ou “limpeza”),
desmagnetização com ímãs e destruição física. A formatação de um volume não renderiza dados
irrecuperáveis e nem a criptografia de dados (se alguém tiver a chave de descriptografia, os dados
estarão em risco).
3. Resposta: A
Explicação: Nesse cenário, seu objetivo é avaliar as soluções apresentadas, não os fornecedores,
portanto, você deve usar um processo de seleção de padrões. Isso permitirá que a equipe
selecione a solução que melhor atenda às necessidades da organização. Embora um processo de
seleção de fornecedores faça parte do envolvimento com um fornecedor, esse cenário exige
especificamente a avaliação das soluções.
31
Domínio 3. Arquitetura e
engenharia de segurança
Este domínio é mais técnico do que alguns dos outros. Se você já trabalha em uma função de engenharia de
segurança, então você tem uma vantagem neste domínio. Se você não fizer isso, atribua um tempo extra
para ter certeza de que você tem uma compreensão firme dos tópicos. Tenha em atenção que alguns dos
conceitos neste domínio são de natureza fundamental, pelo que encontrará aspectos deles nos outros
domínios.
3.1 Implemente e gerencie processos de engenharia usando

princípios de design seguros
Ao gerenciar projetos ou processos, você precisa usar princípios comprovados para garantir que você
obtenha uma solução funcional que atenda ou exceda os requisitos, permaneça dentro do orçamento e não
apresente riscos desnecessários à organização. A seguir estão as fases de alto nível de um projeto:
• Ideia ou conceito. Você pode querer criar um aplicativo ou um novo site ou implantar uma nova
infraestrutura virtualizada local. Nesta fase, a prioridade é ficar em um nível alto, sem detalhes. Você
precisa documentar a ideia ou conceito. Por exemplo, você deseja desenvolver um aplicativo que
permita aos clientes agendar compromissos, gerenciar suas contas e pagar suas contas.
• Requisitos. É importante documentar todos os requisitos das várias unidades de negócios e partes
interessadas. Estabeleça os requisitos funcionais (por exemplo, o aplicativo permitirá que os
usuários paguem contas tirando uma foto do cartão de crédito) e requisitos não funcionais (por
exemplo, o aplicativo deve ser compatível com PCI DSS).
• Design. Em seguida, estabeleça um design para atender aos requisitos. Um design não pode ser
concluído sem todos os requisitos. Por exemplo, para saber como uma infraestrutura é robusta para
projetar, você precisa saber quantos usuários precisam usar o sistema simultaneamente. Parte da
fase de design deve ser focada em segurança. Por exemplo, você deve considerar o princípio de
privilégio mínimo, padrões de segurança contra falhas e segregação de funções.
• Desenvolver e implementar em um ambiente de não produção. Nesta fase, você cria e

implanta hardware, software e código, conforme aplicável ao seu projeto, em um ambiente de
não produção (geralmente um ambiente de desenvolvimento).
• Teste inicial. As equipes testam a implementação de não produção. O objetivo é encontrar

e eliminar os principais erros, falta de funcionalidade e outros problemas. É comum voltar à
fase anterior para fazer as mudanças necessárias. Ocasionalmente, você pode ter que voltar
para a fase de design.
• Implementação. Depois que todos os requisitos forem atendidos e a equipe estiver satisfeita, você
poderá passar para um ambiente de garantia de qualidade (QA). Lá, você repetirá a fase
"desenvolver e implementar" e a fase de testes. Em seguida, você moverá o aplicativo ou serviço
para o ambiente de produção.
32
• Suporte. Depois de implementar sua solução, você deve operacionalizá-lo. As equipes de suporte e
os caminhos de escalonamento devem ter sido identificados como parte do design.
Há muitas outras fases, como treinamento de usuários, comunicação e testes de conformidade. Lembre-se
de que pular qualquer uma dessas etapas reduz as chances de ter uma solução bem-sucedida e segura.
33
3.2 Entenda os conceitos fundamentais dos modelos de segurança
Os modelos de segurança permitem que as pessoas acessem apenas os dados classificados para o nível de
liberação. Existem muitos modelos. Nós cobriremos Bell-LaPadula e Biba, ambos usando fórmulas
matemáticas. Você não precisa conhecer as fórmulas ou outros detalhes para o exame, mas deve estar
familiarizado com os modelos e seus prós e contras.
• Bell-LaPadula. Este modelo foi criado em 1973 para a Força Aérea dos Estados Unidos. Concentra-
se na confidencialidade. O objetivo é garantir que a informação seja exposta apenas àqueles com o
nível correto de classificação. Por exemplo, se você tiver uma autorização secreta, poderá ler dados
classificados como Segredos, mas não como Dados extremamente secretos. Este modelo tem um
“sem leitura” (usuários com menor espaço livre não podem ler dados classificados em um nível
mais alto) e uma metodologia “sem redução de
estoque” (usuários com uma autorização maior do que os dados não podem modificar esses dados).
Observe que Bell-LaPadula não aborda "escrever", o que poderia permitir que um usuário com uma
autorização mais baixa escrevesse para os dados classificados em um nível mais alto. Para lidar com
essa complexidade, esse modelo geralmente é aprimorado com outros modelos que se concentram
na integridade. Outra desvantagem desse modelo é que ele não leva em conta canais ocultos. Um
canal secreto é uma maneira de enviar dados secretamente através de uma conexão existente. Por
exemplo, você pode enviar uma única letra dentro do cabeçalho de identificação IP. O envio de uma
mensagem grande é lento. Mas muitas vezes essa comunicação não é monitorada ou capturada.
• Biba. Lançado em 1977, este modelo foi criado para complementar Bell-LaPadula. Seu foco está na
integridade. A metodologia é “sem leitura” (por exemplo, usuários com permissão de alta
segurança não podem ler dados classificados como Segredos) e “sem comentários” (por exemplo,
um usuário com permissão Secreta não pode gravar dados em arquivos). classificado como Top
Secret). Ao combiná-lo com o Bell-LaPadula, você obtém confidencialidade e integridade.
3.3 Selecione controles com base nos requisitos de segurança dos

sistemas
Para esta seção do exame, você deve estar familiarizado com os Critérios Comuns para a Avaliação de
Segurança de Tecnologia da Informação. O Common Criteria (CC) unifica os padrões mais antigos (CTCPEC,
ITSEC e TCSEC) para fornecer um padrão para avaliar sistemas contra. As avaliações de CC estão focadas em
produtos e sistemas relacionados à segurança. Os conceitos importantes para esta seção são:
• Para realizar uma avaliação, você precisa selecionar o alvo da avaliação (TOE). Isso pode ser um
firewall ou um aplicativo anti-malware.
• O processo de avaliação examinará o perfil de proteção (PP), que é um documento que descreve as
necessidades de segurança. Um fornecedor pode optar por usar um perfil de proteção específico
para uma solução específica.
30
• O processo de avaliação examinará o alvo de segurança (ST), que identifica as propriedades de
segurança para o TOE. O ST geralmente é publicado para clientes e parceiros e está disponível para
a equipe interna.
• A avaliação tentará avaliar o nível de confiança de um recurso de segurança. Os requisitos de

garantia de segurança (SARs) são documentados e baseados no desenvolvimento da solução. As
principais ações durante o desenvolvimento e teste devem ser capturadas ao longo do caminho. Um
nível de garantia de avaliação (EAL) é uma classificação numérica usada para avaliar o rigor de uma
avaliação. A escala é EAL 1 (barata e fácil) para EAL7 (cara e complexa).
31
3.4 Entenda os recursos de segurança dos sistemas de informação
Esta seção enfoca os recursos de componentes de computação específicos. Assim, não é uma seção em que
a experiência prática possa lhe dar uma vantagem. Alguns desses componentes são discutidos em outras
seções, às vezes em mais detalhes. Certifique-se de estar familiarizado com todas as informações desta
seção. Para qualquer tópico desta seção que seja novo para você, planeje mergulhar mais profundamente
no tópico fora deste guia de estudo.
• Proteção de memória. A qualquer momento, um dispositivo de computação pode estar executando

vários aplicativos e serviços. Cada um ocupa um segmento de memória. O objetivo da proteção de
memória é evitar que um aplicativo ou serviço cause impacto em outro aplicativo ou serviço. Existem
dois métodos populares de proteção de memória:
o Isolamento do processo. Praticamente todos os sistemas operacionais modernos
fornecem isolamento do processo, o que impede que um processo cause impacto em
outro processo.
o Segmentação de hardware. O isolamento de hardware é mais rigoroso que o isolamento do

processo;
o sistema operacional mapeia processos para locais de memória dedicados.
• Virtualização. Em ambientes virtualizados, existem considerações especiais para maximizar a

segurança. O objetivo é evitar ataques aos hipervisores e garantir que o comprometimento de uma
VM não resulte em comprometimento de todas as VMs no host. Muitas organizações optam por
implantar suas VMs de alta segurança em hosts dedicados de alta segurança. Em alguns casos, as
organizações têm equipes (como a equipe responsável pelo gerenciamento de identidades e
acesso) que gerenciam seu próprio ambiente de virtualização para minimizar as chances de um
ataque interno.
• Módulo de plataforma confiável. Um Trusted Platform Module (TPM) é um chip criptográfico que às
vezes é incluído em um computador ou servidor cliente. Um TPM expande os recursos do
computador oferecendo operações criptográficas baseadas em hardware. Muitos produtos de
segurança e soluções de criptografia exigem um TPM. Por exemplo, a Criptografia de Unidade de
Disco BitLocker (uma solução de criptografia de volume incorporada) requer um TPM para maximizar
a segurança da criptografia.
o Interfaces. Nesse contexto, uma interface é o método pelo qual dois ou mais sistemas se
comunicam. Por exemplo, quando um cliente LDAP se comunica com um servidor de
diretório LDAP, ele usa uma interface. Quando um cliente VPN se conecta a um servidor
VPN, ele usa uma interface. Para esta seção, você precisa estar ciente dos recursos de
segurança das interfaces. Existem alguns recursos comuns na maioria das interfaces:
o Criptografia. Quando você criptografa as comunicações, um cliente e um servidor podem

se comunicar em particular sem expor informações pela rede. Por exemplo, se você usar
criptografia entre dois servidores de e-mail, as transações SMTP serão criptografadas e
32
indisponíveis para os invasores (em comparação com uma transação SMTP padrão que
ocorre em texto sem formatação). Em alguns casos, uma interface (como LDAP) fornece um
método (como LDAPS) para criptografar a comunicação. Quando uma interface não fornece
esse recurso, o IPsec ou outro mecanismo de transporte criptografado pode ser usado.
• Assinatura. Você também pode assinar comunicação, quer você criptografe ou não os dados. A
comunicação de assinatura informa ao destinatário, sem dúvida, quem é o remetente (cliente). Isso
fornece não-repúdio. Em um ambiente de alta segurança, você deve se esforçar para criptografar e
assinar todas as comunicações, embora isso nem sempre seja viável.
• Tolerância ao erro. A tolerância a falhas é um recurso usado para manter um sistema disponível.
No caso de um ataque (como um ataque DoS), a tolerância a falhas ajuda a manter um sistema em
funcionamento. Ataques complexos podem ter como alvo um sistema, sabendo que o método de
fallback é um sistema antigo ou um método de comunicação suscetível a ataques.
3.5 Avaliar e mitigar as vulnerabilidades de arquiteturas de

segurança, projetos e elementos de solução
Esta seção representa as vulnerabilidades presentes em uma infinidade de tecnologias em um ambiente. Você
deve se sentir confortável analisando um ambiente de TI, identificando as vulnerabilidades e propondo soluções
para atenuá-las. Para fazer isso, você precisa entender os tipos de vulnerabilidades frequentemente presentes
em um ambiente e estar familiarizado com as opções de atenuação.
• Sistemas baseados em cliente. Computadores clientes são o ponto de entrada mais atacado. Um
invasor tenta obter acesso a um computador cliente, geralmente por meio de um ataque de
phishing. Uma vez que um computador cliente é comprometido, o atacante pode lançar ataques
do computador cliente, onde a detecção é mais difícil em comparação aos ataques originados da
Internet. O software de produtividade (processadores de texto, aplicativos de planilha eletrônica) e
navegadores são fontes constantes de vulnerabilidades. Mesmo os computadores clientes
totalmente atualizados estão em risco devido a ataques de phishing e engenharia social. Para
atenuar os problemas com base no cliente, você deve executar um conjunto completo de software
de segurança em cada computador cliente, incluindo antivírus, antimalware, antispyware e um
firewall baseado em host.
• Sistemas baseados em servidor. Embora os invasores geralmente tenham como alvo o

computador cliente inicialmente, seu objetivo geralmente está obtendo acesso a um servidor, do
qual podem obter acesso a grandes quantidades de dados e, potencialmente, a todos os outros
dispositivos da rede. Para reduzir o risco de ataques baseados em servidor (seja atacar um servidor
ou atacar de um servidor), você deve fazer o patch dos servidores regularmente - poucos dias
depois de novos patches serem lançados e ainda mais cedo para correções de vulnerabilidades de
execução remota de código. Além disso, você deve usar uma imagem de sistema operacional
protegida para todas as compilações de servidor. Por último, você deve usar um firewall baseado
em host para observar o tráfego suspeito indo para ou de servidores.
• Sistemas de banco de dados. Os bancos de dados geralmente armazenam os dados mais

importantes e confidenciais de uma empresa, como transações com cartão de crédito, informações
de identificação pessoal dos funcionários, listas de clientes e informações confidenciais sobre preços
33
e fornecedores. Os invasores, mesmo aqueles com acesso de baixo nível a um banco de dados,
podem tentar usar inferência e agregação para obter informações confidenciais. Os invasores
também podem usar transações de banco de dados válidas para trabalhar com dados usando
mineração de dados e análise de dados.
• Sistemas criptográficos. O objetivo de um sistema criptográfico bem

implementado é fazer um compromisso muito demorado (como 5.000 anos) ou
muito caro (como milhões de dólares). Cada componente tem vulnerabilidades:
• Software. O software é usado para criptografar e descriptografar dados. Pode ser um
aplicativo independente com uma interface gráfica ou software incorporado ao sistema
operacional ou outro software. Como acontece com qualquer software, às vezes há bugs
ou outros problemas, então o patch regular é importante.
34
• Chaves. Uma chave determina como a criptografia é aplicada por meio de um algoritmo.
Uma chave deve permanecer secreta; caso contrário, a segurança dos dados criptografados
estará em risco. O tamanho da chave é uma consideração importante. Para se defender
contra-ataques rápidos de força bruta, você precisa de uma chave longa. Atualmente, uma
chave de 256 bits é geralmente o mínimo recomendado para criptografia simétrica, e uma
chave de 2048 bits geralmente é o mínimo recomendado para criptografia assimétrica. No
entanto, o tamanho deve basear-se nos seus requisitos e na sensibilidade dos dados que
estão sendo manipulados.
• Algoritmos. Existem muitos algoritmos (ou cifras) para escolher. É uma boa prática usar
um algoritmo com um grande espaço de chave (um espaço de chave representa todas as
permutações possíveis de uma chave) e um grande valor de chave aleatório (um valor de
chave é um valor aleatório usado por um algoritmo para o processo de criptografia).
Algoritmos não são secretos, mas sim bem conhecidos.
• Protocolos. Existem diferentes protocolos para executar funções criptográficas. O
protocolo TLS (Transport Layer Security) é um protocolo muito popular usado em toda a
Internet, como sites de bancos ou sites que exigem criptografia. Hoje, a maioria dos sites
(até o Google) usa criptografia. Outros protocolos incluem o Kerberos e o IPsec.
• Industrial Control Systems (ICS). Sistemas de controle de supervisão e aquisição de dados (SCADA)
são usados para controlar dispositivos físicos, como aqueles encontrados em uma usina de energia
elétrica ou fábrica. Os sistemas SCADA são adequados para ambientes distribuídos, como aqueles
espalhados pelos continentes. Alguns sistemas SCADA ainda dependem de comunicações herdadas
ou proprietárias. Essas comunicações estão em risco, especialmente quando os invasores estão
adquirindo conhecimento sobre esses sistemas e suas vulnerabilidades.
• Sistemas baseados em nuvem. Ao contrário dos sistemas locais, os sistemas baseados em nuvem
são controlados principalmente pelos fornecedores de nuvem. Você frequentemente não terá
acesso ou controle do hardware, software ou sistemas de suporte. Ao trabalhar com sistemas
baseados em nuvem, você precisa concentrar seus esforços em áreas que você pode controlar,
como os pontos de entrada e saída da rede (use firewalls e soluções de segurança semelhantes),
criptografia (uso para todas as comunicações de rede e dados em repouso) e controle de acesso
(use um sistema de acesso e gerenciamento de identidades centralizado com autenticação de
múltiplos fatores). Você também deve coletar dados de diagnóstico e segurança dos sistemas
baseados em nuvem e armazenar essas informações em seu sistema de informações de segurança
e gerenciamento de eventos. Com alguns fornecedores de nuvem, você pode configurar aspectos
do serviço, como rede ou acesso. Nesses cenários, assegure-se de que sua configuração de nuvem
corresponda ou exceda seus requisitos de segurança locais. Em ambientes de alta segurança, sua
organização deve ter uma abordagem de nuvem dedicada.
• Sistemas distribuídos. Sistemas distribuídos. Sistemas distribuídos são sistemas que trabalham
juntos para executar uma tarefa comum, como armazenamento e compartilhamento de dados,
computação ou fornecimento de um serviço da web. Muitas vezes, não há gerenciamento
centralizado (especialmente com implementações ponto a ponto). Em sistemas distribuídos, a
integridade às vezes é uma preocupação, porque os dados e o software estão espalhados por vários
sistemas, geralmente em locais diferentes. Para aumentar o problema, muitas vezes há replicação
que está duplicando dados em muitos sistemas.
• Internet of Things (IoT). Como os sistemas baseados em nuvem, você terá controle limitado sobre
os dispositivos IoT. Principalmente, você terá controle da configuração e atualização. E você deve
gastar tempo extra entendendo ambos. Manter os dispositivos IoT atualizados em patches de
software é extremamente importante. Sem as atualizações mais recentes, os dispositivos costumam
ser vulneráveis a ataques remotos da Internet. Isso é mais arriscado que os dispositivos internos. No
lado da configuração, você deve desabilitar o gerenciamento remoto e habilitar somente a
comunicação segura (como por HTTPS), no mínimo. Assim como nos sistemas baseados em nuvem,
revise o fornecedor de IoT para entender seu histórico com vulnerabilidades relatadas, tempo de
resposta a vulnerabilidades e abordagem geral à segurança. Nem todos os dispositivos IoT são
adequados para redes corporativas!
3.6 Avaliar e mitigar vulnerabilidades em sistemas baseados na web
Sistemas baseados na Web são sistemas que você acessa através da Internet, muitas vezes (mas nem
sempre) através de um navegador da web. Os sistemas baseados na Web geralmente são voltados para o
público, de modo que ficam expostos a toda a Internet. Isso os torna vulneráveis a invasores que procuram
alvos fáceis, como versões mais antigas e não corrigidas do software de servidor da Web. Há várias áreas a
serem revisadas quando você avalia e atenua vulnerabilidades em sistemas baseados na Web:
• Software de servidor da Web. O software do servidor da Web deve estar executando os patches
de segurança mais recentes. A execução da versão mais recente do software pode fornecer
recursos de segurança aprimorados (e opcionais). Você precisa ter registro, auditoria e
monitoramento para seus servidores da web. O objetivo deles não é impedir ataques, mas sim
reconhecer sinais de alerta antecipadamente, antes de um ataque ou o mais cedo possível no
ataque. Após um ataque, os registros podem fornecer informações críticas sobre a vulnerabilidade,
a data do comprometimento e, às vezes, até mesmo a identidade do invasor.
• Segurança de endpoint. Você também precisa gerenciar o lado do cliente. Os clientes que visitam
um servidor da Web comprometido podem ficar comprometidos. Para minimizar o risco de
comprometimento, você precisa de uma abordagem em várias camadas que inclua um navegador
padronizado configurado para alta segurança, servidores proxy da Web para colocar em lista negra
servidores da web mal conhecidos e rastrear tráfego da Web, firewalls baseados em host para
bloquear tráfego suspeito e anti- software de malware / anti-spyware / anti-vírus para assistir a
atividades suspeitas.
• OWASP top 10. O OWASP (Open Web Application Security Project) publica uma lista dos 10
principais riscos de segurança de aplicativos da Web críticos. Você deve ler e estar familiarizado
com esses riscos. Consulte https:// www.owasp.org/images/7/72/OWASP_Top_10-
2017_%28en%29.pdf.pdf para mais informações. Aqui estão dois dos mais importantes:
• Injection flaws (OWASP Top 10, #1). As falhas de injeção existem há muito tempo. Dois
dos mais comuns são ataques de injeção de SQL e ataques de cross-site scripting (XSS). Em
um ataque de injeção, um invasor fornece entrada inválida para um aplicativo da Web, que
é então processado por um intérprete. Por exemplo, um invasor pode usar caracteres
especiais em um formulário baseado na Web para alterar como o formulário é processado
(por exemplo, comente a verificação de senha). A validação de entrada pode ajudar a
minimizar as chances de um ataque por injeção. Mas você precisa mais do que isso. Você
precisa testar corretamente esses tipos de cenários antes de ir ao ar. Uma estratégia de
mitigação comum para ataques de injeção de SQL é usar instruções preparadas e consultas
parametrizadas; isso permite que o banco de dados diferencie o código e os dados.
• XML External Entities / XXE (OWASP Top 10, #4). In this type of attack, the goal is to pass
invalid input (containing a reference to an external entity) to an XML parsing application. To
minimize the potential for this attack, you can disable document type definitions (DTDs).
41
3.7 Avaliar e mitigar vulnerabilidades em sistemas móveis
Hoje, os sistemas móveis, como smartphones e tablets, são computadores completos. Você pode usá-los
para se conectar a redes corporativas e produzir, consumir e compartilhar conteúdo. Portanto, esses
dispositivos precisam ser tratados como computadores. Você precisa implantar e manter software de
segurança, como software anti-malware e antivírus. Você precisa usar criptografia para armazenar dados
nos dispositivos e para enviar e receber dados, especialmente com a rede corporativa. Você precisa aplicar
os padrões e as políticas de segurança de sua organização, quando aplicável. Por exemplo, você precisa
garantir que os dispositivos estejam executando a versão mais recente do software e tenham os patches
mais recentes. Para implantar e manter os dispositivos com uma configuração segura, você precisa de um
software de gerenciamento centralizado para poder relatar vulnerabilidades e riscos e gerenciar dispositivos
em massa ou com automação. No nível do dispositivo, você precisa exigir bloqueios de tela, autenticação
forte e criptografia. Você precisa ser capaz de bloquear e apagar dispositivos remotamente caso um
dispositivo seja perdido ou roubado. Mesmo com essas coisas funcionando, você deve restringir os sistemas
móveis a dados não confidenciais, para que eles não possam ler ou armazenar PII ou outras informações
confidenciais.
3.8 Avaliar e atenuar vulnerabilidades em dispositivos incorporados

Além de gerenciar a segurança de sua infraestrutura de computação e computadores, você também deve
pensar em outros sistemas que interagem com sua infraestrutura de computação. Hoje, isso inclui tudo, de
cafeteiras a quadros brancos inteligentes a copiadoras. Esses dispositivos estão se tornando cada vez mais
conectados, e alguns deles são dispositivos da IoT. Embora esses dispositivos tivessem computadores
embutidos neles por algum tempo, eles costumavam ser dispositivos independentes, não conectados à sua
rede, portanto, um compromisso era extremamente limitado e bastante raro. Hoje, você precisa considerar
as seguintes informações ao gerenciar seus dispositivos incorporados:
• Alguns dispositivos são configurados por padrão para entrar em contato com o fabricante para
relatar informações de integridade ou dados de diagnóstico. Você precisa estar ciente de tal
comunicação. Desativar quando possível. No mínimo, certifique-se de que a configuração seja tal
que informações adicionais não possam ser enviadas juntamente com as informações esperadas.
• Alguns dispositivos, por padrão, aceitam conexões remotas de qualquer lugar. Às vezes as
conexões são para gerenciamento remoto. Você deve eliminar as opções de conectividade
remota para dispositivos que não precisam ser gerenciados remotamente.
• Muitos sistemas incorporados e sistemas de IoT são criados para conveniência, funcionalidade e
compatibilidade
- a segurança é frequentemente a última da lista, portanto, a autenticação e a autorização são às
vezes inexistentes. Além disso, muitos sistemas são pequenos e têm vida útil limitada, portanto, a
criptografia geralmente não é usada, pois drena as baterias muito rápido e exige muita energia da
CPU. E seus sistemas existentes de gerenciamento de segurança de dispositivos e gerenciamento de
patches provavelmente não serão compatíveis com dispositivos IoT, o que dificulta o gerenciamento
de versões e patches de software. Os atacantes já exploraram falhas em dispositivos IoT; Por
exemplo, uma empresa foi infectada com malware originado de uma cafeteira. À medida que o
42
número e a sofisticação dos dispositivos aumentam, os hackers provavelmente explorarão ainda
mais esse vetor de ataque.
3.9 Aplicar criptografia

A criptografia está presente em várias tecnologias. Aplicar criptografia é um grande tópico que abrange
várias tecnologias independentes. Para o exame, esteja familiarizado com os conceitos de alto nível sobre a
aplicação da criptografia e suas tecnologias relacionadas, mais do que entender os detalhes da
implementação ou do suporte a eles. Os subtópicos abaixo são os principais tópicos descritos para esta
seção. Se você é novo em criptografia ou tem exposição limitada a ele, considere fontes adicionais para
mergulhar mais fundo.
• Ciclo de Vida Criptográfico (por exemplo, limitações criptográficas, governança de algoritmos
/ protocolos). Quando pensamos no ciclo de vida das tecnologias, geralmente pensamos no
suporte, desempenho e confiabilidade de hardware e software. Quando se trata de criptografia, as
coisas são um pouco diferentes: o ciclo de vida é focado em torno da segurança. À medida que a
capacidade de computação aumenta, a força dos algoritmos criptográficos diminui.
É apenas uma questão de tempo até que exista poder computacional suficiente para a força bruta
por meio de algoritmos existentes com tamanhos de chave comuns. Você deve pensar na vida útil
de um certificado ou modelo de certificado e de sistemas criptográficos. Além da força bruta, você
tem outras questões para pensar, como a descoberta de um bug ou um problema com um
algoritmo ou sistema. O NIST define os seguintes termos que são comumente usados para
descrever algoritmos e comprimentos de chave: aprovado (um algoritmo específico é especificado
como recomendação NIST ou recomendação FIPS), aceitável (algoritmo + tamanho da chave é
seguro hoje), obsoleto (algoritmo e tamanho da chave são OK para usar, mas traz algum risco),
restrito (uso do algoritmo e / ou tamanho da chave é preterido e deve ser evitado), legado (o
algoritmo e / ou tamanho da chave está desatualizado e deve ser evitado quando possível) e não
permitido (o algoritmo e / ou comprimento da chave não são mais permitidos para o uso indicado).
• Métodos criptográficos. Este subtópico abrange os três tipos de criptografia a seguir. Tenha
certeza que você conhece as diferenças.
• Simétrica. A criptografia simétrica usa a mesma chave para criptografia e descriptografia.

A criptografia simétrica é mais rápida que a criptografia assimétrica porque você pode usar
chaves menores para o mesmo nível de proteção. A desvantagem é que os usuários ou
sistemas devem encontrar uma maneira de compartilhar a chave com segurança e esperar
que a chave seja usada apenas para a comunicação especificada.
• Assimétrica. A criptografia simétrica usa chaves diferentes para criptografia e

descriptografia. Como uma é uma chave pública que está disponível para qualquer pessoa,
esse método é às vezes chamado de “criptografia de chave pública”. Além da chave pública,
há uma chave privada que deve permanecer privada e protegida. A criptografia assimétrica
não apresenta problemas com a distribuição de chaves públicas. Embora a criptografia
assimétrica seja mais lenta, é mais adequada para compartilhamento entre duas ou mais
partes. O RSA é um padrão de criptografia assimétrica comum.
• Curvas elípticas. Criptografia de curva elíptica (ECC) é uma nova implementação de
43
criptografia assimétrica. O principal benefício é que você pode usar chaves menores, o que
melhora o desempenho.
• Public key infrastructure (PKI). Uma PKI é uma tecnologia fundamental para aplicar criptografia.
Uma PKI emite certificados para dispositivos e usuários de computação, permitindo que eles
apliquem criptografia (por exemplo, enviar mensagens de e-mail criptografadas, criptografar sites
da Web ou usar o IPsec para criptografar as comunicações de dados). Existem vários fornecedores
fornecendo serviços de PKI. Você pode executar uma PKI privada e exclusivamente para sua própria
organização, adquirir certificados de um provedor confiável de terceiros ou fazer ambos, o que é
muito comum. Uma PKI é composta por autoridades de certificação (CAs) (servidores que fornecem
uma ou mais funções PKI, como fornecer políticas ou emitir certificados), certificados (emitidos para
outras autoridades de certificação ou para dispositivos e usuários), políticas e procedimentos (como
como a PKI é protegida) e modelos (uma configuração predefinida para usos específicos, como um
modelo de servidor da Web). Existem outros componentes e conceitos que você deve conhecer para
o exame:
• Uma PKI pode ter vários níveis. Ter um único nível significa que você tem um ou mais
servidores que executam todas as funções de uma PKI. Quando você tem dois níveis, muitas
vezes você tem uma CA raiz offline (um servidor que emite certificados para as CAs
emissoras, mas permanece offline na maioria das vezes) em uma camada e emitindo CAs (os
servidores que emitem certificados para dispositivos e usuários de computação) no outro
nível. Os servidores na segunda camada são geralmente chamados de CAs intermediárias ou
CAs subordinadas. Adicionar uma terceira camada significa que você pode ter CAs
responsáveis apenas pela emissão de políticas (e elas representam a segunda camada em
uma hierarquia de três camadas). Nesse cenário, as CAs de diretivas também devem
permanecer offline e serem colocadas on-line somente quando necessário.
Em geral, quanto mais camadas, mais segurança (mas a configuração adequada é crítica).
Quanto mais camadas você tiver, mais complexo e custoso será o PKI para construir e
manter.
• Uma PKI deve ter uma política de certificado e uma declaração de prática de certificado
(CSP). Uma política de certificados documenta como sua empresa lida com itens como
identidades de solicitantes, o uso de certificados e o armazenamento de chaves privadas.
Um CSP documenta a configuração de segurança de sua PKI e geralmente está disponível
para o público.
• Além de emitir certificados, uma PKI tem outras obrigações. Por exemplo, sua PKI precisa
fornecer informações de revogação de certificados aos clientes. Se um administrador
revogar um certificado que foi emitido, os clientes devem poder obter essas informações
de sua PKI. Outro exemplo é o armazenamento de chaves privadas e informações sobre
certificados emitidos. Você pode armazená-los em um banco de dados ou em um diretório.
• Práticas de gerenciamento de chaves. Lembre-se, o gerenciamento de chaves pode ser difícil

com criptografia simétrica, mas é muito mais simples com criptografia assimétrica. Existem várias
tarefas relacionadas ao gerenciamento de chaves:
44
• Criação e distribuição de chaves. A criação de chaves é autoexplicativa. A distribuição de
chaves é o processo de envio de uma chave para um usuário ou sistema. Deve ser seguro e
deve ser armazenado de forma segura no dispositivo de computação; muitas vezes, ele é
armazenado em um armazenamento seguro, como o armazenamento de certificados do
Windows.
• Proteção e custódia de chaves. As chaves devem ser protegidas. Você pode usar um
método chamado custódia dividida que permite que duas ou mais pessoas compartilhem o
acesso a uma chave - por exemplo, com duas pessoas, cada pessoa pode reter metade da
senha da chave.
• Rotação da chave. Se você usar sempre as mesmas chaves, corre o risco de perder ou
roubar as chaves ou de descriptografar as informações. Para atenuar esses riscos, você
deve aposentar chaves antigas e implementar novas.
• Destruição chave. Uma chave pode ser colocada em um estado de suspensão (suspensão
temporária), revogação (revogada sem reintegração possível), expiração (expirada até
renovada) ou destruição (como no final de um ciclo de vida ou após um
comprometimento).
• Recuperação de chave e recuperação de chave. O que acontece se você criptografar

dados em seu laptop, mas depois perder sua chave privada (por exemplo, por meio de
corrupção de perfil)? Normalmente, você perde os dados. Mas o depósito de chaves permite
o armazenamento de uma chave para recuperação posterior. Isso é útil se uma chave
privada for perdida ou um processo judicial exigir um depósito pendente até o resultado de
uma avaliação. Você também precisa ter um método para fazer backup e recuperar chaves.
Muitas PKIs oferecem um método de backup ou recuperação, e você deve tirar proveito
disso se os requisitos exigirem isso.
• Assinaturas digitais. As assinaturas digitais são o principal método para fornecer não-repúdio.
Ao assinar digitalmente um documento ou e-mail, você está fornecendo uma prova de que é o
remetente. As assinaturas digitais são frequentemente combinadas com criptografia de dados
para fornecer confidencialidade.
• Não repúdio. Para esta seção, o não-repúdio refere-se a métodos para assegurar que a origem dos
dados possa ser deduzida com certeza. O método mais comum para afirmar a fonte de dados é
usar assinaturas digitais, que dependem de certificados. Se o Usuário1 enviar um email assinado
para o Usuário2, o Usuário2 poderá ter certeza de que o email veio do Usuário1. Não é infalível
embora. Por exemplo, se o Usuário1 compartilhar suas credenciais em seu computador com o
Usuário3, o Usuário3 poderá enviar um e-mail para o Usuário2 supostamente como Usuário1, e o
Usuário2 não teria como deduzir isso. É comum combinar não-repúdio com confidencialidade
(criptografia de dados).
• Integridade. Uma função hash implementa a criptografia com um algoritmo especificado, mas sem
uma chave. É uma função unidirecional. Criptografia improvável, em que você pode descriptografar
o que foi criptografado, o hash não deve ser descriptografado da mesma maneira. Por exemplo, se
45
você hash a palavra "olá", você pode acabar com
"4cd21dba5fb0a60e26e83f2ac1b9e29f1b161e4c1fa7425e73048362938b4814". Quando os
aplicativos estão disponíveis para download, os arquivos de instalação geralmente são
criptografados. O hash é fornecido como parte do download. Se o arquivo for alterado, o hash será
alterado. Dessa forma, você pode descobrir se possui o arquivo de instalação original ou um arquivo
inválido ou modificado. Os hashes também são usados para armazenar senhas, com email e para
outros fins. Hashes são suscetíveis à força bruta. Se você tentar haxidar todas as palavras e frases
possíveis, eventualmente obterá o valor de hash que corresponde ao hash que você está tentando
quebrar. A salga fornece proteção extra para hashing adicionando um valor extra, geralmente
aleatório, à origem. Em seguida, o processo de hashing hashes o valor original da origem mais o
valor de sal. Por exemplo, se o valor de sua fonte original for "Olá" e seu valor de sal for "12-25-17-
07: 02: 32", então
"hello12-25-17-07: 02: 32" ficará com hash. Salgar aumentou consideravelmente a força de hashing.
• Métodos de ataques criptoanalíticos. Existem vários métodos para atacar a criptografia. Cada
um tem pontos fortes e fracos. Os principais métodos são:
• Força bruta. Em um ataque de força bruta, todas as combinações possíveis são tentadas.
Eventualmente, com tempo suficiente, o ataque será bem-sucedido. Por exemplo, imagine
um jogo em que você tenha que adivinhar o número entre 1 e 1.000 que eu escolhi. Um
ataque de força bruta tentaria todos os números entre 1 e 1.000 até encontrar o meu
número. Esta é uma versão muito simplificada de um ataque de força bruta, mas o ponto
chave é que um ataque de força bruta será bem-sucedido, desde que esteja usando o
espaço de chave correto. Por exemplo, se for feita uma tentativa de forçar uma senha, o
espaço da chave deve incluir todos os caracteres da senha; se o espaço da chave incluir
apenas letras, mas a senha incluir um número, o ataque falhará.
• Apenas texto cifrado. Em um ataque somente de texto cifrado, você obtém amostras de
texto cifrado (mas não qualquer texto simples). Se você tiver amostras de texto cifradas
suficientes, a idéia é que você pode descriptografar o texto cifrado de destino com base
nos exemplos de texto cifrado. Hoje, esses ataques são muito difíceis.
• Texto simples conhecido. Em um ataque de texto sem formatação conhecido, você tem
um arquivo de texto simples e o texto cifrado correspondente. O objetivo é derivar a chave.
Se você deriva a chave, você pode usá-la para descriptografar outro texto cifrado criado
pela mesma chave.
• Gerenciamento de direitos digitais. Quando as pessoas pensam em gerenciamento de direitos

digitais (DRM), elas pensam em proteções colocadas em filmes e jogos. Mas para o exame CISSP, é
realmente sobre a proteção de dados, como planilhas e mensagens de e-mail. As organizações
geralmente se referem à proteção de dados como gerenciamento de direitos digitais corporativos
(E-DRM) ou gerenciamento de direitos de informação (IRM). Vários fornecedores oferecem soluções
para proteger dados em arquivos individuais. Todas as soluções fornecem um conjunto comum de
recursos fundamentais:
• Restringir a exibição de um documento a um conjunto definido de pessoas
46
• Restringir a edição de um documento a um conjunto definido de pessoas
• Expirar um documento (tornando-o ilegível depois de uma data especificada)
• Restringir a impressão de um documento a um conjunto definido de pessoas
• Fornecer proteção de documento portátil de forma que a proteção permaneça com o

documento, não importando onde ele esteja armazenado, como é armazenado ou qual
dispositivo de computação ou usuário a abra.
Você pode usar o DRM, o E-DRM ou o IRM para proteger os dados da sua organização. Muitas das
soluções também permitem compartilhar dados com segurança com organizações externas. Às
vezes, esse compartilhamento é ativado por meio da federação. Outras vezes, o uso de um
provedor de nuvem pública permite o compartilhamento entre organizações. O DRM, o E-DRM e o
IRM fornecem às empresas uma maneira de fornecer confidencialidade a documentos
confidenciais. Além disso, algumas das soluções permitem que você acompanhe quando e onde os
documentos foram visualizados. Por último, algumas soluções permitem que você atualize a
proteção de um documento (como remover um visualizador previamente autorizado) mesmo
depois que um documento foi enviado e compartilhado com partes externas.
3.10 Aplique princípios de segurança ao design do site e das instalações

Esta seção se aplica à aplicação de princípios seguros a datacenters, salas de servidores, centros de
operações de rede e escritórios nos locais de uma organização. Embora algumas áreas devam ser mais
seguras do que outras, você deve aplicar princípios seguros em todo o site para maximizar a segurança e
reduzir os riscos. A Prevenção do Crime através do Design Ambiental (CPTED) é um conjunto bem conhecido
de diretrizes para o design seguro de edifícios e escritórios. CPTED enfatiza três princípios:
• Vigilância natural. A vigilância natural permite que as pessoas observem o que está acontecendo
ao redor do prédio ou do campus enquanto realizam o trabalho diário. Ele também elimina áreas
ocultas, áreas de escuridão e obstáculos, como cercas sólidas. Em vez disso, ele enfatiza cercas
baixas ou transparentes, iluminação extra e o local adequado de portas, janelas e passarelas para
maximizar a visibilidade e deter o crime.
• Territorialidade. Territorialidade é o secionamento de áreas com base no uso da área. Por exemplo,
você pode ter uma área privada no porão do seu prédio para armazenamento de longo prazo da
empresa. Deve ser claramente designado como privado, com sinais, pisos diferentes e outros
artefatos visíveis. O estacionamento da empresa deve ter sinais indicando que é apenas
estacionamento privativo. As pessoas devem reconhecer as mudanças no design do espaço e estar
cientes de que elas podem estar se movendo para uma área privada.
• Controle de acesso. O controle de acesso é a implementação de impedimentos para garantir que

apenas pessoas autorizadas possam obter acesso a uma área restrita. Por exemplo, você pode
colocar um portão na garagem para o estacionamento. Para uma sala de servidores não-tripulada,
você deve ter uma porta segura com fechaduras eletrônicas, uma câmera de segurança e sinais
indicando que a sala está proibida para pessoas não autorizadas.
47
O objetivo geral é impedir que pessoas não autorizadas tenham acesso a um local (ou a uma parte segura de
um local), impedir que pessoas não autorizadas se escondam dentro ou fora de um local e impedir que
pessoas não autorizadas cometam ataques contra o estabelecimento ou pessoal. Existem várias atividades
menores vinculadas ao projeto do local e das instalações, como manutenção e manutenção. Se sua
propriedade estiver degradada, descuidada ou parecer estar em mau estado, isso dará aos atacantes a
impressão de que podem fazer o que quiserem em sua propriedade.
3.11 Implementar controles de segurança do site e das instalações

Segurança física é um tópico que abrange todo o interior e exterior das instalações da empresa.
Enquanto os subtópicos estão focados no interior, muitas das mesmas técnicas comuns são aplicáveis
ao exterior também.
• Armários de fiação. Um wiring closet é normalmente uma pequena sala que contém hardware de
TI. É comum encontrar dispositivos de telefonia e de rede em um armário de fiação.
Ocasionalmente, você também tem um
pequeno número de servidores em um wiring closet. Acesso a fiação mais próxima deve ser restrita às
pessoas responsáveis pelo gerenciamento do hardware de TI. Você deve usar algum tipo de controle de
acesso para a porta, como um sistema de crachá eletrônico ou fechadura eletrônica. Do ponto de vista do
layout, os armários de cabeamento devem ser acessíveis somente em áreas privadas do interior do prédio;
as pessoas devem passar por um centro de visitantes e por uma entrada controlada antes de poder entrar
em um armário de fiação.
• Salas de servidores e centros de dados. Uma sala de servidores é uma versão maior de um
armário de fiação, mas não tão grande quanto um data center. Uma sala de servidores
normalmente abriga equipamentos de telefonia, equipamentos de rede, infraestrutura de backup
e servidores. Uma sala de servidores deve ter os mesmos requisitos mínimos que um armário de
fiação. Enquanto a sala é maior, deve ter apenas uma porta de entrada; se houver uma segunda
porta, esta deve ser apenas uma porta de saída de emergência. É comum usar alarmes de porta
para salas de servidores: Se a porta for aberta por mais de 30 segundos, o alarme será acionado.
Todas as tentativas de entrar na sala do servidor sem autorização devem ser registradas. Após
várias tentativas com falha, um alerta deve ser gerado. Os datacenters são protegidos como salas
de servidores, mas geralmente com um pouco mais de proteção. Por exemplo, em alguns centros
de dados, talvez seja necessário usar seu crachá tanto para entrar quanto para sair, enquanto que,
com uma sala de servidores, é comum poder sair abrindo a porta. Em um data center, é comum
ter um guarda de segurança verificando os visitantes e outro vigiando o interior ou o exterior.
Algumas organizações definem limites de tempo para pessoas autorizadas permanecerem dentro
do data center. Dentro de um data center, você deve bloquear tudo o que for possível, como
armários de armazenamento e racks de equipamentos de TI.
• Instalações de armazenamento de mídia. As instalações de armazenamento de mídia

geralmente armazenam fitas de backup e outras mídias, portanto devem ser protegidas como uma
sala de servidores. É comum ter vigilância por vídeo também.
• Armazenamento de evidências. Uma sala de armazenamento de evidências deve ser protegida

como uma sala de servidores ou uma instalação de armazenamento de mídia.
48
• Área de trabalho restrito. Áreas de trabalho restritas são usadas para operações confidenciais,
como operações de rede ou operações de segurança. A área de trabalho também pode não estar
relacionada à TI, como um cofre de banco. A proteção deve ser como uma sala de servidores,
embora a vigilância por vídeo seja tipicamente limitada aos pontos de entrada e saída.
• Utilitários e HVAC. Quando se trata de utilitários como o HVAC, você precisa pensar nos controles
físicos. Por exemplo, uma pessoa não deve conseguir rastejar pelas aberturas ou dutos para chegar
a uma área restrita. Para a saúde do seu equipamento de TI, você deve usar sistemas HVAC
separados. Todos os utilitários devem ser redundantes. Enquanto um edifício cheio de cubículos
pode não exigir um sistema HVAC de backup, um data center faz, para evitar que o equipamento de
TI superaqueça ou falhe. Em um ambiente de alta segurança, o data center deve estar em um
sistema elétrico diferente do que em outras partes do edifício. É comum usar um gerador de backup
apenas para o data center, enquanto as áreas principais do escritório e do cubículo têm apenas
iluminação de emergência.
• Problemas ambientais. Alguns edifícios usam sprinklers à base de água para a supressão de
incêndios. Em um incêndio, desligue a eletricidade antes de ligar os sprinklers de água (isso pode
ser automatizado). Danos causados pela água são possíveis; com sprinklers individuais ativados,
você pode minimizar o dano da água apenas para o que é necessário para apagar um incêndio.
Outros problemas de água incluem inundação, um tubo de ruptura ou drenos de backup. Além das
questões hídricas, existem outras questões ambientais que podem criar problemas, como
terremotos, quedas de energia, tornados e ventos. Esses problemas devem ser considerados antes
de decidir sobre um site de data center ou um site de backup. É uma boa prática ter o seu data
center secundário longe o suficiente do seu data center principal, para que ele não corra riscos de
qualquer problema ambiental que afete o data center principal.
• Prevenção, detecção e supressão de incêndios. Os seguintes pontos-chave destacam coisas

para saber sobre esta seção:
• Prevenção de incêndio. Para evitar incêndios, você precisa implantar o equipamento

adequado, testá-lo e gerenciá-lo. Isso inclui detectores de incêndio e extintores de incêndio.
Você também precisa garantir que os funcionários sejam treinados sobre o que fazer se
virem um incêndio e como armazená-lo adequadamente. De uma perspectiva física, você
pode usar firewalls e portas de segurança contra incêndio para retardar o avanço de um
incêndio e compartimentá-lo.
• Detecção de fogo. O objetivo é detectar um incêndio o mais rápido possível. Por exemplo,
use detectores de fumaça, detectores de incêndio e outros sensores (como sensores de
calor).
• Contenção do fogo. Você precisa de uma maneira de suprimir um incêndio quando o fogo
começar. Ter alavancas de emergência para os funcionários serem acionadas, caso vejam
um incêndio, pode ajudar a acelerar a resposta de supressão (por exemplo, chamando
automaticamente o corpo de bombeiros quando a alavanca é puxada). Você pode usar o
sistema de supressão de incêndio baseado em água ou minimizar as chances de destruir
equipamentos de TI escolhendo supressores de incêndio não aquosos, como espumas,
soluções à base de CO2 em pó ou um sistema FM-200. Os sistemas FM-200 substituem o
49
Halon, que foi banido por esgotar a camada de ozônio. O FM-200 é mais caro que os
aspersores de água.
50
Questões de revisão do domínio 3
o assunto. Em seguida, passe para o domínio 4.
1. Você é um consultor de segurança encarregado de revisar o modelo de segurança de uma

empresa. O modelo atual tem as seguintes características:
• Estabelece confidencialidade para que as pessoas não possam ler o acesso classificado em um
nível mais alto do que a sua permissão.
• Proíbe os usuários com uma autorização específica de gravar dados em um documento com um
nível de folga menor.
Você observa que o modelo atual não leva em conta alguém com um baixo nível de liberação, desde
a gravação de dados até um documento classificado em um nível mais alto do que a sua liberação.
Você precisa implementar um modelo para atenuar isso. Sobre quais dos seguintes princípios de
segurança o novo modelo deve se concentrar?
a. Disponibilidade
b. Governança
c. Integridade
d. Diligência devida
e. Devido cuidado
2. Você está documentando as tentativas de ataque nos sistemas de TI da sua organização. O principal
tipo de ataque foi o ataque por injeção. Qual definição você deve usar para descrever um ataque de
injeção?
e. Sobrecarregar um sistema ou rede
f. Conectando em discos rígidos portáteis infectados
g. Capturando pacotes em uma rede
h. Fornecendo entrada inválida
i. Interceptando e alterando as comunicações de rede
3. Você está projetando uma infraestrutura de chave pública para sua organização. A organização emitiu
os seguintes requisitos para o PKI:
• Maximizar a segurança da arquitetura PKI
• Maximizar a flexibilidade da arquitetura PKI

Você precisa escolher um design de PKI para atender aos requisitos. Qual design você deve escolher?
a. Uma hierarquia de duas camadas com uma CA raiz off-line na primeira camada e CAs
emissoras na segunda camada
b. Uma hierarquia de duas camadas com uma CA raiz on-line na primeira camada e CAs
emissoras na segunda camada
51
c. Uma hierarquia de três camadas com uma CA raiz off-line no primeiro nível, estando as
CAs de política off-line no segundo nível e emitindo CAs no terceiro nível
d. Uma hierarquia de três camadas com uma CA raiz off-line no primeiro nível, CAs de
política on-line no segundo nível e CAs de emissão no terceiro nível
52
Domínio 3
1. Resposta: C
Explicação: Nesse cenário, o modelo existente se concentrava em confidencialidade. Para
completar o modelo e cumprir a meta de evitar "escrever", você precisa complementar o modelo
existente com um modelo que se concentre na integridade (como o Biba). Concentrar-se na
integridade garantirá que você não tenha
"escrever" (ou "ler para baixo" também, embora isso não seja um requisito nesse cenário).
2. Resposta: D
Explicação: Um ataque de injeção fornece entrada inválida para um aplicativo ou página da web. O
objetivo é criar essa entrada para que um intérprete de backend execute uma ação não planejada
pela organização (como executar comandos administrativos) ou falhas. Os ataques de injeção são
maduros e rotineiramente usados, por isso é importante estar ciente deles e como se proteger
deles.
3. Resposta: C
Explicação: Ao projetar uma PKI, tenha em mente os princípios básicos de segurança - quanto mais
camadas, mais segurança e mais flexibilidade. Naturalmente, ter mais camadas também significa
mais custo e complexidade. Nesse cenário, para maximizar a segurança e a flexibilidade, você
precisa usar uma hierarquia de três camadas com as CAs raiz e as CAs de política offline. CAs
offline aumentam a segurança. Várias camadas, especialmente com o uso de CAs de política,
aumentam a flexibilidade porque você pode revogar uma seção da hierarquia sem afetar a outra
(por exemplo, se uma das CAs emissoras tiver uma chave comprometida).
53
Domínio 4. Comunicação e
Rede Segurança
Networking pode ser um dos tópicos mais complexos no exame CISSP. Se você tiver a sorte de ter um
histórico de rede, não encontrará este domínio difícil. No entanto, se seu plano de fundo não tiver muita
rede, gaste mais tempo nesta seção e considere mergulhar fundo em tópicos que ainda não fazem sentido
depois que você passar por essa seção.
4.1 Implementar princípios de design seguros na arquitetura de rede

Esta seção aborda os aspectos de design da rede, com foco na segurança. Embora a principal função da rede
seja ativar a comunicação, a segurança garantirá que a comunicação esteja somente entre os dispositivos
autorizados e a comunicação seja privada quando necessário.
• Modelos OSI (Open System Interconnection) e TCP / IP (Transmission Control Protocol /

Internet Protocol). O modelo Open Systems Interconnection (OSI) é o mais comum dos dois
modelos de rede predominantes. No entanto, no contexto do CISSP, você também deve estar ciente
do modelo TCP / IP e como ele se compara ao modelo OSI. O modelo TCP / IP usa apenas quatro
camadas, enquanto o modelo OSI usa sete. A tabela a seguir resume as camadas de cada modelo.
Layer Number OSI Model TCP/IP Model

7 Application
6 Presentation Applications
5 Session
4 Transport TCP (host to host)
3 Network IP
2 Data link
Network access
1 Physical
Muitas pessoas usam mnemônicos para memorizar as camadas OSI. Um mnemônico popular
para as camadas OSI é "Todas as pessoas parecem precisar de processamento de dados".
• Rede de protocolo da Internet (IP). A rede IP é o que permite que os dispositivos se comuniquem.
O IP fornece a base para que outros protocolos possam se comunicar. O próprio IP é um protocolo
sem conexão. O IPv4 é para endereços de 32 bits e o IPv6 é para endereços de 128 bits.
Independentemente da versão usada para conectar dispositivos, você geralmente usa TCP ou UDP
para se comunicar por IP. O TCP é um protocolo orientado a conexões que fornece comunicação
confiável, enquanto o UDP é um protocolo sem conexão que fornece comunicação de melhor
esforço. Ambos os protocolos usam números de porta padronizados para permitir que os
aplicativos se comuniquem pela rede IP.
• Implicações de protocolos multicamadas. Alguns protocolos usam simultaneamente várias
camadas do modelo OSI ou TCP / IP para se comunicar e atravessam as camadas em momentos
diferentes. O processo de atravessar essas camadas é chamado de encapsulamento. Por
exemplo, quando um quadro da Camada 2 é enviado através de uma camada IP, os dados da
Camada 2 são encapsulados em um pacote de Camada 3, que adiciona as informações
específicas de IP. Além disso, essa camada pode ter outros dados TCP ou UDP adicionados a
ela para a comunicação da camada 4.
• Protocolos convergentes. Como o encapsulamento, os protocolos convergidos permitem a

comunicação em diferentes mídias. Por exemplo, o FCoE envia comandos de controle de canal de
fibra típicos pela Ethernet. Voz sobre IP (VoIP) envia SIP ou outros protocolos de voz sobre redes
IP típicas. Na maioria dos casos, isso fornece simplicidade, já que a mesma infraestrutura pode
ser usada para vários cenários. No entanto, também pode adicionar complexidade, introduzindo
mais protocolos e dispositivos para gerenciar e manter nessa mesma infraestrutura.
• Redes definidas por software. À medida que as redes, os serviços em nuvem e a multilocação
aumentam, a necessidade de gerenciar essas redes mudou. Muitas redes seguem uma topologia de
duas camadas (lombada / folha ou núcleo / acesso) ou de três camadas (núcleo, distribuição, borda /
acesso). Embora a rede principal não seja alterada com frequência, os dispositivos de borda ou de
acesso podem se comunicar com vários tipos de dispositivos e locatários. Cada vez mais, a borda ou
o switch de acesso é um switch virtual em execução em um hypervisor ou gerenciador de máquina
virtual. Você deve ser capaz de adicionar uma nova sub-rede ou VLAN ou fazer outras alterações de
rede sob demanda. Você deve poder fazer alterações de configuração programaticamente em vários
dispositivos físicos, bem como nos dispositivos de comutação virtuais na topologia. Uma rede
definida por software permite que você faça essas alterações para todos os tipos de dispositivos
com facilidade.
• Redes sem fio. As redes sem fio podem ser divididas em diferentes padrões 802.11. Os protocolos
mais comuns no 802.11 são mostrados na tabela abaixo. Protocolos adicionais foram propostos ao
IEEE, incluindo ad, ah, aj, ax, ay e az. Você deve estar ciente da frequência que cada protocolo usa.
Protocolo 802.11 Frequência Taxa de Tranferência

a 5 GHz Up to 54 Mbps
b 2.4 GHz Up to 11 Mbps
g 2.4 GHz Up to 54 Mbps
n 2.4–5 GHz Up to 600 Mbps
ac 5 GHz Up to 3466 Mbps
Você também deve estar familiarizado com os padrões de segurança sem fio:
• Privacidade equivalente com fio (WEP). WEP é um algoritmo de segurança legado para
redes sem fio. Originalmente, era o único protocolo de criptografia para redes 802.11ae
802.11b. O WEP usou chaves de 64 bits a 256 bits, mas com uma codificação de fluxo fraca.
WEP foi preterido em 2004 em favor de WPA e WPA2. Hoje, o WEP deve ser evitado.
• Acesso Protegido Wi-Fi (WPA). O WPA usa o TKIP (Temporal Key Integrity Protocol) com uma
chave por pacote de 128 bits. No entanto, o WPA ainda é vulnerável a quebra de senha de
falsificação de pacotes em uma rede. O WPA geralmente usa uma chave pré-compartilhada
(PSK) e um protocolo de integridade de chave temporal (TKIP) para criptografia. Isso é
conhecido como WPA Personal (normalmente usado em um ambiente doméstico). Há
também uma empresa WPA que pode usar autenticação de certificado ou um servidor de
autenticação (como um servidor RADIUS).
• Acesso Protegido Wi-Fi II (WPA 2). O WPA2 é o padrão atual para criptografia sem fio. O
WPA2 baseia-se na codificação Advanced Encryption Standard (AES) com autenticidade de
mensagens e verificação de integridade. AES é mais forte que o TKIP. Como o WPA, o WPA2
oferece um modo PSK (para empresas domésticas ou pequenas empresas) e um modo
corporativo (conhecido como WPA2-ENT). O WPA2-ENT usa uma nova chave de criptografia
toda vez que um usuário se conecta.
A senha não é armazenada nos dispositivos do cliente (ao contrário do modo PSK, que
armazena as senhas localmente nos clientes).
Independentemente do método de segurança usado, você também deve usar TLS ou IPsec para
comunicação de rede. Finalmente, lembre-se de que as redes sem fio usam a prevenção de colisão,
em vez da detecção de colisão usada em redes com fio.
4.2 Componentes de rede seguros

Os componentes de uma rede formam o backbone da infraestrutura lógica de uma organização. Esses
componentes geralmente são essenciais para as operações do dia-a-dia, e um problema de interrupção ou
segurança pode causar prejuízos de milhões de dólares em negócios. Aqui estão questões para prestar
atenção:
• Operação de hardware. Os modems são um tipo de unidade de serviço de canal / unidade de

serviço de dados (CSU / DSU) normalmente usada para converter sinais analógicos em digitais.
Nesse cenário, a CSU manipula a comunicação com a rede do provedor, enquanto a DSU manipula
a comunicação com o equipamento digital interno (na maioria dos casos, um roteador). Os
modems normalmente operam na camada 2 do modelo OSI. Os roteadores operam na camada 3
do modelo OSI e fazem a conexão de um modem disponível para vários dispositivos em uma
topologia de rede, incluindo switches, pontos de acesso e dispositivos de ponto final. Os switches
são normalmente conectados a um roteador para permitir que vários dispositivos usem a conexão.
Os switches ajudam a fornecer conectividade interna, além de criar domínios de transmissão
separados quando configurados com VLANs. Os switches normalmente operam na Camada 2 do
modelo OSI, mas muitos switches podem operar na Camada 2 e na Camada 3. Os pontos de acesso
podem ser configurados na topologia da rede para fornecer acesso sem fio usando um dos
protocolos e algoritmos de criptografia discutidos na seção 4.1.
• Mídia de transmissão. A mídia de transmissão com fio geralmente pode ser descrita em três
categorias: coaxial, Ethernet e fibra. Coaxial é normalmente usado com instalações de modem a
cabo para fornecer conectividade a um ISP e requer um modem para converter os sinais analógicos
em digitais. Embora a Ethernet possa ser usada para descrever muitos meios, ela é tipicamente
associada a par trançado não-blindado (UTP) Categoria 5 e Categoria 6 ou par trançado blindado
(STP), e pode ser classificada em plenum para certas instalações. Fibra normalmente vem em duas
opções, modo único ou multi-modo. O modo único é normalmente usado para comunicação de
longa distância, ao longo de vários quilômetros ou milhas. A fibra multimodo é normalmente usada
para transmissão mais rápida, mas com um limite de distância dependendo da velocidade desejada.
A fibra é mais frequentemente usada no datacenter para componentes de back-end.
• Dispositivos de controle de acesso à rede (NAC). Por mais que você precise controlar o
acesso físico ao equipamento e à fiação, você precisa usar controles lógicos para proteger
uma rede. Há uma variedade de dispositivos que fornecem esse tipo de proteção, incluindo o
seguinte:
• Firewalls com estado e sem estado. Podem realizar a inspeção dos pacotes de rede que o
atravessam e usar regras, assinaturas e padrões para determinar se o pacote deve ser
entregue. Os motivos para eliminar um pacote podem incluir endereços que não existem na
rede, portas ou endereços bloqueados ou o conteúdo do pacote (como pacotes mal-
intencionados que foram bloqueados pela política administrativa).
• Dispositivos de detecção e prevenção de intrusões. Esses dispositivos monitoram a rede em

busca de
tráfego de rede incomum e falsificação de endereço MAC ou IP e, em seguida, alertam ou
interrompem ativamente esse tipo de tráfego.
• Proxy ou servidores proxy reversos. Os servidores proxy podem ser usados para proxy
tráfego de internet para a internet, em vez de ter clientes indo diretamente para a internet.
Proxies reversos são frequentemente implantados em uma rede de perímetro. Eles
intermediam a comunicação da Internet para um servidor interno, como um servidor da
Web. Como um firewall, um proxy reverso pode ter regras e políticas para bloquear certos
tipos de comunicação.
• Segurança de endpoint. O ditado "uma corrente é tão forte quanto seu elo mais fraco" também
pode se aplicar à sua rede. A segurança do endpoint pode ser a mais difícil de gerenciar e manter,
mas também a parte mais importante da proteção de uma rede. Ele pode incluir autenticação em
dispositivos endpoint, autenticação multifatorial, criptografia de volume, túneis VPN e criptografia de
rede, acesso remoto, software antivírus e antimalware e muito mais. O acesso não autorizado a um
dispositivo de terminal é um dos métodos backdoor mais fáceis para uma rede, porque a superfície
de ataque é muito grande. Os atacantes geralmente têm como alvo dispositivos de ponto final que
esperam usar o dispositivo comprometido como ponto de partida para o movimento lateral e o
aumento de privilégios. Além dos métodos tradicionais de proteção de terminais, há outros que
fornecem segurança adicional:
• Lista de permissões do aplicativo. Somente aplicativos na lista de desbloqueio podem

ser executados no terminal. Isso pode minimizar as chances de aplicativos maliciosos
serem instalados ou executados.
• Restringindo o uso de mídia removível. Em uma organização de alta segurança, você

deve minimizar ou eliminar o uso de mídia removível, incluindo dispositivos de
armazenamento removíveis que dependem de USB ou outros métodos de conexão. Isso
pode minimizar os arquivos maliciosos que entram na rede a partir do exterior, bem como
os dados que deixam a empresa em pequenos mecanismos de armazenamento.
• Gerenciamento automatizado de patches. O gerenciamento de patches é a tarefa

mais importante para a manutenção de endpoints. Você deve corrigir o sistema
operacional e todos os aplicativos de terceiros. Além de corrigir, manter-se atualizado
sobre as versões mais recentes pode trazer maior segurança.
• Redes de distribuição de conteúdo (CDNs). CDNs são usados para distribuir conteúdo
globalmente. Eles são normalmente usados para baixar arquivos grandes de um repositório. Os
repositórios são sincronizados globalmente e, em seguida, cada solicitação de entrada de um
arquivo ou serviço é direcionada para o local de serviço mais próximo. Por exemplo, se uma
solicitação vier da Ásia, um repositório local na Ásia, em vez de um nos Estados Unidos. forneceria
o acesso ao arquivo. Isso reduz a latência da solicitação e normalmente usa menos largura de
banda. As CDNs costumam ser mais resistentes a ataques de negação de serviço (DoS) do que as
redes corporativas típicas, e geralmente são mais resistentes.
• Dispositivos físicos. A segurança física é um dos aspectos mais importantes da proteção de uma
rede. A maioria dos dispositivos de rede requer acesso físico para executar uma redefinição, o que
pode fazer com que as configurações sejam excluídas e conceder à pessoa acesso total ao
dispositivo e um caminho fácil para todos os dispositivos conectados a ele. Os métodos mais
comuns para controle de acesso físico são o acesso baseado em código ou em cartão. Códigos ou
cartões exclusivos são atribuídos a indivíduos para identificar quem acessou quais portas ou
bloqueios físicos no ambiente seguro. O acesso seguro ao edifício também pode envolver câmeras
de vídeo, pessoal de segurança, recepções e muito mais. Em algumas organizações de alta
segurança, não é incomum bloquear fisicamente os dispositivos de computação em uma mesa. No
caso de dispositivos móveis, geralmente é melhor ter criptografia e políticas de segurança fortes
para reduzir o impacto de dispositivos roubados, pois é difícil protegê-los fisicamente.
4.3 Implementar canais de comunicação seguros de acordo com o design
Esta seção enfoca a proteção de dados em movimento. Você precisa entender os aspectos de design e
implementação.
• Voz. À medida que mais organizações mudam para o VoIP, protocolos de voz como o SIP se
tornaram comuns em redes Ethernet. Isso introduziu um gerenciamento adicional, seja usando
VLANs de voz dedicadas em redes ou estabelecendo níveis de qualidade de serviço (QoS) para
garantir que o tráfego de voz tenha prioridade sobre o tráfego que não é de voz. Outros aplicativos
de voz baseados na web dificultam o gerenciamento da voz como uma entidade separada. O
aplicativo Skype do consumidor, por exemplo, permite chamadas de vídeo e voz pela Internet. Isso
pode causar um consumo adicional de largura de banda que normalmente não é planejado no
design de topologia de rede ou adquirido de um ISP.
• Colaboração multimídia. Há uma variedade de novas tecnologias que permitem colaboração

instantânea com colegas. Smartboards e telas interativas tornam a reunião na mesma sala mais
produtiva. Adicione tecnologia de vídeo e alguém a milhares de quilômetros de distância pode
colaborar virtualmente na mesma reunião. Mensagens instantâneas através do Microsoft Teams,
Slack e outras aplicações permitem comunicação em tempo real. A comunicação móvel tornou-se
um enorme mercado, com aplicativos móveis como WhatsApp, WeChat e LINE, tornando possível a
comunicação em tempo real em qualquer lugar do mundo.
• Acesso remoto. Por causa da abundância de conectividade, ser produtivo na maioria das funções
de trabalho pode acontecer de qualquer lugar. Mesmo em um ambiente mais tradicional, alguém
trabalhando fora do escritório pode usar uma VPN para conectar e acessar todos os recursos
internos de uma organização. Levando isso adiante, os Serviços de Área de Trabalho Remota (RDS) e
a infraestrutura de desktop virtual (VDI) podem oferecer a mesma experiência, seja no escritório ou
no aeroporto: se você tiver uma conexão com a Internet, poderá acessar os arquivos e aplicativos
que você precisa para ser produtivo. Um raspador de tela é um aplicativo de segurança que captura
uma tela (como um console ou sessão do servidor) e registra a sessão inteira ou faz uma captura de
tela a cada dois segundos. A captura de tela pode ajudar a estabelecer exatamente o que uma
pessoa fez quando entrou em um computador. Os raspadores de tela são usados com mais
freqüência em servidores ou soluções de conectividade remota (como VDI ou farms de área de
trabalho remota).
• Comunicações de dados. Independentemente de você estar fisicamente em um escritório ou

trabalhando remotamente, a comunicação entre os dispositivos que estão sendo usados deve ser
criptografada. Isso impede que qualquer dispositivo não autorizado ou pessoa leia abertamente o
conteúdo dos pacotes à medida que eles são enviados através de uma rede. Redes corporativas
podem ser segmentadas em várias VLANs para separar diferentes recursos. Por exemplo, o
gerenciamento fora de banda para determinados dispositivos pode estar em uma VLAN separada,
de modo que nenhum outro dispositivo possa se comunicar, a menos que seja necessário. O
tráfego de produção e desenvolvimento pode ser segmentado em diferentes VLANs. Um prédio de
escritórios com vários departamentos ou andares de edifícios pode ter VLANs separadas para cada
departamento ou cada andar do prédio. Projetos de redes lógicas podem ser ligados a aspectos
físicos do edifício, conforme necessário. Mesmo com segmentos de VLAN, a comunicação deve ser
criptografada usando TLS, SSL ou IPSec.
• Redes virtualizadas. Muitas organizações usam hipervisores para virtualizar servidores e desktops
para aumentar a densidade e a confiabilidade. No entanto, para hospedar vários servidores em um
único hipervisor, as redes Ethernet e de armazenamento também devem ser virtualizadas. O
VMware vSphere e o Microsoft Hyper-V usam switches de rede virtual e armazenamento para
permitir a comunicação entre máquinas virtuais e
a rede física. Os sistemas operacionais guest em execução nas VMs usam uma rede sintética ou um
adaptador de armazenamento, que é retransmitido para o adaptador físico no host. A rede definida
por software no hipervisor pode controlar as VLANs, isolamento de portas, largura de banda e
outros aspectos, como se fosse uma porta física.
Perguntas de Revisão do Domínio 4
o assunto. Em seguida, vá para o domínio 5.
1. Você está solucionando algumas anomalias com a comunicação de rede em sua rede. Você percebe
que alguma comunicação não está levando a rota esperada ou mais eficiente até o destino. Qual
camada do modelo OSI você deve solucionar?
a. Layer 2
b. Layer 3
c. Layer 4
d. Layer 5
e. Layer 7
2. Uma rede sem fio possui um único ponto de acesso e dois clientes. Um cliente está no lado sul do
prédio em direção à borda da rede. O outro cliente está no lado norte do prédio, também em
direção à borda da rede. Os clientes estão muito longe um do outro para se verem. Nesse cenário,
qual tecnologia pode ser usada para evitar colisões?
a. Collision detection
b. Collision avoidance
c. Channel service unit
d. Data service unit
3. Sua empresa usa o VoIP para chamadas telefônicas internas. Você está implantando um novo
sistema de detecção de intrusão e precisa capturar o tráfego relacionado apenas a chamadas
telefônicas internas. Qual protocolo você deve capturar?
a. H.264
b. DNS
c. H.263
d. HTTPS
e. SIP
49
Domínio 4
1. Resposta: B
Explicação: Nesse cenário, as informações indicam que o problema está no roteamento da
comunicação de rede. O roteamento ocorre na camada 3 do modelo OSI. A camada 3 é
normalmente tratada por um roteador ou pelo componente de roteamento de um dispositivo de
rede.
2. Resposta: B
Explicação: Nesse cenário, a evitação de colisão é usada. As redes sem fio usam a prevenção de
colisões especificamente para resolver o problema descrito no cenário (que é conhecido como o
“problema do nó oculto”).
3. Resposta: E
Explicação: SIP é um protocolo de comunicação usados para comunicação multimídia, como
chamadas de voz internas. Nesse cenário, você precisa capturar o tráfego SIP para garantir que
esteja capturando apenas o tráfego relacionado às chamadas telefônicas.
50
Domínio 5. Gerenciamento de identidade e
acesso (IAM)
Esta seção aborda tecnologias e conceitos relacionados à autenticação e autorização, por exemplo, nomes
de usuário, senhas e diretórios. Embora não seja um domínio enorme, é técnico e há muitos detalhes
importantes relacionados ao design e à implementação das tecnologias.
5.1 Controle o acesso físico e lógico aos ativos

Existem alguns métodos comuns para controlar o acesso sem considerar o tipo de ativo. Por exemplo,
precisamos de uma maneira de autenticar os usuários - confirme se eles são quem eles dizem ser. Então,
precisamos de uma maneira de autorizar os usuários - descobrir se eles estão autorizados a executar a ação
solicitada para o ativo específico (como ler ou gravar um determinado arquivo ou entrar em uma sala de
servidores específica). Vamos dar uma olhada mais de perto em como a autenticação e a autorização
normalmente funcionam.
• Autenticação. Os sistemas de autenticação tradicionais dependem de um nome de usuário e

senha, especialmente para autenticação em dispositivos de computação. Os diretórios LDAP são
comumente usados para armazenar informações do usuário, autenticar usuários e autorizar
usuários. Mas existem sistemas mais recentes que aprimoram a experiência de autenticação. Alguns
substituem os sistemas tradicionais de nome de usuário e senha, enquanto outros (como logon
único ou SSO) os estendem. A biometria é um método de autenticação emergente que inclui (mas
não se limita a) impressões digitais, retina scans, reconhecimento facial e varreduras de íris.
• Autorização. Os sistemas de autorização tradicionais dependem de grupos de segurança em um

diretório, como um diretório LDAP. Com base nos membros do seu grupo, você tem um tipo
específico de acesso (ou nenhum acesso). Por exemplo, os administradores podem conceder acesso
de leitura de um grupo de segurança a um ativo, enquanto um grupo de segurança diferente pode
obter acesso de leitura / gravação / execução ao ativo. Esse tipo de sistema existe há muito tempo e
ainda é o principal mecanismo de autorização para tecnologias locais. Sistemas de autorização mais
recentes incorporam autorização dinâmica ou autorização automatizada. Por exemplo, o processo
de autorização pode verificar se você está no departamento de vendas e em uma posição de
gerenciamento antes de obter acesso a determinados dados de vendas. Outras informações podem
ser incorporadas na autorização. Por exemplo, você pode autenticar e obter acesso de leitura a um
portal baseado na Web, mas não pode entrar na área de administração do portal, a menos que
esteja conectado à rede corporativa.
Em seguida, vamos ver alguns detalhes importantes sobre como controlar o acesso a ativos específicos.
• Em formação. “Information” and “data” are interchangeable here. Information is often stored in
shared folders or in storage available via a web portal. In all cases, somebody must configure who
can gain access and which actions they can perform. The type of authentication isn’t relevant here.
Authorization is what you use to control the access.
• Sistemas. Nesse contexto, os “sistemas” podem se referir a servidores ou aplicativos, seja no local ou na
nuvem. Você precisa estar familiarizado com as várias opções para controlar o acesso. Em um cenário híbrido,
você pode usar autenticação federada e autorização em que o fornecedor de nuvem confia em suas soluções
de autenticação e autorização no local.
Esse controle de acesso centralizado é bastante comum porque oferece às organizações
controle completo, independentemente de onde estejam os sistemas.
• Dispositivos. Os dispositivos incluem computadores, smartphones e tablets. Hoje, nomes de

usuário e senhas (geralmente de um diretório LDAP) são usados para controlar o acesso à maioria
dos dispositivos. Impressões digitais e outros sistemas biométricos são comuns também. Em
ambientes de alta segurança, os usuários podem ter que digitar um nome de usuário e uma senha
e, em seguida, usar um segundo fator de autenticação (como um código de um cartão inteligente)
para obter acesso a um dispositivo. Além de obter acesso a dispositivos, você também precisa levar
em conta o nível de acesso. Em ambientes de alta segurança, os usuários não devem ter acesso
administrativo aos dispositivos, e somente usuários especificados devem poder obter acesso a
determinados dispositivos.
• Instalações. O controle do acesso às instalações (prédios, garagens de estacionamento, salas de

servidores, etc.) normalmente é feito por meio de sistemas de acesso a crachás. Os funcionários
carregam um crachá identificando-os e contendo um chip. Com base em seu departamento e cargo,
eles terão acesso a certas instalações (como as portas principais que entram em um prédio), mas
terão acesso negado a outras instalações (como a usina ou a sala do servidor). Para instalações de
alta segurança, como um data center, é comum ter autenticação multifator. Por exemplo, você deve
apresentar um cartão de identificação válido para um guarda de segurança e também passar por
um exame manual ou facial para obter acesso ao centro de dados. Uma vez lá dentro, você ainda
precisa usar uma chave ou cartão inteligente para abrir racks ou gaiolas.
5.2 Gerenciar identificação e autenticação de pessoas, dispositivos e

serviços
Esta seção é baseada na seção anterior. Os subtópicos são mais operacionais por natureza e entram em mais
detalhes.
• Implementação de gerenciamento de identidade. Analisamos brevemente o SSO e o LDAP.

Agora, vamos analisá-los em mais detalhes.
• SSO. O logon único fornece uma experiência aprimorada de autenticação do usuário, pois o
usuário acessa vários sistemas e dados em vários sistemas. Está intimamente relacionado ao
gerenciamento de identidades federadas (discutido posteriormente nesta seção). Em vez de
se autenticar em cada sistema individualmente, o recente logon é usado para criar um token
de segurança que pode ser reutilizado em aplicativos e sistemas. Assim, um usuário
autentica uma vez e, em seguida, pode obter acesso a uma variedade de sistemas e dados
sem ter que autenticar novamente. Normalmente, a experiência do SSO dura por um
período especificado, como 4 horas ou 8 horas. O SSO geralmente aproveita a autenticação
do usuário para o dispositivo de computação. Por exemplo, um usuário faz login no
dispositivo pela manhã e, mais tarde, quando inicia um navegador da Web para acessar um
portal de controle de tempo, o portal aceita a autenticação existente. O SSO pode ser mais
sofisticado. Por exemplo, um usuário pode usar o SSO para obter acesso a um portal
baseado na Web, mas se o usuário tentar fazer uma alteração de configuração, o portal
55
poderá solicitar a autenticação antes de permitir a alteração. Observe que usar o mesmo
nome de usuário e senha para acessar sistemas independentes não é SSO. Em vez disso, é
geralmente chamado de "mesmo logon" porque você usa as mesmas credenciais. O principal
benefício do SSO também é sua principal desvantagem: ele simplifica o processo de obter
acesso a vários sistemas para todos. Por exemplo, se os invasores comprometerem as
credenciais de um usuário, eles poderão fazer login no computador e obter acesso a todos
os aplicativos usando o SSO. A autenticação multifator pode ajudar a atenuar esse risco.
• LDAP. O LDAP (Lightweight Directory Access Protocol) é um protocolo baseado em padrões

(RFC 4511) cujas raízes remontam ao padrão X.500, lançado no início dos anos 90. Muitos
fornecedores implementaram sistemas compatíveis com LDAP e diretórios compatíveis com
LDAP, geralmente com aprimoramentos específicos de fornecedores. O LDAP é
especialmente popular para redes corporativas locais. Um diretório LDAP armazena
informações sobre usuários, grupos, computadores e, às vezes, outros objetos, como
impressoras e pastas compartilhadas. É comum usar um diretório LDAP para armazenar
metadados do usuário, como nome, endereço, números de telefone, departamentos,
número de funcionários, etc. Os metadados em um diretório LDAP podem ser usados para
sistemas de autenticação dinâmica ou outra automação. Atualmente, o sistema LDAP mais
comum é o Microsoft Active Directory (Serviços de Domínio Active Directory ou AD DS). Ele
usa o Kerberos (um protocolo de autenticação que oferece segurança aprimorada) para
autenticação, por padrão.
• Autenticação de fator único ou múltiplo. Existem três fatores de autenticação diferentes - algo
que você sabe, algo que você tem e algo que você é. Cada fator tem muitos métodos diferentes.
Algo que você sabe que poderia ser um nome de usuário e senha ou a resposta a uma pergunta
pessoal; algo que você pode ter é um smartcard ou um telefone, e algo que você é pode ser uma
impressão digital ou um exame de retina. A autenticação de fator único requer apenas um método
de qualquer um dos três fatores - geralmente um nome de usuário e senha. A autenticação
multifator (MFA) requer um método de dois ou três fatores diferentes, o que geralmente aumenta a
segurança. Por exemplo, exigir que você forneça um código enviado para um token físico, além de
um nome de usuário e senha, aumenta a segurança, pois é improvável que um invasor que rouba
suas credenciais também tenha acesso ao token de disco rígido. Diferentes métodos fornecem
diferentes níveis de segurança, no entanto. Por exemplo, a resposta a uma pergunta pessoal não é
tão segura quanto um token de um aplicativo de segurança em seu telefone, porque é muito mais
provável que um usuário mal-intencionado possa descobrir as informações para responder à
pergunta na Internet do que obter acesso ao seu telefone. Uma desvantagem da autenticação
multifator é a complexidade que ela introduz; Por exemplo, se um usuário não tiver seu celular ou
token device com ele, ele não poderá entrar. Para minimizar os problemas, forneça opções para o
segundo método (por exemplo, o usuário pode optar por uma ligação telefônica). para o seu
telefone fixo).
• Prestação de contas. Nesse contexto, a responsabilidade é a capacidade de acompanhar as ações

dos usuários conforme eles acessam sistemas e dados. Você precisa ser capaz de identificar os
usuários em um sistema, saber quando eles acessam e registrar o que eles fazem enquanto estão
no sistema. Esses dados de auditoria devem ser capturados e registrados para posterior análise e
55
solução de problemas. Informações importantes podem ser encontradas nesses dados. Por
exemplo, se um usuário autentica com êxito em um computador em Nova York e depois se
autentica com êxito em um computador em Londres alguns minutos depois, isso é suspeito e deve
ser investigado. Se uma conta tiver repetido tentativas incorretas de senha, você precisará de dados
para rastrear a origem das tentativas. Hoje, muitas empresas estão centralizando a prestação de
contas. Por exemplo, todos os servidores e aplicativos enviam seus dados de auditoria para o
sistema centralizado, para que os administradores possam obter informações sobre vários sistemas
com uma única consulta. Devido à enorme quantidade de dados nesses sistemas centralizados, eles
geralmente são sistemas de “big data”, e você pode usar o analytics e o aprendizado de máquina
para descobrir insights sobre seu ambiente.
• Gerenciamento de sessão Depois que os usuários se autenticarem, você precisa gerenciar suas
sessões. Se um usuário se afasta do computador, qualquer um pode andar e assumir sua
identidade. Para reduzir as chances de isso acontecer, você pode exigir que os usuários bloqueiem
seus computadores quando se afastarem. Você também pode usar tempos limite da sessão para
bloquear automaticamente os computadores. Você também pode usar proteções de tela
protegidas por senha que exigem que o usuário seja autenticado novamente. Você também precisa
implementar o gerenciamento de sessões remotas. Por exemplo, se os usuários se conectarem de
seus computadores a um servidor remoto por meio de Secure Shell (SSH) ou Remote Desktop
Protocol (RDP), você poderá limitar o tempo ocioso dessas sessões.
• Registro e comprovação de identidade. Com alguns sistemas de gerenciamento de identidade, os

usuários devem registrar e fornecer prova de sua identidade. Por exemplo, com aplicativos de
redefinição de senha de autoatendimento, é comum que os usuários registrem e comprovem sua
identidade. Se, mais tarde, esquecerem a senha e precisarem redefini-la, deverão autenticar usando
um método alternativo, como fornecer as mesmas respostas às perguntas fornecidas durante o
registro. Observe que as perguntas geralmente são inseguras e devem ser usadas somente quando
as perguntas puderem ser personalizadas ou quando um ambiente não exigir um alto nível de
segurança. Uma técnica que os usuários podem usar para aprimorar os sistemas de perguntas e
respostas é usar respostas falsas. Por exemplo, se a pergunta quiser saber o nome de solteira da
sua mãe, você digita outro nome incorreto, mas serve como sua resposta para autenticação.
Alternativamente, você pode tratar as respostas como senhas complexas. Em vez de responder
diretamente às perguntas, você pode usar uma longa sequência de caracteres alfanuméricos, como
“Vdsfh2873423 # @ $ wer78wreuy23143ya”.
• Federated Identity Management (FIM). Observe que este tópico não se refere ao Microsoft
Forefront Identity Manager, que possui o mesmo acrônimo. Tradicionalmente, você se autentica na
rede da sua empresa e obtém acesso a determinados recursos. Quando você usa a federação de
identidades, duas organizações independentes compartilham informações de autenticação e / ou
autorização entre si. Em tal relacionamento, uma empresa fornece os recursos (como um portal da
web) e a outra empresa fornece a identidade e as informações do usuário. A empresa que fornece
os recursos confia na autenticação proveniente do provedor de identidade. Os sistemas de
identidade federada fornecem uma experiência de usuário aprimorada, pois os usuários não
precisam manter várias contas de usuário em vários aplicativos. Os sistemas de identidade federada
usam o SAML (Security Assertion Markup Language), o OAuth ou outros métodos para trocar
informações de autenticação e autorização. SAML é o método mais comum para autenticação em
55
uso hoje. É principalmente limitado para usar com navegadores da web, enquanto o OAuth não se
limita a navegadores da web. O gerenciamento de identidade federada e o SSO estão intimamente
relacionados. Você não pode fornecer razoavelmente SSO sem um sistema de gerenciamento de
identidade federado. Por outro lado, você usa identidades federadas sem SSO, mas a experiência do
usuário será prejudicada porque todos devem ser autenticados novamente à medida que acessam
vários sistemas.
• Sistemas de gerenciamento de credenciais. Um sistema de gerenciamento de credenciais

centraliza o gerenciamento de credenciais. Tais sistemas normalmente estendem a funcionalidade
dos recursos padrão disponíveis em um serviço de diretório típico. Por exemplo, um sistema de
gerenciamento de credenciais pode gerenciar automaticamente as senhas para senhas de contas,
mesmo se essas contas estiverem em uma nuvem pública de terceiros ou em um serviço de
diretório local. Os sistemas de gerenciamento de credenciais geralmente permitem que os usuários
verifiquem temporariamente as contas para fins administrativos. Por exemplo, um administrador
de banco de dados pode usar um sistema de gerenciamento de credenciais para fazer o check-out
de uma conta de administrador do banco de dados para executar algum trabalho administrativo
usando essa conta. Quando eles terminam, eles verificam a conta de volta e o sistema
imediatamente redefine a senha. Toda a atividade é registrada e o acesso às credenciais é limitado.
Sem um sistema de gerenciamento de credenciais, você corre o risco de ter várias abordagens de
gerenciamento de credenciais em sua organização. Por exemplo, uma equipe pode usar uma
planilha do Excel para listar contas e senhas, enquanto outra equipe pode usar um aplicativo
seguro de senha de terceiros. Ter vários métodos e aplicativos não gerenciados aumenta os riscos
para sua organização. A implementação de um único sistema de gerenciamento de credenciais
normalmente aumenta a eficiência e a segurança.
5.3 Integrar identidade como um serviço de terceiros

Existem muitos fornecedores de terceiros que oferecem serviços de identidade que complementam o
armazenamento de identidades existente. Por exemplo, o Ping Identity fornece uma plataforma de
identidade que você pode integrar ao seu diretório local (como o Active Directory) e seus serviços de nuvem
pública (como o Microsoft Azure ou o Amazon AWS). Serviços de identidade de terceiros podem ajudar a
gerenciar identidades tanto no local quanto na nuvem:
• On premises. Para trabalhar com suas soluções existentes e ajudar a gerenciar identidades nas
instalações, os serviços de identidade geralmente colocam servidores, dispositivos ou serviços em
sua rede interna. Isso garante uma integração perfeita e fornece recursos adicionais, como o logon
único. Por exemplo, você pode integrar seu domínio do Active Directory a um provedor de
identidade de terceiros e, assim, habilitar determinados usuários a se autenticarem através do
provedor de identidade de terceiros para SSO.
• Cloud. As organizações que desejam aproveitar o software como serviço (SaaS) e outros aplicativos
baseados na nuvem também precisam gerenciar identidades na nuvem. Alguns deles escolhem a
federação de identidade - eles federam seu sistema de autenticação local diretamente com os
provedores de nuvem. Mas há outra opção: usar um serviço de identidade baseado em nuvem,
como o Microsoft Azure Active Directory ou o Amazon AWS Identity and Access Management.
55
Existem alguns profissionais com o uso de um serviço de identidade baseado em nuvem:
• Você pode ter gerenciamento de identidade sem gerenciar a infraestrutura associada.
• Você pode começar rapidamente a usar um serviço de identidade baseado em nuvem,

geralmente em apenas alguns minutos.
• Serviços de identidade baseados em nuvem são relativamente baratos.
• Os serviços de identidade baseados em nuvem oferecem serviços em todo o mundo,

geralmente em mais lugares e em uma escala maior do que a maioria das organizações.
• O provedor de nuvem geralmente oferece recursos que não são comumente

encontrados em ambientes locais. Por exemplo, um provedor de nuvem pode detectar
automaticamente tentativas de login suspeitas, como aquelas de um tipo diferente de
sistema operacional do que o normal ou de um local diferente do habitual, porque eles
têm uma grande quantidade de dados e podem usar inteligência artificial para detectar
logins suspeitos.
• For services in the cloud, authentication is local, which often results in better performance
than sending all authentication requests back to an on-premises identity service.
Você também precisa estar ciente das possíveis desvantagens:
• Você perde o controle da infraestrutura de identidade. Como a identidade é um serviço

fundamental, algumas organizações de alta segurança têm políticas que exigem controle
total sobre todo o serviço de identidade. Há um risco em usar um serviço de identidade
em uma nuvem pública, embora a nuvem pública às vezes possa ser tão segura ou mais
segura do que muitos ambientes corporativos.
• Você pode não conseguir usar apenas o serviço de identidade baseado em nuvem. Muitas
empresas têm aplicativos e serviços herdados que exigem uma identidade local. Ter que
gerenciar uma infraestrutura de identidade local e um sistema de identidade baseado em
nuvem requer mais tempo e esforço do que apenas gerenciar um ambiente local.
• Se você quiser usar todos os recursos de um serviço de identidade na nuvem, os custos

aumentam. As infraestruturas de identidade locais não são dispendiosas em comparação
com muitos outros serviços básicos, como armazenamento ou rede.
• Pode haver um grande esforço necessário para usar um serviço de identidade baseado
em nuvem. Por exemplo, você precisa descobrir novos processos operacionais. Você
precisa capturar os dados de auditoria e registro e, geralmente, trazê-los de volta ao seu
ambiente local para análise. Você pode ter que atualizar, atualizar ou implantar novos
softwares e serviços.
55
Por exemplo, se você tiver uma solução de autenticação multifator existente, ela poderá
não funcionar perfeitamente com seu serviço de identidade baseado em nuvem.
• Federado. A federação permite que sua organização use suas identidades existentes (como aquelas
usadas para acessar seus sistemas corporativos internos) para acessar sistemas e recursos fora da
rede da empresa. Por exemplo, se você usar um aplicativo de RH baseado em nuvem na Internet,
poderá configurar a federação para permitir que os funcionários façam login no aplicativo com suas
credenciais corporativas. Você pode federar com fornecedores ou parceiros. A federação entre duas
organizações envolve um acordo e um software para permitir que suas identidades se tornem
portáveis (e, portanto, usáveis com base em quem você associa). A federação geralmente oferece a
melhor experiência do usuário, pois os usuários não precisam se lembrar de senhas adicionais ou
gerenciar identidades adicionais.
Outros fatos importantes sobre serviços de identidade de terceiros incluem:
• Geralmente, você ainda precisa de um serviço de diretório local.
• Muitos serviços de identidade de terceiros começaram como soluções para aplicativos baseados
na Web. Desde então, eles cobrem outros casos de uso, mas ainda não podem ser usados em
muitos cenários de autenticação diários. Por exemplo, a maioria deles não consegue autenticar
usuários em seus laptops corporativos.
• Os serviços de identidade de terceiros geralmente oferecem autenticação de logon único,

vários fatores e serviços de metadados (extraindo dados de vários diretórios para um único
diretório de terceiros).
• Muitas das ofertas são baseadas na nuvem, com uma pegada mínima local.
• Os serviços de identidade de terceiros normalmente oferecem suporte a SAML, OpenID Connect,

WS-Federation, OAuth e WS-Trust.
5.4 Implementar e gerenciar mecanismos de autorização

Esta seção enfoca os métodos de controle de acesso. Para se preparar para o exame, você deve entender
os principais métodos e as diferenças entre eles.
• Controle de acesso baseado em função (RBAC). O RBAC é um método comum de controle de

acesso. Por exemplo, uma função pode ser um técnico de desktop. O papel tem direitos sobre as
estações de trabalho, o software antivírus e uma pasta compartilhada de instalação de software.
Por exemplo, se um novo técnico de desktop iniciar na sua empresa, basta adicioná-lo ao grupo de
funções e eles terão imediatamente o mesmo acesso que os outros técnicos de desktop. O RBAC é
um método de controle de acesso não discricionário porque não há discrição - cada função tem o
que tem. O RBAC é considerado uma boa prática padrão do setor e é amplamente utilizado em
todas as organizações.
• Controle de acesso baseado em regras. O controle de acesso baseado em regras

implementa o controle de acesso com base em regras predefinidas. Por exemplo, você pode
ter uma regra que permita acesso de leitura a dados de marketing para qualquer pessoa que
58
esteja no departamento de marketing ou uma regra que permita que apenas gerentes
imprimam em uma impressora de alta segurança. Sistemas de controle de acesso baseados
em regras são frequentemente implantados para automatizar o gerenciamento de acesso.
Muitos sistemas baseados em regras podem ser usados para implementar o acesso
dinamicamente. Por exemplo, você pode ter uma regra que permita que qualquer pessoa no
escritório de Nova York acesse um servidor de arquivos em Nova York. Se um usuário tentar
acessar o servidor de arquivos de outra cidade, ele terá acesso negado, mas se viajar para o
escritório de Nova York, o acesso será permitido. Métodos de controle de acesso baseados
em regras simplificam o controle de acesso em alguns cenários. Por exemplo, imagine um
conjunto de regras com base em um novo local de escritório, seu acesso será atualizado
automaticamente. Em particular, seu antigo acesso desaparece automaticamente, abordando
uma questão importante que afeta muitas organizações.
• Controle de acesso obrigatório (MAC). O MAC é um método para restringir o acesso com base
na autorização de uma pessoa e na classificação ou etiqueta dos dados. Por exemplo, uma pessoa
com permissão de alta confidencialidade pode ler um documento classificado como Top Secret. O
método MAC garante confidencialidade. O MAC não está em uso generalizado, mas é considerado
como fornecendo maior segurança que o DAC, pois usuários individuais não podem alterar o
acesso.
• Controle de acesso discricionário (DAC). Quando você configura uma pasta compartilhada em
um servidor Windows ou Linux, usa o DAC. Você atribui a alguém direitos específicos para um
volume, uma pasta ou um arquivo. Os direitos podem incluir somente leitura, gravação, execução,
lista e muito mais. Você tem controle granular sobre os direitos, incluindo se os direitos são
herdados por objetos filho (como uma pasta dentro de outra pasta). O DAC é flexível e fácil. Está
em uso difundido. No entanto, qualquer pessoa com direitos para alterar permissões pode alterar
as permissões. É difícil conciliar todas as várias permissões em toda a organização. Também pode
ser difícil determinar todos os ativos aos quais alguém tem acesso, porque o DAC é muito
descentralizado.
• Controle de acesso baseado em atributos (ABAC). Muitas organizações usam atributos para
armazenar dados sobre usuários, como departamento, centro de custo, gerente, local, número de
funcionário e data de contratação. Esses atributos podem ser usados para automatizar a
autorização e torná-la mais segura. Por exemplo, você pode configurar autorização para permitir
que apenas usuários que tenham “Paris” como local do escritório usem a rede sem fio em seu
escritório em Paris. Ou você pode reforçar a segurança de sua pasta de RH verificando não apenas
se os usuários são membros de um grupo específico, mas também se o atributo de departamento
está definido como "HR".
5.5 Gerenciar o ciclo de vida de fornecimento de identidade e acesso

O ciclo de vida da identidade estende-se desde a criação de usuários até o fornecimento de acesso, o
gerenciamento de usuários, o desprovisionamento de acesso ou usuários. Embora existam vários métodos
para gerenciar esse ciclo de vida, as seguintes etapas ordenadas fornecem uma visão geral do processo
típico de implementação:
1. Um novo usuário é contratado em uma empresa.
59
2. O departamento de RH cria um novo registro de funcionário no sistema de gerenciamento de
capital humano (HCM), que é a fonte autorizada de informações de identidade, como nome,
endereço, cargo e gerente.
3. O HCM sincroniza com o serviço de diretório. Como parte da sincronização, todos os novos
usuários no HCM são provisionados no serviço de diretório.
4. O departamento de TI preenche atributos adicionais para o usuário no serviço de diretório.

Por exemplo, o endereço de e-mail e a função dos usuários podem ser adicionados.
5. O departamento de TI realiza tarefas de manutenção, como redefinir a senha do usuário e alterar

as funções do usuário quando ele se muda para um novo departamento.
6. O funcionário deixa a empresa. O departamento de RH sinaliza o usuário como terminado no HCM,

e o HCM realiza uma sincronização imediata com o serviço de diretório. O serviço de diretório
desabilita a conta de usuário para remover temporariamente o acesso.
7. 7. O departamento de TI, após um período específico (como 7 dias), exclui permanentemente a

conta do usuário e todo o acesso associado.
Além dessas etapas, há processos adicionais envolvidos no gerenciamento de identidade e acesso:
• Revisão de acesso do usuário. Você deve realizar revisões de acesso periódicas nas quais o pessoal
apropriado atesta que cada usuário possui os direitos e permissões apropriados. O usuário tem
apenas o acesso necessário para realizar seu trabalho? Todas as permissões foram concedidas por
meio do processo de solicitação de acesso da empresa? A concessão de acesso está documentada e
disponível para revisão? Você também deve revisar a configuração do seu serviço de identidade
para garantir que ele cumpra as boas práticas conhecidas. Você deve revisar o serviço de diretório
para objetos obsoletos (por exemplo, contas de usuário para funcionários que deixaram a
empresa). O objetivo principal é garantir que os usuários tenham as permissões de acesso
necessárias e nada mais. Se um usuário finalizado ainda tiver uma conta de usuário válida, você
estará violando sua meta principal.
• Revisão de acesso à conta do sistema. Contas do sistema são contas que não estão vinculadas a
um para um para seres humanos. Eles costumam ser usados para executar processos, tarefas e
tarefas automatizadas. Contas do sistema, por vezes, têm acesso elevado. Na verdade, não é
incomum encontrar contas do sistema com o nível mais alto de acesso (acesso raiz ou
administrativo). As contas do sistema exigem uma revisão semelhante às contas do usuário. Você
precisa descobrir se as contas do sistema têm o nível mínimo de permissões necessárias para o que
elas são usadas. E você precisa mostrar os detalhes - quem forneceu o acesso, a data em que foi
concedido e o que as permissões fornecem acesso.
• Provisionamento e desprovisionamento. Criação de conta e exclusão de conta -

provisionamento e desprovisionamento - são tarefas fundamentais no ciclo de vida da conta. Crie
60
contas muito cedo e você tem contas inativas que podem ser segmentadas. Espere muito tempo
para desabilitar e excluir contas e você também tem contas inativas que podem ser segmentadas.
Quando viável, é uma boa prática automatizar o provisionamento e o desprovisionamento. A
automação ajuda a reduzir o tempo para criar e excluir contas. Também reduz o erro humano
(embora o código de automação possa ter erro humano). Sua empresa deve estabelecer
diretrizes para provisionamento e desprovisionamento de contas. Por exemplo, sua empresa
pode ter uma política de que uma conta deve ser desativada enquanto o funcionário da reunião
estiver sendo notificado de sua rescisão.
61
Domínio 5 Questões para revisão
tempo com o assunto. Em seguida, vá para o Domínio 6.
1. Você está implementando uma solução de autenticação multifator. Como parte do design, você
está capturando os três fatores de autenticação. O que eles são?
a. Algo que você faz
b. Algo que você sabe
c. Algo que você tem
d. Algo que você precisa
e. Algo que você é
2. Sua empresa está expandindo rapidamente sua área de cobertura de nuvem pública,
especialmente com Infraestrutura como Serviço (IaaS), e deseja atualizar sua solução de
autenticação para permitir que os usuários sejam autenticados para serviços na nuvem que ainda
precisam ser especificados. A empresa emite os seguintes requisitos:
• Minimize a infraestrutura necessária para a autenticação.
• Implante rapidamente a solução.
• Minimize a sobrecarga do gerenciamento da solução.
Você precisa escolher a solução de autenticação para a empresa. Qual solução você deve escolher?
a. Uma solução de identidade federada
b. Um serviço de identidade
baseado em nuvem
c. Uma solução de autenticação multifator
d. Um serviço de identidade de terceiros
3. Um usuário relata que não pode obter acesso a uma pasta compartilhada. Você investiga
e encontra as seguintes informações:
• Nem o usuário nem os grupos dos quais o usuário é membro receberam permissões para a pasta.
• Outros usuários e grupos receberam permissões para a pasta.
• Outra pessoa de TI em sua equipe relata que atualizou as permissões na pasta recentemente.
Com base nas informações neste cenário, que tipo de controle de acesso está em uso?
a. RBAC
b. Controle de acesso baseado em regras
62
c. MAC
d. DAC
63
Domínio 5
1. Resposta: B, C, E
Explicação: Os três fatores são algo que você conhece (como uma senha), algo que você tem
(como um cartão inteligente ou aplicativo de autenticação) e algo que você é (como uma
impressão digital ou retina). O uso de métodos de vários fatores para autenticação aumenta a
segurança e reduz o risco de uma senha roubada ou quebrada.
2. Resposta: B
Explicação: Com a rápida expansão para a nuvem e o tipo de serviços na nuvem desconhecidos, um
serviço de identidade baseado em nuvem, especialmente um de seu fornecedor de nuvem pública, é
a melhor escolha. Esses serviços são compatíveis com as soluções IaaS, SaaS e PaaS. Embora um
serviço de identidade de terceiros possa manipular o SaaS, ele não será tão capaz em cenários não
SaaS. Uma solução de identidade federada também é limitada a determinados cenários de
autenticação e requer mais tempo para implantar e mais trabalho para gerenciar.
3. Resposta: D
Explicação: Como você encontrou permissões individuais para usuários individuais e um
administrador de TI alterou manualmente as permissões na pasta, o DAC está em uso. O RBAC usa
funções e o controle de acesso baseado em regras depende de regras e atributos do usuário,
portanto, você não localizaria usuários individuais configurados com permissões na pasta com um
desses. O MAC é baseado nos níveis de liberação. Por isso, novamente, os usuários não recebem
permissões individuais em uma pasta. em vez disso, um grupo para cada liberação é usado.
64
Domínio 6. Avaliação e teste de segurança
This section covers assessments and audits, along with all the technologies and techniques you will be
expected to know to perform them.
6.1 Projetar e validar estratégias de avaliação, teste e auditoria

As estratégias de avaliação, teste e auditoria de uma organização dependerão de seu tamanho, setor,
situação financeira e outros fatores. Por exemplo, uma pequena organização sem fins lucrativos, uma
pequena empresa privada e uma pequena empresa pública terão requisitos e metas diferentes. Como
qualquer procedimento ou política, a estratégia de auditoria deve ser avaliada e testada regularmente para
garantir que a organização não esteja fazendo um desserviço a si mesma com a estratégia atual. Existem
três tipos de estratégias de auditoria:
• Interna. Uma estratégia de auditoria interna deve estar alinhada aos negócios e às operações
diárias da organização. Por exemplo, uma empresa de capital aberto terá uma estratégia de
auditoria mais rigorosa do que uma empresa privada. No entanto, as partes interessadas em
ambas as empresas têm interesse em proteger a propriedade intelectual, os dados dos clientes e as
informações dos funcionários. O desenho da estratégia de auditoria deve incluir o estabelecimento
de requisitos regulatórios e metas de conformidade aplicáveis.
• Externa. Uma estratégia de auditoria externa deve complementar a estratégia interna, fornecendo
verificações regulares para garantir que os procedimentos estão sendo seguidos e a organização
está cumprindo suas metas de conformidade.
• Terceira. A auditoria de terceiros fornece uma abordagem neutra e objetiva para revisar o design
existente, os métodos de teste e a estratégia geral de auditoria do ambiente. Uma auditoria de
terceira parte também pode garantir que os auditores internos e externos estejam seguindo os
processos e procedimentos definidos como parte da estratégia geral.
6.2 Realizar testes de controle de segurança

O teste de controle de segurança pode incluir testes da instalação física, sistemas lógicos e aplicativos.
Aqui estão os métodos comuns de teste:
• Avaliação de vulnerabilidade. O objetivo de uma avaliação de vulnerabilidade é identificar

elementos em um ambiente que não estejam adequadamente protegidos. Isso nem sempre tem
que ser de uma perspectiva técnica; você também pode avaliar a vulnerabilidade da segurança física
ou a dependência externa de energia, por exemplo. Essas avaliações podem incluir testes de
pessoal, testes físicos, testes de sistema e de rede e outros testes de instalações.
• Teste de penetração. Um teste de penetração é um ataque intencional em sistemas para
65
tentar ignorar controles automatizados. O objetivo de um teste de penetração é descobrir
pontos fracos na segurança, para que possam ser abordados para mitigar o risco. As técnicas
de ataque podem incluir spoofing, ignorar autenticação, escalonamento de privilégios e
muito mais. Como as avaliações de vulnerabilidade, o teste de penetração não precisa ser
puramente lógico. Por exemplo, você pode usar a engenharia social para tentar obter acesso
físico a um prédio ou sistema.
• Revisões de registro. Os sistemas de TI podem registrar qualquer coisa que ocorra no sistema,
incluindo tentativas de acesso e autorizações. As entradas de log mais óbvias para revisar são
qualquer série de eventos de "negação", pois alguém está tentando acessar algo para o qual não
tem permissão. É mais difícil analisar os eventos de sucesso, pois geralmente existem milhares deles
e quase todos seguem as políticas existentes. No entanto, pode ser importante mostrar que alguém
ou algo realmente acessou um recurso que não deveria, por engano ou por meio de escalonamento
de privilégios. Um procedimento e um software para facilitar a revisão frequente dos registros é
essencial.
• Transações sintéticas. Enquanto o monitoramento do usuário captura ações reais do usuário

em tempo real, transações sintéticas ou de outra forma artificiais podem ser usadas para testar o
desempenho ou a segurança do sistema.
• Revisão e teste de código. Os controles de segurança não estão limitados aos sistemas de TI. O
ciclo de vida de desenvolvimento de aplicativos também deve incluir revisão de código e teste para
controles de segurança. Essas revisões e controles devem ser incorporados ao processo, assim
como testes de unidade e testes de função são; caso contrário, o aplicativo corre o risco de ser
inseguro.
• Teste de caso de uso incorreto. O software e os sistemas podem ser testados para uso em algo
diferente do propósito pretendido. Do ponto de vista de software, isso pode ser feito para fazer
engenharia reversa dos binários ou para acessar outros processos através do software. Do
ponto de vista da TI, isso pode ser um escalonamento de privilégios, o compartilhamento de
senhas e o acesso a recursos que devem ser negados.
• Análise de cobertura de teste. Você deve estar ciente dos seguintes tipos de teste de cobertura:
• Teste de caixa preta. O testador não tem conhecimento prévio do ambiente que está sendo
testado.
• Teste de caixa branca. O testador tem conhecimento total antes do teste.
• Teste dinâmico. O sistema que está sendo testado é monitorado durante o teste.
• Teste estático. O sistema que está sendo testado não é monitorado durante o teste.
• Teste manual. O teste é realizado manualmente por humanos.
• Teste automatizado. Um script executa um conjunto de ações.
66
• Teste estrutural. Isso pode incluir cobertura de declaração, decisão, condição, loop e fluxo de
dados.
• Teste funcional. Isso inclui testes normais e anti-normais da reação de um sistema ou

software. O teste anti-normal passa por entradas e métodos inesperados para validar
funcionalidade, estabilidade e robustez.
• Teste negativo. Este teste usa propositalmente o sistema ou o software com

dados inválidos ou prejudiciais e verifica se o sistema responde apropriadamente.
• Teste de interface. Isso pode incluir as interfaces do servidor, bem como interfaces internas e
externas. As interfaces do servidor incluem hardware, software e infraestrutura de rede para
suportar o servidor. Para aplicativos, as interfaces externas podem ser um navegador da Web
ou um sistema operacional, e os componentes internos podem incluir plug-ins, tratamento de
erros e muito mais. Você deve estar ciente dos diferentes tipos de teste para cada sistema.
6.3 Coletar dados do processo de segurança

As organizações devem coletar dados sobre políticas e procedimentos e analisá-los regularmente para
garantir que as metas estabelecidas sejam cumpridas. Além disso, eles devem considerar se novos riscos
surgiram desde a criação do processo que agora deve ser abordado.
• Gerenciamento de contas. Toda organização deve ter um procedimento definido para manter
contas que tenham acesso a sistemas e instalações. Isso não significa apenas documentar a criação
de uma conta de usuário, mas pode incluir quando essa conta expira e as horas de logon da conta.
Isso também deve estar ligado ao acesso às instalações. Por exemplo, um funcionário recebeu um
código ou um cartão-chave para acessar o prédio? Há horas em que o método de acesso também é
impedido? Também deve haver processos separados para gerenciar contas de fornecedores e
outras pessoas que possam precisar de acesso temporário.
• Revisão e aprovação da administração. A gerência desempenha um papel fundamental para

garantir que esses processos sejam distribuídos aos funcionários e seguidos. A probabilidade de um
processo ou procedimento ter sucesso sem a adesão da administração é mínima. As equipes que
estão coletando os dados do processo devem ter o suporte total da equipe de gerenciamento,
incluindo revisões periódicas e aprovação de todas as técnicas de coleta de dados.
• Desempenho chave e indicadores de risco. Você pode associar os principais indicadores de

desempenho e risco aos dados que estão sendo coletados. Os indicadores de risco podem ser
usados para medir como o processo, a conta, o acesso às instalações ou outras ações são
arriscadas para a organização. Os indicadores de desempenho podem ser usados para garantir
que um processo ou procedimento seja bem-sucedido e medir o impacto que ele tem nas
operações do dia a dia da organização.
• Dados de verificação de backup. Um procedimento de backup rigoroso e rigoroso é quase inútil

sem a verificação dos dados. Os backups devem ser restaurados regularmente para garantir que
os dados possam ser recuperados com êxito. Ao usar a replicação, você também deve
67
implementar verificações de integridade para garantir que os dados não sejam corrompidos
durante o processo de transferência.
• Treinamento e conscientização. O treinamento e a conscientização de políticas e procedimentos

de segurança são metade da batalha ao implementar ou manter essas políticas. Isso vai além da
equipe de segurança que coleta os dados e pode afetar todos os funcionários ou usuários de uma
organização. A tabela abaixo descreve os diferentes níveis de treinamento que podem ser usados
para uma organização.
Conscientização Treinamento Educação

Nível de conheci- O "o que" de um O "como" de uma política O "porquê" de uma
mento procedimento ou procedimento política ou procedimento
Objetivo Retenção do conhecimento Capacidade de completar Compreender a
uma tarefa grande figura
Típicos métodos de E-learning individualizado, Conduzido por instrutor Seminários e pesquisa
treinamento treinamento baseado na (ILT), demonstrações,
Web (WBT) atividades práticas
Método de testes Questionário curto após o Resolução de problemas Resolução de problemas
treino no nível do aplicativo em nível de projeto e
exercícios de arquitetura
68
• Recuperação de desastres (DR) e continuidade de negócios (BC). Duas áreas que devem ser
fortemente documentadas são a recuperação de desastres e a continuidade dos negócios. Como
esses processos são usados com pouca freqüência, a documentação desempenha um papel
fundamental, ajudando as equipes a entender o que fazer e quando fazer. Como parte de sua
avaliação e testes de segurança, você deve revisar a documentação de DR e BC para garantir que ela
esteja completa e represente um desastre do começo ao fim. Os procedimentos devem seguir as
políticas de segurança estabelecidas da empresa e responder a perguntas como, por exemplo, como
os administradores obtêm senhas de contas do sistema durante um cenário de recuperação de
desastres? Se algumas informações confidenciais forem necessárias durante uma tarefa de DR ou
BC, você precisará garantir que essas informações estejam seguras e acessíveis para aqueles que
precisam delas.
6.4 Analise a saída de teste e gere relatórios

As equipes que analisam os procedimentos de segurança devem estar cientes dos recursos de saída e
relatório para os dados. Qualquer informação que seja de interesse deve ser comunicada às equipes de
gerenciamento imediatamente para que estejam cientes de possíveis riscos ou alertas. O nível de detalhe
dado às equipes de gerenciamento pode variar dependendo de seus papéis e envolvimento.
O tipo de auditoria que está sendo executada também pode determinar o tipo de relatórios que devem ser
usados. Por exemplo, para uma auditoria SSAE 16, é necessário um relatório SOC (Service Organization
Control). Existem quatro tipos de relatórios SOC:
• SOC 1 Tipo 1. Este relatório descreve os resultados de uma auditoria, bem como a integridade e
precisão dos controles, sistemas e instalações documentados.
• SOC 1 Tipo 2. Este relatório inclui o relatório Tipo 1, juntamente com informações sobre a
eficácia dos procedimentos e controles em vigor para o futuro imediato.
• SOC 2. Este relatório inclui os resultados do teste de uma auditoria.
• SOC 3. Este relatório fornece resultados gerais de auditoria com um nível de certificação de datacenter.
6.5 Realizar ou facilitar auditorias de segurança

As auditorias de segurança devem ocorrer rotineiramente de acordo com a política estabelecida pela
organização. A auditoria interna geralmente ocorre com mais frequência do que a auditoria externa ou
de terceiros.
• Interna. A auditoria de segurança deve ser uma tarefa contínua da equipe de segurança. Existem
dezenas de fornecedores de software que simplificam o processo de agregar dados de log. O
desafio é saber o que procurar depois de coletar os dados.
• Externa. A auditoria de segurança externa deve ser executada em um cronograma definido.

Isso pode ser alinhado com os relatórios financeiros a cada trimestre ou algum outro motivo
impulsionado pelos negócios.
69
• Terceira. A auditoria de terceiros pode ser executada regularmente, além da auditoria externa.
O objetivo da auditoria de terceiros pode ser fornecer verificações e balanços para as auditorias
internas e externas ou executar um procedimento de auditoria mais aprofundado.
Perguntas de Revisão do Domínio 6

Leia e responda às seguintes perguntas. Se você não conseguir pelo menos um deles correto, passe mais
tempo com o assunto. Em seguida, passe para o domínio 7.
1. Sua empresa implementou recentemente uma versão de pré-lançamento de um novo

aplicativo de e-mail. A empresa deseja realizar testes no aplicativo e emitiu os seguintes
requisitos:
• Os testadores devem testar todos os aspectos do aplicativo de email.
• Os testadores não devem ter conhecimento do novo ambiente de email.
Que tipo de teste você deve usar para atender aos requisitos da empresa?
a. Teste de caixa branca
b. Teste de caixa preta
c. Teste negativo
d. Teste estático
e. Teste dinâmico
2. Você está trabalhando com sua empresa para validar as estratégias de avaliação e auditoria. O
objetivo imediato é garantir que todos os auditores estejam seguindo os processos e
procedimentos definidos pelas políticas de auditoria da empresa. Que tipo de auditoria você deve
usar para este cenário?
a. Interna
b. Externa
c. Terceira
d. Híbrida
3. Sua empresa está planejando realizar alguns testes de controle de segurança. Os seguintes
requisitos foram estabelecidos:
• A equipe deve tentar ignorar os controles nos sistemas
• A equipe pode usar métodos técnicos ou não técnicos na tentativa de
ignorar controles que tipo de teste você deve realizar para atender aos requisitos?
a. Teste de avaliação de vulnerabilidade
70
b. Teste de penetração
c. Teste de transação sintética
d. Teste de caso de uso incorreto
71
Respostas às Perguntas de Revisão do
Domínio 6
1. Resposta: B
Explicação: Nos testes de caixa preta, os testadores não têm conhecimento do sistema que estão testando.
2. Resposta: C
Explicação: O teste de terceiros é especificamente voltado para garantir que os outros auditores
(internos e externos) sigam adequadamente suas políticas e procedimentos.
3. Resposta: B
Explicação: Em um teste de penetração, as equipes tentam contornar os controles, seja
tecnicamente ou não tecnicamente.
72
Domínio 7. Operações de Segurança
Este domínio é focado nas tarefas do dia a dia de proteger seu ambiente. Se você estiver em uma função
fora das operações (como em engenharia ou arquitetura), você deve gastar tempo extra nesta seção para
garantir a familiaridade com as informações. Você observará mais seções práticas neste domínio,
especificamente focadas em como fazer as coisas, em vez das considerações de design ou planejamento
encontradas em domínios anteriores.
7.1 Compreender e apoiar investigações

Esta seção discute conceitos relacionados ao suporte a investigações de segurança. Você deve estar
familiarizado com os processos em uma investigação. Você deve conhecer todos os fundamentos da coleta e
tratamento de evidências, documentar sua investigação, relatar as informações, realizar a análise da causa
raiz e executar tarefas forenses digitais.
• Coleta e manuseio de evidências. Como uma investigação de cena de crime, uma investigação
digital envolvendo possíveis crimes de computador tem regras e processos para garantir que a
evidência seja utilizável no tribunal. Em um nível alto, você precisa garantir que o tratamento das
evidências não altera a integridade dos dados ou do ambiente. Para garantir a consistência e a
integridade dos dados, sua empresa deve ter uma política de resposta a incidentes que descreva as
etapas a serem tomadas no caso de um incidente de segurança, com detalhes importantes, como a
forma como os funcionários relatam um incidente. Além disso, a empresa deve ter uma equipe de
resposta a incidentes que esteja familiarizada com a política de resposta a incidentes e que
represente as principais áreas da organização (gerenciamento, RH, jurídico, TI etc.). A equipe não
precisa ser dedicada, mas pode ter membros que tenham um trabalho regular e sejam chamados
apenas quando necessário. Com a coleta de evidências, a documentação é fundamental. No
momento em que chega um relatório, o processo de documentação é iniciado. Como parte do
processo de documentação, você deve documentar cada vez que alguém lida com evidências e
como essa evidência foi coletada e movida; isso é conhecido como a cadeia de custódia. Entrevistar
é muitas vezes parte da coleta de evidências. Se você precisar entrevistar um funcionário interno
como suspeito, um representante de RH deve estar presente. Considere gravar todas as entrevistas,
se isso for legal.
• Reportando e documentando. Existem dois tipos de relatórios: um para TI com detalhes técnicos e
outro para gerenciamento sem detalhes técnicos. Ambos são críticos. A empresa deve estar
totalmente ciente do incidente e manter-se atualizada enquanto a investigação prossegue. Capture
tudo o que for possível, incluindo datas, horários e detalhes pertinentes.
• Técnicas de investigação. Quando um incidente ocorre, você precisa descobrir como isso
aconteceu. Uma parte desse processo é a análise de causa raiz, na qual você identifica a causa (por
exemplo, um usuário clicou em um link mal-intencionado em um email ou um servidor da Web
perdeu uma atualização de segurança e um invasor usou uma vulnerabilidade não corrigida para
comprometer o servidor). Geralmente, equipes são formadas para ajudar a determinar a causa raiz.
O tratamento de incidentes é o gerenciamento geral da investigação - pense nisso como
gerenciamento de projetos, mas em um nível menor. O NIST e outros publicaram diretrizes para o
tratamento de incidentes. Em um nível alto, inclui as seguintes etapas: detectar, analisar, conter,
erradicar e recuperar. É claro que há outras partes menores no tratamento de incidentes, como
preparação e análise pós- incidente, como uma reunião de revisão de “lições aprendidas”.
• Ferramentas, táticas e procedimentos digitais forenses. A perícia deveria preservar a cena do

crime, embora, na análise forense digital, isso signifique computadores, armazenamento e outros
dispositivos, em vez de uma sala e uma arma, por exemplo. Outros pesquisadores devem ser
capazes de realizar suas próprias análises e chegar às mesmas conclusões, porque eles têm os
mesmos dados.
Este requisito afeta muitos dos procedimentos operacionais. Em particular, em vez de executar
varreduras, pesquisas e outras ações contra a memória e o armazenamento de computadores, você
deve capturar imagens da memória e do armazenamento, para que possa examinar
cuidadosamente o conteúdo sem modificar os originais. Para análise forense de rede, você deve
trabalhar com cópias de capturas de rede adquiridas durante o incidente. Para dispositivos
embarcados, você precisa capturar imagens de memória e armazenamento e anotar a configuração.
Em todos os casos, deixe tudo como está, embora sua organização possa ter uma política para
remover tudo da rede ou desligar completamente. As novas tecnologias podem introduzir novos
desafios nessa área, porque às vezes as ferramentas existentes não funcionam (ou não funcionam
com eficiência) com novas tecnologias. Por exemplo, quando os SSDs foram introduzidos, eles
apresentaram desafios para algumas das formas antigas de trabalhar com unidades de disco.
7.2 Compreender os requisitos para diferentes tipos de investigações

Sua pesquisa varia de acordo com o tipo de incidente que está sendo investigando. Por exemplo, se você
trabalha para uma empresa financeira e existe um comprometimento financeiro, você pode ter uma
investigação regulamentar. Se um hacker pode desfazer o site da sua empresa, você pode ter uma
investigação criminal. Cada tipo de investigação tem considerações especiais:
• Administrativa. O objetivo principal de uma investigação administrativa é fornecer às

autoridades apropriadas todas as informações relevantes para que possam determinar quais
ações devem ser tomadas. Investigações administrativas são frequentemente vinculadas a
cenários de RH, como quando um gerente é acusado de impropriedades.
• Criminal. Uma investigação criminal ocorre quando um crime foi cometido e você está trabalhando
com uma agência de segurança pública para condenar o suposto agressor. Nesse caso, é comum
reunir provas para um tribunal e ter que compartilhar as evidências com a defesa. Portanto, você
precisa coletar e manipular as informações usando métodos que garantam que as evidências
possam ser usadas no tribunal. Nós cobrimos alguns pontos-chave anteriores, como a cadeia de
custódia. Lembre-se de que, em um caso criminal, um suspeito deve ser provado culpado além de
qualquer dúvida razoável. Isso é mais difícil do que mostrar uma preponderância de evidências, que
geralmente é o padrão em um caso civil.
• Civil. Em um caso civil, uma pessoa ou entidade processa outra pessoa ou entidade; por exemplo,
uma empresa pode processar outra por violação de marca registrada. Um caso civil geralmente
requer danos monetários, não encarceramento ou um registro criminal. Como acabamos de ver, o
ônus da prova é menor em um caso civil.
• Regulatoria. Uma investigação regulamentar é conduzida por um órgão regulador, como a

Comissão de Valores Mobiliários (SEC) ou a Autoridade Reguladora da Indústria Financeira (FINRA),
contra uma organização suspeita de uma infração. Em tais casos, a organização é obrigada a
cumprir a investigação, por exemplo, não escondendo ou destruindo evidências.
• Padrão da Indústria Uma investigação de padrões do setor destina-se a determinar se uma

organização está aderindo a um padrão específico do setor ou a um conjunto de padrões, como
tentativas de logon com falha de registro e auditoria. Como os padrões da indústria representam
práticas recomendadas bem compreendidas e amplamente implementadas, muitas organizações
tentam aderir a elas mesmo quando não são obrigadas a fazê- lo para reduzir riscos de segurança,
operacionais e outros.
7.3 Realizar atividades de registro e monitoramento

Esta seção cobre o registro e o monitoramento.
• Detecção de intrusão e prevenção. Existem duas tecnologias que você pode usar para
detectar e impedir intrusões. Você deveria usar ambos. Algumas soluções combinam-nas em
um único pacote de software ou appliance.
• Um sistema de detecção de intrusões (IDS) é uma tecnologia (geralmente um software

ou um appliance) que tenta identificar atividades maliciosas em seu ambiente. As
soluções geralmente dependem de padrões, assinaturas ou anomalias. Existem vários
tipos de soluções IDS. Por exemplo, existem soluções específicas para a rede (IDS de rede
ou NIDS) e outras específicas para computadores (IDS baseado em host ou HIDS).
• Um sistema de prevenção de intrusão (IPS) pode ajudar a bloquear um ataque antes que
ele entre na sua rede. No pior dos casos, pode identificar um ataque em andamento. Como
um IDS, um IPS geralmente é um software ou appliance. No entanto, um IPS normalmente é
colocado em linha na rede para que ele possa analisar o tráfego que entra ou sai da rede,
enquanto um IDS geralmente vê intrusões depois que elas ocorrem.
• Informações de segurança e gerenciamento de eventos (SIEM). As empresas têm informações

de segurança armazenadas em logs em vários computadores e appliances. Muitas vezes, as
informações capturadas nos registros são tão extensas que podem se tornar difíceis de gerenciar
e usar rapidamente. Muitas empresas implantam uma solução de gerenciamento de eventos e
informações de segurança (SIEM) para centralizar os dados de registro e simplificar o trabalho. Por
exemplo, se você precisar encontrar todas as tentativas de logon com falha em seus servidores da
Web, poderá examinar os logs em cada servidor da Web individualmente. Mas se você tiver uma
solução SIEM, você pode ir a um portal e pesquisar em todos os servidores da Web com uma única
consulta. Um SIEM é uma tecnologia crítica em organizações grandes e conscientes da segurança.
• Monitoramento contínuo. O monitoramento contínuo é o processo de transmissão de

informações relacionadas à segurança do ambiente de computação em tempo real (ou quase em
tempo real). Algumas soluções SIEM oferecem monitoramento contínuo ou pelo menos alguns
recursos de monitoramento contínuo.
• Monitoramento de saída. O monitoramento de saída é o monitoramento dos dados quando eles

saem da sua rede. Um motivo é garantir que o tráfego mal-intencionado não saia da rede (por
exemplo, em uma situação na qual um computador está infectado e tentando espalhar malware
para hosts na Internet). Outro motivo é garantir que os dados confidenciais (como informações do
cliente ou informações de RH) não saiam da rede, a menos que sejam autorizados. As estratégias
a seguir podem ajudar no monitoramento de saída:
• Soluções de Prevenção contra perda de dados (DLP) concentram-se na redução ou

eliminação de dados confidenciais que saem da rede.
• Esteganografia é a arte de esconder dados dentro de outro arquivo ou mensagem. Por

exemplo, esteganografia permite que uma mensagem de texto seja ocultada dentro de
um arquivo de imagem (como um .jpg). Como o arquivo parece inócuo, pode ser difícil
detectá-lo.
• Watermarking é o ato de incorporar um marcador de identificação em um arquivo. Por

exemplo, você pode incorporar um nome de empresa em um arquivo de banco de dados
do cliente ou adicionar uma
7.4 Recursos de provisão segura

Esta seção cobre o provisionamento de recursos. Portanto, cobrimos os tópicos de um ponto de vista de
provisionamento, em vez de um gerenciamento geral ou ponto de vista de design.
• Inventário de ativos. Você precisa ter um método para manter um inventário preciso dos recursos
da sua empresa. Por exemplo, você precisa saber quantos computadores possui e quantas
instalações de cada aplicativo de software licenciado possui. O inventário de ativos ajuda as
organizações a proteger os ativos físicos contra roubo, manter a conformidade com o licenciamento
de software e contabilizar o inventário (por exemplo, depreciando os ativos). Há outros benefícios
também. Por exemplo, se uma vulnerabilidade for identificada em uma versão específica de um
aplicativo, você poderá usar seu inventário de ativos para descobrir se tem alguma instalação da
versão vulnerável.
• Gestão de ativos. Ativos, como computadores, mesas e aplicativos de software, têm um ciclo de
vida - basta colocá-los, comprá-los, usá-los e depois aposentá-los. O gerenciamento de ativos é o
processo de gerenciar esse ciclo de vida. Você acompanha todos os seus ativos, incluindo quando
você os recebe, quanto você paga por ele, seu modelo de suporte e quando é necessário substituí-
lo. Por exemplo, o gerenciamento de ativos pode ajudar sua equipe de TI a descobrir quais
notebooks devem ser substituídos durante o próximo ciclo de atualização. Ele também pode ajudá-
lo a controlar custos encontrando sobreposição de hardware, software ou outros ativos.
• Gerenciamento de configurações. O gerenciamento de configurações ajuda você a padronizar
uma configuração nos seus dispositivos. Por exemplo, você pode usar o software de gerenciamento
de configuração para garantir que todos os computadores de mesa tenham software antivírus e os
patches mais recentes, e que a tela seja bloqueada automaticamente após 5 minutos de inatividade.
O sistema de gerenciamento de configuração deve corrigir automaticamente a maioria das
alterações que os usuários fazem em um sistema. Os benefícios do gerenciamento de configuração
incluem ter uma configuração única (por exemplo, todos os servidores têm os mesmos serviços de
linha de base em execução e o mesmo nível de correção), podendo gerenciar muitos sistemas como
uma única unidade (por exemplo, você pode implantar aplicação de malware para todos os
servidores o mesmo tempo que leva para implantá-lo em um único servidor) e ser capaz de relatar a
configuração em toda a sua rede (o que pode ajudar a identificar anomalias). Muitas soluções de
gerenciamento de configuração são independentes do sistema operacional, o que significa que elas
podem ser usadas em computadores Windows, Linux e Mac. Sem uma solução de gerenciamento de
configuração, as chances de ter uma implantação consistente e padronizada diminuem e você perde
a eficiência de configurar muitos computadores como uma única unidade.
7.5 Entenda e aplique conceitos de operações de segurança

fundamentais
Esta seção cobre alguns dos itens fundamentais para operações de segurança. Muitos desses conceitos se
aplicam a várias outras seções do exame. Você deve ter uma compreensão muito firme desses tópicos para
poder navegar neles de forma eficaz em todas as outras seções.
• Necessidade de conhecer e menos privilégio. O acesso deve ser dado com base na necessidade
de saber. Por exemplo, um administrador de sistema que é solicitado a desabilitar uma conta de
usuário não precisa saber que o usuário foi encerrado, e um arquiteto de sistemas que é solicitado a
avaliar uma lista de inventário de TI não precisa saber que sua empresa está considerando adquirir
outra empresa. O princípio do menor privilégio significa dar aos usuários o menor número de
privilégios que eles precisam para executar suas tarefas; os direitos são concedidos somente após
um privilégio específico ser considerado necessário. É uma boa prática e quase sempre uma prática
recomendada. Dois outros conceitos são importantes aqui:
• Agregação. A combinação de várias coisas em uma única unidade é frequentemente

usada no controle de acesso baseado em função.
• Confiança transitiva. De uma perspectiva do Microsoft Active Directory, um domínio raiz ou
pai automaticamente confia em todos os domínios filho. Por causa da transitividade, todos
os domínios filhos também confiam uns nos outros. Transitividade torna mais simples ter
relações de confiança. Mas é importante ter cuidado. Considere fora do Active Directory: se
Chris confia em Terry e Pat confia em Terry, Chris deveria confiar em Pat? Provavelmente
não. Em ambientes de alta segurança, não é incomum ver as relações de confiança não
transitivas usadas, dependendo da configuração e dos requisitos.
• Separação de deveres e responsabilidades. A separação de tarefas refere-se ao processo de

separação de determinadas tarefas e operações, para que uma única pessoa não controle todas
elas. Por exemplo, você pode determinar que uma pessoa é o administrador de segurança e outra
é o administrador de e-mail. Cada um tem acesso administrativo apenas a sua área. Você pode ter
um administrador responsável pela autenticação e outro responsável pela autorização. O objetivo
da separação de tarefas é tornar mais difícil causar danos à organização (por meio de ações
destrutivas ou perda de dados, por exemplo). Com a separação de tarefas, muitas vezes é
necessário ter duas ou mais pessoas trabalhando juntas (conspirando) para causar danos à
organização. A separação de funções nem sempre é prática, no entanto. Por exemplo, em uma
pequena empresa, você pode ter apenas uma pessoa fazendo todo o trabalho de TI ou uma pessoa
fazendo todo o trabalho de contabilidade. Nesses casos, você pode confiar nos controles de
compensação ou auditoria externa para minimizar os riscos.
• Gerenciamento de conta privilegiada. Um privilégio especial é um direito não comumente dado

às pessoas. Por exemplo, algumas equipes de TI podem alterar as senhas de outros usuários ou
restaurar um backup do sistema, e apenas determinadas equipes de contabilidade podem assinar
cheques da empresa. As ações tomadas com privilégios especiais devem ser monitoradas de
perto. Por exemplo, cada redefinição de senha de usuário deve ser registrada em um log de
segurança, juntamente com informações pertinentes sobre a tarefa: data e hora, computador de
origem, a conta que teve sua senha alterada, a conta de usuário que executou a alteração eo
status da mudança (sucesso ou fracasso). Para ambientes de alta segurança, você deve considerar
uma solução de monitoramento que ofereça capturas de tela ou gravação de tela, além do
registro de texto.
• Rotação de trabalho. Rotação de trabalho é o ato de mover pessoas entre tarefas ou tarefas. Por
exemplo, um contador pode passar da folha de pagamento para contas a pagar e depois para
contas a receber. O objetivo da rotação de tarefas é reduzir a duração de uma pessoa em um
determinado trabalho (ou lidar com um determinado conjunto de responsabilidades) por muito
tempo, o que minimiza as chances de erros ou ações mal-intencionadas não serem detectadas.
Rotação de trabalho também pode ser usada para treinar os membros das equipes para minimizar o
impacto de uma ausência inesperada.
• Ciclo de vida da informação. O ciclo de vida da informação é composto pelas seguintes fases:
• Coleta dados. Os dados são coletados de fontes, como arquivos de log e emails de entrada,
e quando os usuários produzem dados, como uma nova planilha.
• Uso de dados. Os usuários leem, editam e compartilham dados.
• Retenção de dados (opcional). Os dados são arquivados pelo tempo exigido pelas
políticas de retenção de dados da empresa. Por exemplo, algumas empresas retêm todos
os dados de email por sete anos, arquivando os dados no armazenamento de longo prazo
até que o período de retenção tenha decorrido.
• Posse legal (ocasional). Uma retenção legal exige que você mantenha uma ou mais cópias
de dados especificados de forma inalterável durante um cenário legal (como uma ação
judicial) ou uma auditoria ou investigação governamental. Um aperto legal é geralmente
estreito; Por exemplo, você pode ter que manter o controle legal de todos os e-mails do
departamento de contas a pagar. Na maioria dos casos, uma retenção legal é invisível para
usuários e administradores que não estão envolvidos na retenção.
• Excluir dados. A ação de exclusão padrão na maioria dos sistemas operacionais não é
segura: os dados são marcados como excluídos, mas ainda residem nos discos e podem
ser facilmente recuperados com software pronto para uso. Para ter um ciclo de vida de
informações efetivo, você deve usar técnicas seguras de exclusão, como limpeza de disco
(por exemplo, sobrescrevendo os dados várias vezes), desmagnetização e destruição física
(fragmentando um disco).
• Contratos de nível de serviço (SLAs). AUm SLA é um acordo entre um provedor (que poderia ser
um departamento interno) e o negócio que define quando um serviço fornecido pelo departamento
é aceitável. Por exemplo, a equipe de e-mail pode ter um SLA que determine que fornecerá 99,9% de
tempo de atividade por mês ou que o e-mail de spam representará 5% ou menos do e-mail nas
caixas de correio dos usuários. Os SLAs podem ajudar as equipes a projetar soluções adequadas.
Por exemplo, se um SLA exigir 99,9% de tempo de atividade, uma equipe pode se concentrar na alta
disponibilidade e na resiliência do site. Às vezes, especialmente com provedores de serviços, não
aderir aos SLAs pode resultar em penalidades financeiras. Por exemplo, um provedor de serviços de
Internet (ISP) pode ter que reduzir suas tarifas mensais de conexão se não cumprir seu SLA.
7.6 Aplicar técnicas de proteção de recursos

Esta seção aborda o gerenciamento de mídia, hardware e software. Examinaremos algumas dicas
importantes para gerenciar mídia e usar o gerenciamento de ativos para software e hardware.
• Gerenciamento de mídia. O gerenciamento de mídia é o ato de manter a mídia para seu software e
dados. Isso inclui imagens do sistema operacional, arquivos de instalação e mídia de backup.
Qualquer mídia que você usa na sua organização está potencialmente sob esse guarda-chuva.
Existem alguns conceitos importantes de gerenciamento de mídia para saber:
• Arquivos Fonte. Se você confiar em software para funções críticas, precisará reinstalar
esse software a qualquer momento. Apesar do advento do software para download,
muitas organizações confiam no software legado que adquiriram no disco anos atrás e
que não está mais disponível para compra. Para proteger sua organização, você precisa
manter cópias da mídia junto com cópias de qualquer chave de licença.
• Imagens do sistema operacional. Você precisa de um método para gerenciar as imagens

do sistema operacional para poder manter imagens limpas, atualizar as imagens
regularmente (por exemplo, com atualizações de segurança) e usar as imagens para
implantações. Não apenas você deve manter várias cópias em vários sites, mas também
deve testar as imagens de tempos em tempos. Embora você possa sempre recriar uma
imagem a partir da documentação passo-a-passo, o tempo perdido pode custar dinheiro à
sua empresa durante uma interrupção ou outro problema importante.
• Mídia de backup. A mídia de backup é considerada uma mídia sensível. Embora muitas
organizações criptografem backups na mídia, você ainda precisa tratar a mídia de backup de
uma maneira especial para reduzir o risco de ser roubada e comprometida. Muitas
empresas bloqueiam a mídia de backup em contêineres seguros e armazenam os
contêineres em um local seguro. Também é comum usar empresas terceirizadas para
armazenar mídia de backup com segurança em instalações externas.
• Gerenciamento de ativos de hardware e software. À primeira vista, o gerenciamento de ativos

pode não parecer relacionado a operações de segurança, mas na verdade é. Por exemplo, se um
fornecedor anunciar uma vulnerabilidade crítica em uma versão específica de um produto que
permite a execução remota de código, você precisará agir rapidamente para corrigir seus
dispositivos - o que significa que você precisa descobrir rapidamente se possui dispositivos que são
vulneráveis. Você não pode fazer isso sem um gerenciamento de ativos eficaz (e, em alguns casos,
gerenciamento de configuração). Aqui estão algumas tarefas importantes para uma solução de
gerenciamento de ativos:
• Capture o máximo de dados que você puder. Você precisa saber onde um determinado
produto está instalado. Mas você também precisa saber quando foi instalado (por exemplo,
se uma versão vulnerável foi instalada depois que a empresa anunciou a vulnerabilidade), o
número exato da versão (porque, sem isso, talvez você não consiga determinar com
eficácia se é suscetível) e outros detalhes.
• Tenha um sistema de relatórios robusto. Você precisa ser capaz de usar todos os dados
de gerenciamento de ativos coletados, portanto, é necessário um sistema de relatórios
robusto que possa ser consultado sob demanda. Por exemplo, você deve conseguir obter
rapidamente um relatório listando todos os computadores que executam uma versão
específica de um produto de software específico. E você deve poder filtrar esses dados
apenas para dispositivos corporativos ou laptops.
• Integrar o gerenciamento de ativos com outro software de automação. Se a sua solução

de gerenciamento de ativos descobrir 750 computadores executando uma versão vulnerável
de um software, você precisará de uma maneira automatizada de atualizar o software para a
versão mais recente. Você pode fazer isso integrando seu sistema de gerenciamento de
ativos ao seu sistema de gerenciamento de configurações. Alguns fornecedores oferecem
uma solução completa que realiza gerenciamento de ativos e gerenciamento de
configuração.
7.7 Realizar gerenciamento de incidentes
O gerenciamento de incidentes é o gerenciamento de incidentes potencialmente prejudiciais a uma

organização, como um ataque distribuído de negação de serviço. Nem todos os incidentes estão
relacionados ao computador; Por exemplo, uma invasão no escritório do seu CEO também é um incidente.
• Detecção. É essencial poder detectar incidentes rapidamente, porque eles costumam se tornar
mais prejudiciais com o passar do tempo. É importante ter uma solução robusta de monitoramento
e detecção de intrusões. Outras partes de um sistema de detecção incluem câmeras de segurança,
detectores de movimento, alarmes de fumaça e outros sensores. Se houver um incidente de
segurança, você deverá ser alertado (por exemplo, se um alarme for acionado na sede da empresa
durante um feriado de final de semana).
• Resposta. Quando você recebe uma notificação sobre um incidente, você deve começar verificando
o incidente. Por exemplo, se um alarme foi acionado em uma instalação da empresa, um guarda de
segurança pode verificar fisicamente os arredores em busca de uma invasão e verificar se há
anomalias nas câmeras de segurança. Para incidentes relacionados a computadores, é aconselhável
manter sistemas comprometidos ligados para coletar dados forenses. Juntamente com o processo
de verificação, durante a fase de resposta, você deve também iniciar a comunicação inicial com
equipes ou pessoas que possam ajudar na mitigação. Por exemplo, você deve entrar em contato
com a equipe de segurança da informação inicialmente durante um ataque de negação de serviço.
• Mitigação. O próximo passo é conter o incidente. Por exemplo, se um computador tiver sido
comprometido e estiver tentando comprometer outros computadores, o computador
comprometido deverá ser removido da rede para atenuar os danos.
• Relatórios. Em seguida, você deve divulgar dados sobre o incidente. Você deve informar
rotineiramente as equipes técnicas e as equipes de gerenciamento sobre as últimas
descobertas relacionadas ao incidente.
• Recuperação. Na fase de recuperação, você recupera a empresa para operações regulares. Por
exemplo, para um computador comprometido, você pode recriá-lo ou restaurá-lo a partir de um
backup. Para uma janela quebrada, você a substitui.
• Remediação. Nesta fase, você toma medidas adicionais para minimizar as chances do mesmo
ataque ou de um ataque semelhante ser bem-sucedido. Por exemplo, se você suspeitar que um
invasor lançou ataques da rede sem fio da empresa, deverá atualizar a senha sem fio ou o
mecanismo de autenticação. Se um invasor tiver acesso a dados confidenciais de texto sem
formatação durante um incidente, você deverá criptografar os dados no futuro.
• Lições aprendidas. Durante essa fase, todos os membros da equipe que trabalharam no incidente
de segurança se reúnem para analisar o incidente. Você quer descobrir quais partes do
gerenciamento de incidentes foram efetivas e quais não foram. Por exemplo, você pode descobrir
que seu software de segurança detectou um ataque imediatamente (efetivo), mas não conseguiu
conter o incidente sem desligar todos os computadores da empresa (menos eficiente). O objetivo é
revisar os detalhes para garantir que a equipe esteja melhor preparada para o próximo incidente.
7.8 Operar e manter medidas de detetive e preventivas

Esta seção trata do trabalho prático de operar e manter sistemas de segurança para bloquear ataques ao
ambiente de sua empresa ou minimizar seu impacto.
• Firewalls. Embora o uso de firewalls geralmente envolva adicionar e editar regras e revisar
registros, há outras tarefas importantes também. Por exemplo, revise o log de alterações da
configuração do firewall para ver quais configurações foram alteradas recentemente.
• Sistemas de detecção e prevenção de intrusão. Você precisa avaliar rotineiramente a eficácia de

seus sistemas IDS e IPS. Você também precisa revisar e ajustar a funcionalidade de alerta. Se muitos
alertas forem enviados (especialmente falsos positivos ou falsos negativos), os administradores
geralmente ignoram ou demoram a responder a alertas, fazendo com que a resposta a um alerta de
incidente real seja atrasada.
• Lista de permissões e lista negra. A lista de permissões é o processo de marcação de
aplicativos conforme permitido, enquanto a lista negra é o processo de marcação de
aplicativos como não permitidos. A lista de permissões e a lista negra podem ser
automatizadas. É comum colocar na lista de permissões todos os aplicativos incluídos em uma
imagem de computador corporativa e proibir todos os outros.
• Serviços de segurança fornecidos por terceiros. Alguns fornecedores oferecem serviços de

segurança que consomem os logs relacionados à segurança de todo o seu ambiente e lidam com
detecção e resposta usando inteligência artificial ou um grande centro de operações de rede.
Outros serviços realizam avaliações, auditorias ou perícias. Por fim, existem serviços de segurança
de terceiros que oferecem revisão, correção ou geração de relatórios de código.
• Sandboxing. Sandboxing é o ato de segmentar totalmente um ambiente ou um computador de

suas redes de produção e computadores; por exemplo, uma empresa pode ter um ambiente de não
produção em uma rede fisicamente separada e conexão com a Internet. As caixas de proteção
ajudam a minimizar os danos em uma rede de produção. Como computadores e dispositivos em
uma sandbox não são gerenciados da mesma maneira que os computadores de produção, eles
geralmente são mais vulneráveis a ataques e malwares. Ao segmentá- los, você reduz o risco de
esses computadores infectarem seus computadores de produção. Sandboxes também são usados
para honeypots e honeynets, como explicado no próximo item.
• Honeypots e honeynets. Um honeypot ou honeynet é um computador ou uma rede

propositalmente implantada para atrair possíveis atacantes e registrar suas ações. O objetivo é
entender seus métodos e usar esse conhecimento para projetar computadores e redes mais
seguros. Existem usos importantes e aceitos; Por exemplo, uma empresa de software antivírus pode
usar honeypots para validar e fortalecer seus softwares antivírus e antimalware.
No entanto, honeypots e honeynets foram chamados antiético por causa de suas semelhanças com
o aprisionamento. Embora muitas organizações preocupadas com a segurança estejam longe de
administrar suas próprias honeypots e honeynets, elas ainda podem aproveitar as informações
obtidas de outras empresas que as utilizam.
• Anti-malware. Anti-malware é um termo amplo que geralmente inclui antivírus, antispam e

antimalware (com malware sendo qualquer outro código, aplicativo ou serviço criado para causar
danos). Você deve implantar o antimalware em todos os dispositivos possíveis, incluindo
servidores, computadores clientes, tablets e smartphones, e estar atento às atualizações de
produtos e definições.
7.9 Implementar e suportar gerenciamento de correção e

vulnerabilidade
Embora o gerenciamento de patches e o gerenciamento de vulnerabilidades pareçam sinônimos, existem algumas
diferenças importantes:
• Patch management. As atualizações que os fornecedores de software fornecem para corrigir

problemas de segurança ou outros erros são chamadas de patches. O gerenciamento de
patches é o processo de gerenciar todos os patches em seu ambiente, de todos os fornecedores.
Um bom sistema de gerenciamento de patches testa e implementa novos patches
imediatamente após o lançamento para minimizar a exposição. Muitas organizações de
segurança divulgaram estudos alegando que a parte mais importante da segurança de um
ambiente é ter um processo robusto de gerenciamento de patches que se move rapidamente.
Um sistema de gerenciamento de patches deve incluir os seguintes processos:
• Detecção e download automáticos de novos patches. A detecção e o download devem

ocorrer pelo menos uma vez por dia. Você deve monitorar a detecção de patches para
que você seja notificado se a detecção ou o download não estiver funcionando.
• Distribuição automática de patches. Inicialmente, implemente patches em alguns

computadores em um ambiente de laboratório e execute-os por meio de testes do sistema.
Em seguida, expanda a distribuição para um número maior de computadores que não são
de produção. Se tudo estiver funcional e nenhum problema for encontrado, distribua os
patches para o restante do ambiente de não produção e, em seguida, mova para produção.
É uma boa prática corrigir seus sistemas de produção dentro de 7 dias após a liberação do
patch. Em cenários críticos em que há um código de exploração conhecido para uma
vulnerabilidade de execução remota de código, você deve implantar patches em seus
sistemas de produção no dia do lançamento do patch para maximizar a segurança.
• Relatórios sobre conformidade de patch. Mesmo que você tenha um método de

distribuição automática de patches, é necessário avaliar sua conformidade geral. 100%
dos seus computadores possuem o patch? Ou 90%? Quais computadores específicos
estão faltando um patch específico? Os relatórios podem ser usados pela equipe de
gerenciamento para avaliar a eficácia de um sistema de gerenciamento de patches.
• Recursos de retrocesso automático. Às vezes, os fornecedores lançam patches que criam

problemas ou têm incompatibilidades. Esses problemas podem não ser evidentes
imediatamente, mas aparecem dias depois. Certifique-se de ter uma maneira automatizada
de reverter ou remover o patch em todos os computadores. Você não quer descobrir isso
alguns minutos antes de precisar fazer isso.
• Gerenciamento de vulnerabilidades. Uma vulnerabilidade é uma maneira em que seu ambiente

corre o risco de ser comprometido ou degradado. A vulnerabilidade pode ser devido a um patch
ausente. Mas também pode ser devido a um erro de configuração ou outros fatores.
Por exemplo, quando os certificados SHA-1 foram encontrados recentemente como vulneráveis a
ataques, muitas empresas de repente se viram vulneráveis e precisavam agir (substituindo os
certificados). Muitas soluções de gerenciamento de vulnerabilidades podem varrer o ambiente em
busca de vulnerabilidades. Essas soluções complementam, mas não substituem, sistemas de
gerenciamento de patches e outros sistemas de segurança (como sistemas antivírus ou
antimalware). Esteja ciente das seguintes definições:
• Vulnerabilidade de dia zero. Às vezes, uma vulnerabilidade é conhecida antes de um patch

estar disponível. Tais vulnerabilidades de dia zero podem, às vezes, ser mitigadas com uma
configuração atualizada ou outra solução temporária até que um patch esteja disponível.
Outras vezes, nenhuma atenuação está disponível e você precisa estar especialmente atento
ao registro e monitoramento até que o patch esteja disponível.
• Exploração de dia zero. Os invasores podem liberar o código para explorar uma
vulnerabilidade para a qual nenhum patch está disponível. Essas explorações de dia zero
representam um dos maiores desafios para as organizações que tentam proteger seus
ambientes.
7.10 Entenda e participe de processos de gerenciamento de mudanças

O gerenciamento de mudanças representa uma maneira estruturada de lidar com mudanças em um
ambiente. As metas incluem fornecer um processo para minimizar riscos, melhorar a experiência do usuário
e fornecer consistência com as alterações. Embora muitas empresas tenham seus próprios processos de
gerenciamento de mudanças, existem etapas comuns na maioria das organizações:
• Identifique a necessidade de uma mudança. Por exemplo, você pode descobrir que seus
roteadores são vulneráveis a um ataque de negação de serviço e você precisa atualizar a
configuração para corrigir isso.
• Teste a mudança em um laboratório. Teste a alteração em um ambiente de não produção para

garantir que a alteração proposta faça o que você acha que será. Use também o teste para
documentar o processo de implementação e outros detalhes importantes.
• Coloque em um pedido de mudança. Uma solicitação de mudança é uma solicitação formal para
implementar uma mudança. Você especifica a data proposta da alteração (geralmente dentro de
uma janela de alteração predefinida), os detalhes do trabalho, os sistemas afetados, os detalhes da
notificação, as informações de teste, os planos de reversão e outras informações pertinentes. O
objetivo é ter informações suficientes na solicitação para que outras pessoas possam determinar
se haverá algum impacto em outras alterações ou conflitos com outras alterações e se sentirão à
vontade para seguir em frente. Muitas empresas exigem uma justificativa de mudança para todas
as mudanças.
• Obtenha aprovação. Frequentemente, um comitê de controle de mudanças (um comitê que

administra o gerenciamento de mudanças) se reunirá semanal ou mensalmente para revisar as
solicitações de mudança. A diretoria e as pessoas que enviaram as mudanças se encontram para
discutir os pedidos de mudança, fazer perguntas e votar na aprovação. Se a aprovação for
concedida, você passa para a próxima etapa. Caso contrário, você reinicia o processo.
• Envie notificações. Um painel de controle de alterações pode enviar comunicações sobre

mudanças futuras. Em alguns casos, a equipe de implementação lida com as comunicações. O
objetivo é comunicar às partes impactadas, ao gerenciamento e à TI as próximas mudanças. Se eles
virem algo incomum depois de uma alteração, as notificações ajudarão a começar a investigar,
observando as alterações mais recentes.
• Realize a mudança. Embora a maioria das empresas tenha definido janelas de alteração, muitas
vezes no fim de semana, às vezes, uma alteração não pode esperar por essa janela (como uma
alteração de emergência).
Durante o processo de alteração, capture a configuração existente, capture as alterações e etapas e

documente todas as informações pertinentes. Se uma alteração não for bem sucedida, execute as
etapas do plano de reversão.
• Envie notificações "de confirmação". Essas notificações indicam sucesso ou falha.
7.11 Implementar estratégias de recuperação
Uma operação de recuperação ocorre após uma interrupção, incidente de segurança ou outro desastre que
reduz o ambiente ou o compromete de uma maneira que requer restauração. As estratégias de recuperação
são importantes porque têm um grande impacto em quanto tempo sua organização ficará inoperante ou se
terá um ambiente degradado, o que tem impacto nos resultados finais da empresa. Note que esta seção se
concentra em estratégias ao invés de táticas, então pense a partir de uma perspectiva de design, não de uma
perspectiva operacional do dia-dia.
• Estratégias de armazenamento de backup. Embora a maioria das organizações faça o backup

de seus dados de alguma forma, muitas não têm uma estratégia ou política oficial sobre onde os
dados de backup são armazenados ou por quanto tempo os dados são retidos. Na maioria dos
casos, os dados de backup devem ser armazenados fora do local. O armazenamento de backup
externo fornece os seguintes benefícios:
• Se o seu data center for destruído (terremoto, inundação, incêndio), seus dados de backup
não serão destruídos com ele. Em alguns casos, os provedores terceirizados de serviços de
armazenamento externo também fornecem instalações de recuperação para permitir que
as organizações recuperem seus sistemas para o ambiente do provedor.
• Provedores de armazenamento externos fornecem instalações de armazenamento

ambientalmente sensíveis com características ambientais de alta qualidade em torno de
umidade, temperatura e luz. Essas instalações são ideais para armazenamento de backup de
longo prazo.
• Provedores de armazenamento externos fornecem serviços adicionais que sua

empresa teria que gerenciar de outra forma, como rotação de fitas (entrega de novas
fitas e captação de fitas antigas), compartimentação eletrônica (armazenamento de
dados de backup eletronicamente) e organização (catalogação de todas as mídias,
datas e tempos).
• Estratégias do site de recuperação. Quando as empresas têm vários datacenters, elas geralmente
podem usar um deles como um data center primário e um outro como um site de recuperação (seja
um site de espera a frio ou um site de espera quente). Uma organização com três ou mais data
centers pode ter um data center primário, um data center secundário (site de recuperação) e data
centers regionais. Com a rápida expansão dos recursos de nuvem pública, ter um provedor de
nuvem pública como seu local de recuperação é viável e razoável. Uma coisa fundamental para
pensar é o custo. Embora o armazenamento em nuvem seja barato e, portanto, sua empresa
provavelmente pode armazenar seus dados de backup, tentar recuperar todo o seu data center da
nuvem pública pode não ser acessível ou rápido o suficiente.
• Múltiplos sites de processamento. Historicamente, os aplicativos e serviços estavam altamente
disponíveis em um site, como um data center, mas a resiliência do site era incrivelmente cara e
complexa. Hoje, é comum que as empresas tenham vários data centers, e a conectividade entre os
data centers é muito mais rápida e menos dispendiosa. Devido a esses avanços, muitos aplicativos
fornecem resiliência de site com a capacidade de ter várias instâncias de um aplicativo espalhadas
por três ou mais datacenters. Em alguns casos, os fornecedores de aplicativos estão recomendando
projetos sem backup, nos quais um aplicativo e seus dados são armazenados em três ou mais
locais, com o aplicativo lidando com a sincronização de vários sites. A nuvem pública pode ser o
terceiro site, o que é benéfico para empresas que não possuem um terceiro site ou que já possuem
aplicativos e serviços na nuvem pública.
• Resiliência do sistema, alta disponibilidade, qualidade de serviço (QoS) e tolerância a

falhas. Para se preparar para o exame, é importante conhecer as diferenças entre esses
termos relacionados:
• Resiliência do sistema. Resiliência é a capacidade de recuperar rapidamente. Por

exemplo, a resiliência do site significa que, se o Site 1 ficar inativo, o Site 2 ficará on-line
rapidamente e sem problemas. Da mesma forma, com a resiliência do sistema, se uma
unidade de disco falhar, outra unidade de disco (sobressalente) será adicionada rápida e
facilmente ao pool de armazenamento. A resiliência geralmente vem de vários
componentes funcionais (por exemplo, componentes de hardware).
• Alta disponibilidade. Embora a resiliência esteja relacionada à recuperação com uma

pequena quantidade de tempo de inatividade ou degradação, a alta disponibilidade significa
ter vários sistemas redundantes que permitem tempo de inatividade zero ou degradação
para uma única falha. Por exemplo, se você tiver um cluster de banco de dados altamente
disponível, um dos nós poderá falhar e o cluster de banco de dados permanecerá disponível
sem uma interrupção ou impacto. Embora os clusters geralmente sejam a resposta para alta
disponibilidade, há muitos outros métodos disponíveis também. Por exemplo, você pode
fornecer um aplicativo da Web altamente disponível usando vários servidores da Web sem
um cluster. Muitas organizações desejam alta disponibilidade e resiliência.
• Qualidade de serviço (QoS). A QoS é uma técnica que ajuda a permitir que serviços
especificados recebam uma qualidade de serviço maior do que outros serviços
especificados. Por exemplo, em uma rede, a QoS pode fornecer a mais alta qualidade de
serviço para os telefones e a menor qualidade de serviço para mídias sociais. A QoS tem
sido notícia devido à discussão sobre neutralidade da rede nos Estados Unidos. A nova lei
de neutralidade da rede concede aos ISPs o direito de fornecer serviços de melhor
qualidade a um conjunto específico de clientes ou a um serviço específico na Internet. Por
exemplo, um provedor de serviços de Internet pode optar por usar a QoS para fazer com
que suas próprias propriedades da Web tenham um excelente desempenho, garantindo
que o desempenho dos sites de seus concorrentes seja inferior.
• Tolerância ao erro. Como parte do fornecimento de uma solução altamente disponível,

você precisa garantir que seus dispositivos de computação tenham vários componentes -
placas de rede, processadores, unidades de disco etc. - do mesmo tipo e tipo para
fornecer tolerância a falhas. A tolerância a falhas, por si só, não é valiosa. Por exemplo,
imagine um servidor com CPUs tolerantes a falhas. A fonte de alimentação do servidor
falha. Agora o servidor está pronto, mesmo que você tenha tolerância a falhas. Como
você pode ver, você deve levar em conta a tolerância a falhas em todo o seu sistema e
em toda a sua rede.
7.12 Implementar processos de recuperação de recuperação de

desastres (DR)
Tentar recuperar-se de um desastre sem um processo de recuperação de desastres documentado é difícil,
se não impossível. Assim, você deve estabelecer processos claros de recuperação de desastres para
minimizar o esforço e o tempo necessários para se recuperar de um desastre. Testar os planos também é
importante e é discutido separadamente na próxima seção (7.13).
• Resposta. Quando você aprende sobre um incidente, a primeira etapa é determinar se ele
requer um procedimento de recuperação de desastre. A pontualidade é importante porque,
se uma recuperação for necessária, você precisará iniciar os procedimentos de recuperação
o quanto antes.
• Pessoal. Em muitas organizações, há uma equipe dedicada ao planejamento, teste e
implementação de recuperação de desastres. Eles mantêm os processos e documentação. Em um
cenário de recuperação de desastre, a equipe de recuperação de desastre deve ser contatada
primeiro para que possa começar a se comunicar com as equipes necessárias. Em um desastre
real, a comunicação com todos será difícil e, em alguns casos, impossível. Às vezes, as empresas
usam serviços de comunicação ou software para
facilitar comunicações de emergência em toda a empresa ou comunicações em massa com o

pessoal envolvido na operação de recuperação de desastres.
• Comunicações. Existem duas formas principais de comunicação que ocorrem durante uma
operação de recuperação de desastre, bem como uma terceira forma de comunicação que
às vezes é necessária:
• Comunicações com o pessoal de recuperação. Em muitos cenários de desastres, o email

está inativo, os telefones estão inativos e os serviços de mensagens instantâneas estão
inativos. Se o desastre não tiver sido desativado, você poderá confiar nas comunicações com
smartphones (mensagens SMS, telefonemas).
• Comunicações com a equipe de gerenciamento e os negócios. À medida que a operação

de recuperação começa, a equipe de recuperação de desastre deve manter contato regular
com a empresa e a equipe de gerenciamento. A equipe de negócios e de gerenciamento
precisa entender a gravidade do desastre e o tempo aproximado de recuperação. Conforme
as coisas progridem, elas devem ser atualizadas regularmente.
• Comunicações com o público. Em alguns casos, uma empresa que enfrenta um desastre
de grande escala deve se comunicar com o público, por exemplo, um provedor de serviços,
uma empresa de capital aberto ou um provedor de serviços para os consumidores. No
mínimo, a comunicação deve indicar a gravidade do incidente, quando o serviço deve ser
retomado e quaisquer ações que os consumidores precisam realizar.
• Avaliação. Durante a fase de resposta, as equipes verificaram que os procedimentos de

recuperação tinham que ser iniciados. Na fase de avaliação, as equipes se aprofundam para
observar as tecnologias e serviços específicos para descobrir detalhes do desastre. Por exemplo, se
durante a fase de resposta, a equipe descobrir que o email está completamente inativo, ele poderá
verificar se outras tecnologias foram afetadas com o email.
• Restauração. Durante a fase de restauração, a equipe realiza as operações de recuperação para

trazer todos os serviços de volta ao seu estado normal. Em muitas situações, isso significa failover
para um data center secundário. Em outros, isso pode significar a recuperação de backups. Depois
de um failover bem-sucedido em um data center secundário, é comum começar a planejar o
failback para o data center primário quando estiver pronto. Por exemplo, se o data center primário
for inundado, você se recuperará no segundo data center, recuperará a partir do flood e, em
seguida, retornará ao data center primário.
• Treinamento e conscientização. Para maximizar a eficácia de seus procedimentos de recuperação

de desastres, você precisa ter uma campanha de treinamento e conscientização. Às vezes, as
equipes técnicas obterão conhecimento sobre recuperação de desastres enquanto participam de
aulas de treinamento ou conferências para sua tecnologia. Mas eles também precisam de
treinamento sobre os procedimentos e políticas de recuperação de desastre de sua organização. A
realização de testes de rotina dos seus planos de recuperação de desastres pode fazer parte desse
treinamento. Esse tópico é abordado a seguir, na seção 7.13.
7.13 Testar planos de recuperação de desastre (DRP)

Testar seus planos de recuperação de desastres é uma maneira eficaz de garantir que sua empresa esteja
pronta para um desastre real. Também ajuda a minimizar o tempo necessário para se recuperar de um
desastre real, que pode beneficiar financeiramente uma empresa. Existem várias maneiras de testar seu
plano:
• Read-through/tabletop. As equipes de recuperação de desastre (por exemplo, servidor, rede,

segurança, banco de dados, email, etc.) são reunidas e o plano de recuperação de desastre é lido.
Cada equipe valida que suas tecnologias estão presentes e o momento é apropriado para garantir
que tudo possa ser recuperado. Caso contrário, as alterações são feitas.
Uma leitura com frequência pode ajudar a identificar problemas de pedidos (por exemplo,
tentando recuperar emails antes de recuperar o DNS) ou outros problemas de alto nível. Em um
exercício de leitura, as equipes não realizam nenhuma operação de recuperação.
• Passo a passo. Um passo a passo é uma leitura mais detalhada - as mesmas equipes examinam os
detalhes das operações de recuperação para procurar erros, omissões ou outros problemas.
• Simulação. Uma simulação é um desastre simulado no qual as equipes devem passar por suas
operações de recuperação documentadas. As simulações são muito úteis para validar os planos
de recuperação detalhados e ajudar as equipes a obter experiência na execução de operações de
recuperação.
• Paralela. Em um esforço de recuperação paralelo, as equipes executam operações de recuperação

em uma rede separada, às vezes em uma instalação separada. Algumas organizações usam
provedores de terceiros que fornecem centros de dados de recuperação para executar testes de
recuperação paralelos. Às vezes, as empresas usam um método de recuperação paralela para
minimizar a interrupção em suas redes internas e minimizar a necessidade de manter a
infraestrutura de TI necessária para dar suporte aos esforços de recuperação.
• Interrupção total. Em uma recuperação completa de interrupção, as organizações suspendem as

operações regulares em uma rede separada, às vezes em uma instalação separada. Muitas vezes,
uma operação de interrupção completa envolve o failover do data center primário para o data
center secundário. Esse tipo de teste de recuperação é o mais caro, leva mais tempo e expõe a
empresa ao maior risco de algo dar errado. Embora esses inconvenientes sejam sérios, os testes de
interrupção completa são uma boa prática para a maioria das organizações.
7.14 Participe do planejamento e exercícios de continuidade de

negócios (BC)
A continuidade dos negócios inclui a recuperação de desastres, mas abrange outras coisas também. A
recuperação de desastres é uma série muito específica de processos para recuperação de um desastre. A
continuidade de negócios concentra-se em garantir que as experiências de negócios sejam mínimas ou que
não ocorram interrupções (com a esperança de que um processo de recuperação de desastre não seja
necessário). Pense na continuidade dos negócios como estratégia e recuperação de desastres como uma
tática. Os marcadores abaixo detalham as etapas necessárias para planejar a continuidade dos negócios.
Observe que essas etapas também podem ser usadas para criar um plano de recuperação de desastre.
• Planeje um cenário inesperado. Forme uma equipe, realize uma análise de impacto de
negócios para suas tecnologias, identifique um orçamento e descubra quais processos de
negócios são essenciais para a missão.
• Revise suas tecnologias. Defina o objetivo de tempo de recuperação e o objetivo do ponto de

recuperação, desenvolva um plano de tecnologia, revise os contratos de suporte do fornecedor e
crie ou analise os planos de recuperação de desastre.
• Construa um plano de comunicação. Finalize quem precisa ser contatado, descubra métodos
de contato primários e alternativos e garanta que todos possam trabalhar, possivelmente a
partir de um local de backup.
• Coordenar com entidades externas. Trabalhar com entidades externas relevantes, como o
departamento de polícia, agências governamentais, empresas parceiras e a comunidade.
7.15 Implementar e gerenciar segurança física
A segurança física representa proteger seus ativos físicos, como terrenos, edifícios, computadores e outras
propriedades da empresa.
• Controles de segurança de perímetro. O perímetro é a instalação externa que circunda seus

prédios ou outras áreas, como o espaço fora de um data center. Duas considerações importantes
são o controle de acesso e monitoramento:
• Controle de acesso. Para maximizar a segurança, suas instalações devem restringir quem
pode entrar. Isso geralmente é feito por cartões-chave e leitores de cartões nas portas.
Outros métodos comuns são um centro de visitantes ou área de recepção com guardas
de segurança e scanners biométricos para entrada (geralmente necessários para centros
de dados).
• Monitoramento. Como parte de sua segurança de perímetro, você deve ter uma solução
para monitorar anomalias. Por exemplo, se uma porta com um leitor de cartões estiver
aberta por mais de 60 segundos, isso pode indicar que ela foi aberta. Se uma pessoa
digitaliza uma porta do data center com um crachá, mas esse crachá não foi usado para
entrar em qualquer outra porta externa naquele dia, pode ser um cenário para investigar -
por exemplo, talvez o cartão foi roubado por alguém que ganhou acesso a o edifício através
das aberturas de ventilação. Um sistema de monitoramento pode alertá-lo sobre cenários
incomuns e fornecer um histórico das atividades do perímetro.
• Controles de segurança interna. A segurança interna concentra-se na limitação do acesso a salas

de armazenamento ou fornecimento, gabinetes de arquivamento, gabinetes telefônicos, data
centers e outras áreas sensíveis. Existem alguns métodos principais para usar:
• Requisitos de escolta. Quando um visitante faz check-in no seu centro de visitantes, você
pode exigir uma escolta de funcionário. Por exemplo, talvez o visitante seja obrigado a
sempre estar com um funcionário e o crachá do hóspede não abra portas através dos
leitores de cartões da porta. Os requisitos de escolta são especialmente importantes para os
visitantes que estarão operando em áreas sensíveis (por exemplo, uma empresa de ar
condicionado trabalhando em um problema em seu data center).
• Chave e fechaduras. Cada funcionário deve ter a capacidade de proteger os pertences

pessoais e da empresa em seu espaço de trabalho para ajudar a evitar roubos. Se eles
tiverem um escritório, eles deverão bloqueá-lo quando não estiverem no escritório. Se o
funcionário tiver uma mesa ou um cubículo, eles devem ter armários ou gavetas com chave
para armazenar informações confidenciais e outros objetos de valor.
7.16 Questione as questões de segurança e proteção pessoal

Esta seção aborda a segurança do pessoal - garantindo que os funcionários possam trabalhar e viajar com
segurança. Embora algumas das técnicas sejam de senso comum, outras são menos óbvias.
• Viagem. As leis e políticas em outros países podem às vezes ser drasticamente diferentes do seu
próprio país. Os funcionários devem estar familiarizados com as diferenças antes de viajar. Por
exemplo, algo que você considera benigno pode ser ilegal e punível com prisão em outro país.
Outras leis podem dificultar a realização de negócios em outro país ou colocar sua empresa em
risco. Ao viajar para outros países, você deve se familiarizar com as leis locais para minimizar o
perigo para você e sua empresa. Outra preocupação importante ao viajar é proteger os dados
da empresa. Para proteger os dados da empresa durante a viagem, a criptografia deve ser usada
para dados em trânsito e dados em repouso. Também é uma boa prática (embora
impraticável) limitar a conectividade através de redes sem fio durante a viagem.
Leve seus dispositivos de computação com você, quando possível, já que os dispositivos deixados
em um hotel estão sujeitos a adulterações. Em alguns casos, como quando viajam para países de
alto risco, considere ter pessoal deixando seus dispositivos de computação em casa. Embora isso
nem sempre seja viável, pode reduzir drasticamente o risco para dispositivos ou dados de
funcionários e empresas. Em algumas organizações, os funcionários recebem um laptop de viagem
especial que foi apagado de dados confidenciais para usar durante uma viagem; o laptop é recriado
ao voltar para casa.
• Treinamento de segurança e conscientização. Os funcionários devem ser treinados sobre como

mitigar os possíveis perigos no escritório doméstico, durante viagens ou em casa. Por exemplo, a
segurança do campus inclui fechar as portas atrás de você, não andar sozinho até o seu carro e
informar pessoas suspeitas. A segurança de viagem inclui não exibir o crachá da sua empresa em
locais públicos e realizar apenas serviços autorizados de passeio. A segurança fora do trabalho inclui
o uso de uma rede doméstica segura e a não inserção de mídia estrangeira nos dispositivos. Embora
as campanhas de treinamento e conscientização sejam diferentes, um elemento-chave é ter uma
campanha que lide com os perigos específicos de sua organização.
• Gerenciamento de Emergências. Imagine um grande terremoto atinge o seu prédio principal. O

poder está fora e os trabalhadores evacuaram os edifícios; muitos vão para casa para verificar suas
famílias. Outros funcionários podem estar voando para o escritório para reuniões no dia seguinte.
Você precisa ser capaz de descobrir se todos os funcionários estão seguros e são contabilizados;
notificar funcionários, parceiros, clientes e visitantes; e iniciar procedimentos de continuidade de
negócios e / ou recuperação de desastres. Um sistema eficaz de gerenciamento de emergência
permite enviar alertas de emergência aos funcionários (muitas soluções contam com mensagens TXT
ou SMS para telefones celulares), rastrear suas respostas e locais e iniciar medidas de resposta a
emergências, como ativar um data center secundário ou um contingente. força de trabalho em um
site alternativo.
• Coação. Coação refere-se a forçar alguém a realizar um ato que normalmente não faria, devido a
uma ameaça de dano, como um caixa de banco que doa dinheiro a um ladrão de banco que brande
uma arma. Treinamento de pessoal sobre coação e implementação de contramedidas pode ajudar.
Por exemplo, em uma loja de varejo, a última nota de vinte dólares na caixa registradora pode ser
anexada a um mecanismo de alarme silencioso; quando um empregado o remove para um ladrão, o
alarme silencioso alerta as autoridades. Outro exemplo é um sistema de alarme de construção que
deve ser desativado rapidamente quando você entra no prédio. Se o proprietário de uma empresa é
atendido no horário de abertura por um bandido que exige que ela desative o alarme, em vez de
digitar seu código de desarmamento regular, o proprietário pode usar um código especial que
desativa o alarme e notifica as autoridades que ele foi desarmado coação Em muitos casos, para
proteger a segurança do pessoal, é uma boa prática que o pessoal cumpra todas as exigências
razoáveis, especialmente em situações em que a perda é um computador laptop ou algo similar.
82
Domínio 7 Perguntas de Revisão
tempo com o assunto. Em seguida, vá para o domínio 8.
1. Você está conduzindo uma análise de um computador comprometido. Você descobre que o
computador tinha todos os patches de segurança conhecidos aplicados antes de o computador ser
comprometido. Quais das duas afirmações a seguir são provavelmente verdadeiras sobre esse
incidente?
e. A empresa tem uma vulnerabilidade de dia zero.
f. A empresa foi comprometida por uma exploração de dia zero.
g. O computador não possui um agente de gerenciamento de configuração.
h. O computador não possui anti-malware.
2. Você está investigando o fraco desempenho do sistema telefônico de uma empresa. A empresa usa
telefones baseados em IP e relata que, em alguns cenários, como quando há uso pesado, a
qualidade da chamada cai e às vezes há atrasos ou abafamentos. Você precisa maximizar o
desempenho do sistema de telefonia. Qual tecnologia você deve usar?
a. Resiliência do sistema
b. Quality of service
c. Tolerância ao erro
d. Whitelisting
e. Blacklisting
f. Gerenciamento de configurações
3. Você está preparando sua empresa para recuperação de desastres. A empresa emite os seguintes
requisitos para testes de recuperação de desastres:
• A empresa deve ter a capacidade de restaurar e recuperar um data center alternativo.
• As operações de restauração e recuperação não devem afetar seu datacenter.
• As equipes de TI devem executar etapas de recuperação
durante o teste. Qual tipo de recuperação você deve usar para
atender aos requisitos da empresa?
a. Interrupção parcial
b. Tabletop
83
c. Interrupção total
d. Paralelo
84
Domínio 7
1. Resposta: A, B
Explicação: Quando existe uma vulnerabilidade, mas não há patch para consertá-la, é uma
vulnerabilidade de dia zero. Quando existe um código de exploração para aproveitar uma
vulnerabilidade de dia zero, ele é chamado de exploração de dia zero. Nesse cenário, como o
computador estava atualizado em patches, podemos concluir que havia uma vulnerabilidade de dia
zero e uma exploração de dia zero.
2. Resposta: B
Explicação: A qualidade do serviço (QoS) fornece serviço prioritário para um aplicativo ou tipo de
comunicação especificado. Nesse cenário, a qualidade da chamada está sendo afetada por outros
serviços na rede. Ao priorizar a comunicação de rede para os telefones IP, você pode maximizar seu
desempenho (embora isso possa impactar outra coisa).
3. Resposta: D
Explicação: O primeiro requisito importante neste cenário é que o data center não seja afetado pelo
teste. Isso elimina os testes de interrupção parcial e de interrupção completa, porque eles afetam o
data center. O outro requisito importante é que as equipes de TI devem executar as etapas de
recuperação. Esse requisito elimina o teste de mesa porque o teste de mesa envolve percorrer os
planos, mas não executar operações de recuperação.
85
Domínio 8. Segurança do
Desenvolvimento de Software
Este domínio se concentra em gerenciar o risco e a segurança do desenvolvimento de software. A segurança
deve ser um foco do ciclo de vida de desenvolvimento e não um complemento ou reflexão sobre o processo.
A metodologia de desenvolvimento e o ciclo de vida podem ter um grande efeito sobre como a segurança é
pensada e implementada em sua organização. A metodologia também se liga ao ambiente para o qual o
software está sendo desenvolvido. As organizações devem garantir que o acesso a repositórios de código
seja limitado para proteger seu investimento no desenvolvimento de software. Acesso e proteção devem ser
auditados regularmente. Você também deve levar em consideração o processo de aquisição de um ciclo de
vida de desenvolvimento, seja de outra empresa ou de um projeto de desenvolvimento que já esteja em
andamento.
8.1 Compreender e integrar a segurança em todo o

software ciclo de vida de desenvolvimento (SDLC)
Esta seção discute os vários métodos e considerações ao desenvolver um aplicativo. O ciclo de vida do
desenvolvimento normalmente não possui uma meta ou destino final. Em vez disso, é um loop contínuo de
esforços que deve incluir etapas em diferentes fases de um projeto.
• Metodologias de Desenvolvimento. Existem diversas metodologias de desenvolvimento que as

organizações podem usar como parte do ciclo de vida de desenvolvimento. A tabela a seguir lista
as metodologias mais comuns e os principais conceitos relacionados.
Metodologia Conceitos chave

Criar e consertar • Falta um design de arquitetura chave
• Problemas são corrigidos conforme ocorrem
• Falta de um ciclo de feedback formal
• Reactivo em vez de pró-activo
Cascata • Ciclo de Vida Sequencial Linear
• Cada fase é concluída antes de continuar
• Falta uma maneira formal de fazer alterações durante um ciclo
• O projeto é concluído antes de coletar feedback e começar de novo
V-shaped • Baseado no modelo em cascata
• Cada fase é concluída antes de continuar
• Permite a verificação e validação após cada fase
• Não contém uma fase de análise de risco
Prototipagem • Três modelos principais:
• Rápido prototyping uses a quick sample to test the current project.
• Evolutivo prototyping uses incremental improvements to a design.
• Operacional prototypes provide incremental improvements, but are intended to
be used in production.
Incremental • Usa vários ciclos para desenvolvimento (pense em várias cascatas)
• Todo o processo pode reiniciar a qualquer momento como uma fase diferente
• Fácil de introduzir novos requisitos
• Fornece atualizações incrementais ao software
Espiral • Abordagem iterativa ao desenvolvimento
• Executa análise de risco durante o desenvolvimento
• As informações e os requisitos futuros são canalizados para a análise de risco
• Permite testar no início do desenvolvimento
Desenvolvimento • Utiliza prototipagem rápida
de Aplicação • Projetado para desenvolvimento rápido
Rápida • Análise e design são rapidamente demonstrados
• Testes e requisitos são frequentemente revisitados
Ágil • Termo de guarda-chuva para vários métodos
• Destaca a eficiência e o desenvolvimento iterativo
• Histórias de usuários descrevem o que um usuário faz e por que
• Os protótipos são filtrados para recursos individuais
• Modelos de maturidade. Existem cinco níveis de maturidade do CMMI (Capability Maturity Model
Integration):
1. Inicial. O processo de desenvolvimento é ad hoc, ineficiente, inconsistente e imprevisível.
2. Repetível. Uma estrutura formal fornece controle de mudanças, garantia de qualidade e testes.
3. Definido. Processos e procedimentos são projetados e seguidos durante o projeto.
4. Gerenciado. Processos e procedimentos são usados para coletar dados do ciclo de

desenvolvimento para fazer melhorias.
5. Otimizado. Existe um modelo de melhoria contínua para o ciclo de desenvolvimento.
• Operação e manutenção. Depois de um produto ter sido desenvolvido, testado e lançado, a

próxima fase do processo é fornecer suporte operacional e manutenção do produto lançado.
Isso pode incluir a resolução de problemas imprevistos ou o desenvolvimento de novos recursos
para atender a novos requisitos.
• Change management. As alterações podem interromper o desenvolvimento, teste e lançamento.

Uma organização deve ter um processo de controle de alterações que inclua documentar e
compreender uma alteração antes de tentar implementá-la. Isso é especialmente verdadeiro quanto
mais tarde no projeto a alteração é solicitada. Cada solicitação de mudança deve ser avaliada quanto
à capacidade, riscos e preocupações de segurança, impactos na linha do tempo e muito mais.
• Integrated product team. Desenvolvimento de software e TI são tipicamente dois

departamentos ou grupos separados dentro de uma organização. Cada grupo geralmente tem
objetivos diferentes: os desenvolvedores querem distribuir o código finalizado e a TI deseja
gerenciar com eficiência os sistemas de trabalho. Com o DevOps, essas equipes trabalham
juntas para alinhar suas metas, de modo que os lançamentos de software sejam consistentes e
confiáveis.
8.2 Identifique e aplique controles de segurança em
ambientes de desenvolvimento
O código-fonte e os repositórios que compõem um aplicativo podem representar centenas ou milhares de

horas de trabalho e incluem uma propriedade intelectual importante para uma organização. As organizações
devem estar preparadas para assumir vários níveis de mitigação de risco para proteger o código, bem como
os aplicativos.
• Segurança dos ambientes de software. Historicamente, a segurança foi uma reflexão tardia ou
tardia depois que um aplicativo foi desenvolvido e implantado, em vez de parte do ciclo de vida. Ao
desenvolver um aplicativo, considerações devem ser feitas para os bancos de dados, conexões
externas e dados confidenciais que estão sendo manipulados pelo aplicativo.
• Fraquezas e vulnerabilidades de segurança no nível do código-fonte. A MITER publica uma lista

dos 25 erros de software mais perigosos que podem causar pontos fracos e vulnerabilidades em
um aplicativo (http:// cwe.mitre.org/top25/#Listing). Por exemplo, se um campo de entrada não for
verificado quanto ao conteúdo e tamanho, erros inesperados poderão ocorrer. Além disso, se o
acesso ou a criptografia do arquivo estiver ausente em um aplicativo, os usuários poderão acessar
as informações para as quais não possuem permissões. Revisões de código, análise estática, testes
e validação podem ajudar a mitigar os riscos no desenvolvimento de software.
• Gerenciamento de configuração como um aspecto da codificação segura. O processo de

controle de alterações deve ser estreitamente integrado ao desenvolvimento para garantir que
as considerações de segurança sejam feitas para quaisquer novos requisitos, recursos ou
solicitações. Um repositório de código centralizado ajuda no gerenciamento de alterações e
rastreamento quando e onde as revisões do código. O repositório pode rastrear versões de um
aplicativo para que você possa reverter facilmente para uma versão anterior, se necessário.
• Segurança de repositórios de código. O sistema de controle de versão que hospeda o código fonte
e a propriedade intelectual é o repositório de código. Pode haver repositórios diferentes para
desenvolvimento ativo, teste e garantia de qualidade. Uma prática recomendada para proteger os
repositórios de código é garantir que eles estejam o mais longe possível da Internet, mesmo que
isso signifique que eles estejam em uma rede interna separada que não tenha acesso à Internet.
Qualquer acesso remoto a um repositório deve usar uma VPN ou outro método de conexão segura.
• Segurança de interfaces de programação de aplicativos. Existem cinco gerações de

linguagens de programação. Quanto maior a geração, mais abstrata a linguagem é e menos um
desenvolvedor precisa saber sobre os detalhes do sistema operacional ou do hardware por trás
do código. As cinco gerações são:
1: Linguagem de máquina. Esta é a representação binária que é entendida e usada pelo

processador do computador.
2: Linguagem Assembly. Assembly é uma representação simbólica das instruções no nível
da máquina. Os mnemônicos representam o código binário e são usados comandos como
ADD, PUSH e POP. Os montadores traduzem o código para linguagem de máquina.
3: Linguagem de Alto Nível. As linguagens de alto nível introduzem a capacidade de usar as

instruções IF, THEN e ELSE como parte da lógica de código. A arquitetura de sistema de baixo
nível é manipulada pela linguagem de programação. FORTRAN e COLBOL são exemplos de
linguagens de programação de geração 3.
4: Linguagem de muito alto nível. Os idiomas da geração 4 reduzem ainda mais a
quantidade de código necessária, para que os programadores possam se concentrar em
algoritmos. Python, C ++, C # e Java são exemplos de linguagens de programação da geração
4.
5: Natural language. As linguagens da geração 5 permitem que um sistema aprenda e

mude sozinho, como na inteligência artificial. Em vez de desenvolver código com um objetivo
ou objetivo específico, os programadores definem apenas as restrições e o objetivo; o
aplicativo resolve o problema sozinho com base nessas informações. Prolog e Mercury são
exemplos de linguagens de programação da geração 5.
8.3 Avaliar a eficácia da segurança de software

Colocar proteções no lugar não é segurança suficiente para lhe dar paz de espírito. Para saber que essas
proteções estão funcionando conforme o planejado, as organizações devem realizar auditorias rotineiras de
suas proteções de acesso. Você também deve revisitar suas implementações para identificar novos riscos
que precisem ser mitigados e para garantir que o projeto esteja atendendo aos requisitos acordados.
• Auditoria e registro de alterações. Os processos e procedimentos para controle de mudanças

devem ser avaliados durante uma auditoria. As alterações introduzidas no meio da fase de
desenvolvimento podem causar problemas que talvez ainda não tenham sido descobertos ou
causados no teste. A eficácia dos métodos de controle de mudanças deve ser um aspecto da
auditoria da fase de desenvolvimento.
• Análise de risco e mitigação. A maioria das metodologias de desenvolvimento discutidas na seção

8.1 inclui um processo para executar uma análise de risco do ciclo de desenvolvimento atual.
Quando um risco é identificado, uma estratégia de mitigação deve ser criada para evitar esse risco.
Além disso, você pode documentar por que um risco pode ser ignorado ou não abordado durante
uma determinada fase do processo de desenvolvimento.
8.4 Avaliar o impacto da segurança do software adquirido

Quando uma organização se funde ou adquire outra organização, o código-fonte adquirido, o acesso e o
design do repositório e a propriedade intelectual devem ser analisados e revisados. As fases do ciclo de
desenvolvimento também devem ser revisadas. Você deve tentar identificar novos riscos que surgiram ao
adquirir o novo processo de desenvolvimento de software.
8.5 Definir e aplicar diretrizes e padrões de codificação seguros
Muitas organizações têm uma estratégia de segurança voltada para o nível de infraestrutura; Ele lida com
coisas como segurança de rede, gerenciamento de identidade e acesso e segurança de terminal.
Organizações que desenvolvem código internamente também devem incluir codificação em sua estratégia
de segurança. Eles devem especificar práticas para garantir a segurança do código, bem como padrões de
codificação, como a linguagem de programação preferencial para casos de uso específicos.
• Fraquezas e vulnerabilidades de segurança no nível do código-fonte. Apenas sobre cada
aplicação (ou pedaço de código-fonte) tem erros. Embora nem todos os bugs estejam
especificamente relacionados à segurança, eles podem levar a uma vulnerabilidade de segurança.
Uma forma eficaz de encontrar e corrigir bugs é usar ferramentas de análise de código-fonte, que
também são chamadas de ferramentas de teste de segurança de aplicativo estático (SAST). Essas
ferramentas são mais eficazes durante o processo de desenvolvimento de software, pois é mais
difícil refazer o código depois que ele está em produção.
No entanto, esteja ciente de que essas ferramentas não podem encontrar muitos pontos fracos e
introduzem trabalho extra para as equipes, especialmente se gerarem muitos falsos positivos. Hoje,
com a segurança sendo a principal preocupação, a expectativa é que todo o código-fonte seja
escaneado durante o desenvolvimento e após o lançamento na produção.
• Segurança de interfaces de programação de aplicativos. As interfaces de programação de

aplicativos (APIs) permitem que os aplicativos façam chamadas para outros aplicativos. Sem
segurança adequada, as APIs são uma maneira perfeita para indivíduos mal-intencionados
comprometerem seu ambiente ou aplicativo. A segurança das APIs começa exigindo autenticação
usando um método como OAuth ou chaves de API. A autorização também deve ser usada e aplicada.
Por exemplo, uma chave de API pode permitir que você leia informações, mas precisa de uma chave
de API separada para alterar ou gravar informações. Muitas empresas usam um gateway de
segurança de API para centralizar as chamadas de API e executar verificações nas chamadas
(verificação de tokens, parâmetros, mensagens, etc.) para garantir que atendam aos requisitos da
organização. Outros métodos comuns para proteger suas APIs são o uso de limitação (que protege
contra DoS ou uso indevido semelhante), analisa suas APIs quanto a pontos fracos e usa criptografia
(como com um gateway de API).
• Práticas de codificação seguras. Existem práticas estabelecidas que você deve seguir para
maximizar a segurança do seu código. Alguns dos mais comuns são:
• Input validation. Valide a entrada, especialmente de fontes não confiáveis, e rejeite entrada
inválida.
• Não ignore os avisos do compilador. Ao compilar o código, use o nível de aviso mais
alto disponível e aborde todos os avisos gerados.
• Deny by default. Por padrão, todos devem ter acesso negado. Conceda acesso conforme
necessário.
• Autenticação e gerenciamento de senhas. Exigir autenticação para tudo o que

não deve estar disponível para o público. Hash senhas e salgue os hashes.
• Controle de acesso. Restringir o acesso usando o princípio do menor privilégio e

negar acesso se houver problemas na verificação dos sistemas de controle de
acesso.
• Práticas criptográficas. Proteja segredos e chaves mestras estabelecendo e

impondo padrões criptográficos para sua organização.
• Tratamento e registro de erros . Evite expor informações confidenciais em

arquivos de log ou mensagens de erro. Restringir o acesso aos logs.
• Proteção de dados. Criptografe informações confidenciais em todos os lugares.
• Segurança de comunicação. Use o Transport Layer Security (TLS) em todos os lugares possíveis.
• Configuração do sistema. Bloqueie servidores e dispositivos. Mantenha as versões
89
de software atualizadas com um rápido retorno das correções de segurança. Você
pode encontrar boas informações para proteger seus servidores e dispositivos do
NIST. Visite https://www.nist.gov para procurar padrões e guias relacionados ao seu
ambiente.
• Gerenciamento de memória. Use o controle de entrada e saída, especialmente

para dados não confiáveis, e observe os problemas de tamanho do buffer (use
buffers estáticos). Libere memória quando não for mais necessário.
90
Domínio 8 Questões para revisão
tempo com o assunto.
1. Você é um gerente de desenvolvimento de software iniciando um novo projeto de

desenvolvimento. Você quer focar o processo de desenvolvimento em torno de histórias de
usuários. O processo de desenvolvimento deve ser eficiente e ter várias iterações conforme as
mudanças e os requisitos sejam descobertos. Qual metodologia de desenvolvimento você deve
usar?
a. Agil
b. Cascata
c. Espiral
d. Desenvolvimento de Aplicação Rápida
2. Você está nos estágios iniciais do ciclo de vida de desenvolvimento e criando requisitos de design.
O aplicativo conterá vários formulários que permitem aos usuários inserir informações a serem
salvas em um banco de dados. Os formulários devem exigir que os usuários enviem até 200
caracteres alfanuméricos, mas devem evitar determinadas cadeias de caracteres. O que você deve
fazer nos campos de texto?
a. Input validation
b. Teste unitário
c. Prototipagem
d. Regressão de buffer
3. Você planeja criar um aplicativo de inteligência artificial baseado em restrições e um

objetivo final. Qual linguagem de geração você deve usar para o processo de
desenvolvimento?
a. Geração 2
b. Geração 3
c. Geração 4
d. Geração 5
91
Domínio 8
1. Resposta: A
Explicação: O desenvolvimento ágil enfatiza a eficiência e as iterações durante o processo de
desenvolvimento. O Agile se concentra em histórias de usuários para trabalhar no processo de
desenvolvimento.
2. Resposta: A
Explicação: Os campos de texto com os quais os usuários interagem devem ter validação de
entrada para garantir que o limite de caracteres não tenha sido excedido e que nenhum caractere
especial que possa causar inconsistências no banco de dados seja usado.
3. Resposta: D
Explicação: As linguagens da geração 5 estão associadas à inteligência artificial. As restrições da
aplicação e sua meta são definidas; então o programa aprende mais por conta própria para
alcançar o objetivo.
92
Referências úteis
Complemente sua preparação para o exame ou aprimore a certificação obtida,
analisando os recursos relevantes.
• Top Webcasts On IT Security And Compliance To Attend Or Watch Recorded While Earning CPE Credits
• How to Build an Effective Data Classification Policy for Better Information Security
• Five Reasons to Ditch Manual Data Classification Methods
• 10 Ways to Improve Automated Data Classification
• SysAdmin Magazine: “My Precious!” — Finding & Securing Sensitive Data
• How to Identify and Prioritize Information Security Risks
• How to Perform IT Risk Assessment
• SysAdmin Magazine: Assess Your Risks or Die Tryin’
• Insider Threat Playbook: How to Deter Data Theft by Departing Employees
• Five Ways to Reduce the Risk of Employee Theft of Confidential Information
• Best Practices: How to Off-Board an Employee for Good
• Best Practices: How to Minimize the Risk of Insider Threats
• Insider Threat Detection: 10 Techniques for Top-to-Bottom Defense
• Cyber Chief Magazine: Insider Threat — Uncover and Neutralize
• Top 20 Critical Security Controls for Effective Cyber Defense
• White Paper: Compliance Demystified
• GDPR Rules of Data Breach Notification: How to Report Personal Data Loss and Avoid Fines?
• SysAdmin Magazine: Why GDPR Won’t Kill You
• Brace Yourself — HIPAA Security Risk Assessment Is at Your Door
• White Paper: Seven Questions for Assessing Data Security in the Enterprise
• Windows Server Hardening Checklist
• Four Things You Should Never Store in Your Database
• What to Know about the Threat of Privileged Users
• Key Lessons Learned from Data Breaches Caused by Privilege Abuse
• Best Practices: How to Harden Privileged Account Security
93
• How to Collect Server Inventory
• Best Practices: How to Implement Audit Policy
94
Sobre o Autor
Brian Svidergol é focado em infraestrutura e soluções baseadas em nuvem com ênfase
especial em gerenciamento de identidade e acesso. Brian trabalhou com várias empresas,
desde startups até empresas da lista Fortune 500, ajudando-as a projetar e implementar
soluções de infraestrutura e nuvem seguras. Ele possui inúmeras certificações do setor da
Microsoft, Red Hat, VMware, Novell e NetApp. Brian é autor de seis livros publicados
através do O'Reilly, Sybex e Microsoft Press e auto- publicou um livro.
Sobre a Netwrix
A Netwrix Corporation é uma empresa de software focada exclusivamente em fornece às equipes de
segurança e operações de TI uma visibilidade generalizada do comportamento do usuário, configurações do
sistema e sensibilidade a dados em infraestruturas de TI híbridas para proteger os dados,
independentemente de sua localização. Mais de 9.000 organizações em todo o mundo confiam na Netwrix
para detectar e atenuar proativamente ameaças à segurança de dados, passar auditorias de conformidade
com menos esforço e despesas e aumentar a produtividade de suas equipes de TI. Fundada em 2006, a
Netwrix já recebeu mais de 140 prêmios da indústria e foi nomeada para as listas Inc. 5000 e Deloitte
Technology Fast 500 das empresas que mais crescem nos EUA.
O Netwrix Auditor é uma plataforma de visibilidade para análise do comportamento do usuário e mitigação
de riscos que permite o controle sobre alterações, configurações e acesso em ambientes de TI híbridos para
proteger os dados, independentemente de sua localização. A plataforma fornece inteligência de segurança
para identificar falhas de segurança, detectar anomalias no comportamento do usuário e investigar padrões
de ameaças a tempo de evitar danos reais.
O Netwrix Auditor inclui aplicações para Active Directory, Azure AD, Exchange, Office 365, servidores de
arquivos do Windows, dispositivos de armazenamento EMC, dispositivos de arquivamento NetApp,
SharePoint, banco de dados Oracle, SQL Server, VMware e Windows Server. Fortalecida com uma API RESTful
e gravação de vídeo de atividade do usuário, a plataforma oferece visibilidade e controle em todos os
sistemas de TI locais ou baseados em nuvem de uma maneira unificada.
Saiba mais sobre o Netwrix Auditor e faça o download da avaliação gratuita de 20 dias acessando
aiqon.com.br/netwrix
Fale conosco
Telefone: 11 2306-2990 aiqon.com.br/netwrix

002 - Netwrix Auditor - Guia de Estudos CISSP

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

002 - Netwrix Auditor - Guia de Estudos CISSP

Enviado por

Direitos autorais:

Formatos disponíveis

Guia de

RHEL3, VCP, NCIE-SAN, MCT, MCSE

Visão Geral do Exame............................................................................................................................................................................... 7

Como utilizar esse guia de estudo ........................................................................................................................................................ 8

Recentes mudanças no exame .............................................................................................................................................................. 8

Domain 1. Segurança e Gestão de Riscos ................................................................................................................ 9

1.1 Entenda e aplique os conceitos de confidencialidade, integridade e disponibilidade ....................................................... 9

1.2 Avalie e aplique princípios de governança da segurança ......................................................................................................... 9

1.3 Determine requerimentos de compliance ................................................................................................................................. 11

1.5 Entender, aderir e promover ética profissional ........................................................................................................................ 13

1.7 Identificar, analisar e priorizar os requisitos de Continuidade de Negócios (BC) ............................................................. 14

1.8 Contribuir para aplicar políticas e procedimentos de segurança de pessoal ..................................................................... 15

1.9 Entenda e aplique conceitos de gerenciamento de risco........................................................................................................ 16

1.10 Compreender e aplicar conceitos e metodologias de modelagem de ameaças ........................................................ 20

1.11 Aplique conceitos de gerenciamento baseados em risco à cadeia de suprimentos ................................................. 21

1.12 Estabelecer e manter um programa de conscientização, educação e treinamento sobre segurança.................. 19

Domínio 1 Revisão perguntas ..................................................................................................................................20

Respostas às Perguntas de Revisão do Domínio 1 ...............................................................................................22

Domínio 2. Segurança de Ativos ..............................................................................................................................23

2.1 Identificar e classificar informações e ativos ............................................................................................................................ 23

2.2 Determinar e manter informações e propriedade de ativos ................................................................................................. 25

2.3 Proteger a privacidade ................................................................................................................................................................... 25

2.4 Garantir a retenção apropriada de ativos .................................................................................................................................. 26

2.5 Determinar controles de segurança de dados .......................................................................................................................... 27

2.6 Estabeleça requerimentos de manuseio de ativos e informação ......................................................................................... 28

Respostas às Questões de Revisão do Domínio 2 ................................................................................................31

Domínio 3. Arquitetura e engenharia de segurança ............................................................................................32

3.1 Implemente e gerencie processos de engenharia usando princípios de design seguros................................................. 32

3.2 Entenda os conceitos fundamentais dos modelos de segurança .......................................................................................... 30

3.4 Entenda os recursos de segurança dos sistemas de informação .......................................................................................... 32

3.6 Avaliar e mitigar vulnerabilidades em sistemas baseados na web....................................................................................... 41

3.7 Avaliar e mitigar vulnerabilidades em sistemas móveis ........................................................................................................ 42

3.8 Avaliar e atenuar vulnerabilidades em dispositivos incorporados ....................................................................................... 42

3.9 Aplicar criptografia .......................................................................................................................................................................... 43

3.10 Aplique princípios de segurança ao design do site e das instalações .......................................................................... 47

3.11 Implementar controles de segurança do site e das instalações ................................................................................... 48

Questões de revisão do domínio 3 .........................................................................................................................51

Respostas às Questões de Revisão do Domínio 3 ................................................................................................53

Domínio 4. Comunicação e Rede Segurança .........................................................................................................54

4.1 Implementar princípios de design seguros na arquitetura de rede ..................................................................................... 54

4.2 Componentes de rede seguros...................................................................................................................................................... 56

4.3 Implementar canais de comunicação seguros de acordo com o design .............................................................................. 59

Perguntas de Revisão do Domínio 4 .......................................................................................................................49

Respostas às Questões de Revisão do Domínio 4 ................................................................................................50

Domínio 5. Gerenciamento de identidade e acesso (IAM)...................................................................................51

5.1 Controle o acesso físico e lógico aos ativos ............................................................................................................................... 51

5.3 Integrar identidade como um serviço de terceiros .................................................................................................................. 56

5.4 Implementar e gerenciar mecanismos de autorização ........................................................................................................... 58

5.5 Gerenciar o ciclo de vida de fornecimento de identidade e acesso ...................................................................................... 59

Domínio 5 Questões para revisão ...........................................................................................................................62

Respostas às Questões de Revisão do Domínio 5 ................................................................................................64

Domínio 6. Avaliação e teste de segurança ...........................................................................................................65

6.1 Projetar e validar estratégias de avaliação, teste e auditoria ............................................................................................... 65

6.2 Realizar testes de controle de segurança ................................................................................................................................... 65

6.3 Coletar dados do processo de segurança ................................................................................................................................... 67

6.4 Analise a saída de teste e gere relatórios ................................................................................................................................... 69

6.5 Realizar ou facilitar auditorias de segurança ............................................................................................................................ 69

Perguntas de Revisão do Domínio 6 .......................................................................................................................70

Respostas às Perguntas de Revisão do Domínio 6 ...............................................................................................72

Domínio 7. Operações de Segurança .....................................................................................................................73

7.1 Compreender e apoiar investigações .......................................................................................................................................... 73

7.2 Compreender os requisitos para diferentes tipos de investigações .................................................................................... 74

7.3 Realizar atividades de registro e monitoramento .................................................................................................................... 75