Cisco CyberOps Associate Guide-PT

Machine Translated by Google
Cisco
CyberOps
Associado
CBROPS 200-201
Guia Oficial de Certificação
OMAR SANTOS
Imprensa Cisco
ii Guia de certificação oficial do Cisco CyberOps Associate CBROPS 200-201
Associado Cisco CyberOps CBROPS

Guia Oficial de Certificação 200-201
Omar Santos
Direitos autorais © 2021 Cisco Systems, Inc.
Publicado por:
Imprensa Cisco
Hoboken, NJ
Todos os direitos reservados. Nenhuma parte deste livro pode ser reproduzida ou transmitida de qualquer forma ou por
qualquer meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou por qualquer sistema de armazenamento e
recuperação de informações, sem permissão por escrito da editora, exceto pela inclusão de breves citações. em um
Reveja.
Código de Impressão Automatizado Scout
Número de controle da Biblioteca do Congresso: 2020944691
ISBN-13: 978-0-13-680783-4
ISBN-10: 0-13-680783-6
Aviso e isenção de responsabilidade
Este livro foi desenvolvido para fornecer informações sobre o exame Understanding Cisco Cybersecurity Operations
Fundamentals (CBROPS 200-201). Todos os esforços foram feitos para tornar este livro o mais completo e preciso possível,
mas nenhuma garantia ou adequação está implícita.
As informações são fornecidas “como estão”. O autor, a Cisco Press e a Cisco Systems, Inc. não terão obrigação nem
responsabilidade perante qualquer pessoa ou entidade com relação a quaisquer perdas ou danos decorrentes das
informações contidas neste livro ou do uso dos discos ou programas que possam acompanhar isto.
As opiniões expressas neste livro pertencem ao autor e não são necessariamente as da Cisco Systems,
Inc.
Reconhecimentos de marca registrada
Todos os termos mencionados neste livro que são conhecidos como marcas registradas ou marcas de serviço
foram devidamente capitalizados. A Cisco Press ou a Cisco Systems, Inc. não podem atestar a exatidão dessas
informações. O uso de um termo neste livro não deve ser considerado como afetando a validade de qualquer marca registrada
ou marca de serviço.
iii
Vendas Especiais
Para obter informações sobre como comprar este título em grandes quantidades ou para oportunidades de vendas especiais
(que podem incluir versões eletrônicas, designs de capa personalizados e conteúdo específico para sua empresa, metas de
treinamento, foco de marketing ou interesses de marca), entre em contato com nosso departamento de vendas corporativo em
corpsales@pearsoned.com ou (800) 382-3419.
Para consultas de vendas governamentais, entre em contato com Governmentsales@pearsoned.com.
Para perguntas sobre vendas fora dos EUA, entre em contato com intlcs@pearson.com.
Informações de feedback
Na Cisco Press, nosso objetivo é criar livros técnicos detalhados da mais alta qualidade e valor. Cada livro é elaborado
com cuidado e precisão, passando por um desenvolvimento rigoroso que envolve a experiência única de membros da
comunidade técnica profissional.
O feedback dos leitores é uma continuação natural desse processo. Se você tiver algum comentário sobre como
podemos melhorar a qualidade deste livro ou alterá-lo para melhor atender às suas necessidades, entre em contato
conosco pelo e-mail feedback@ciscopress.com. Certifique-se de incluir o título do livro e o ISBN em sua mensagem.
Agradecemos sua assistência.
Editor-chefe: Mark Taub Editor de texto: Chuck Hutchinson
Gerente de Alianças, Cisco Press: Arezou Gol Editor Técnico: John Stuppi
Diretor, Gerenciamento de Produto ITP: Brett Bartow Assistente Editorial: Cindy Teeters
Editor Executivo: James Manly Designer de capa: Chuti Prasertsith
Editor-chefe: Sandra Schroeder Composição: codeMantra
Editor de Desenvolvimento: Christopher A. Cleveland Indexador: Timothy Wright
Editora Sênior do Projeto: Tonya Simpson Revisor: Donna E. Mulder
Sede das Américas Sede da Ásia-Pacífico Sede da Europa

Cisco Systems, Inc. Cisco Systems (EUA) Pte. Ltda. Cisco Systems International BV Amsterdã,
São José, CA Cingapura Os Países Baixos
A Cisco tem mais de 200 escritórios em todo o mundo. Endereços, números de telefone e números de fax estão listados no site da Cisco em www.cisco.com/go/offices.
Cisco e o logotipo da Cisco são marcas comerciais ou marcas registradas da Cisco e/ou de suas afiliadas nos EUA e em outros países. Para ver uma lista de marcas registradas da
Cisco, acesse este URL: www.cisco.com/go/trademarks. As marcas registradas de terceiros mencionadas são de propriedade de seus respectivos proprietários. O uso da palavra parceiro
não implica uma relação de parceria entre a Cisco e qualquer outra empresa. (1110R)
iv Guia de certificação oficial do Cisco CyberOps Associate CBROPS 200-201
Sobre o autor
Omar Santos é um membro ativo da comunidade de segurança, onde lidera várias iniciativas
em todo o setor. Sua função ativa ajuda empresas, instituições acadêmicas, agências de
aplicação da lei estaduais e locais e outros participantes dedicados a aumentar a segurança
da infraestrutura crítica. Omar é presidente do comitê técnico do OASIS Common Security
Advisory Framework (CSAF), co-presidente do grupo de trabalho Open Source Security do Forum
of Incident Response and Security Teams (FIRST) e co-líder do DEF CON Red Team Vila.
Omar é autor de mais de 20 livros e cursos em vídeo, além de vários white papers, artigos e
diretrizes de configuração de segurança e práticas recomendadas. Omar é engenheiro principal
da Equipe de Resposta a Incidentes de Segurança do Produto Cisco (PSIRT), onde orienta e
lidera engenheiros e gerentes de incidentes durante a investigação e resolução de vulnerabilidades
de segurança.
Omar foi citado por vários meios de comunicação, como TheRegister, Wired, ZDNet, ThreatPost,
CyberScoop, TechCrunch, Fortune Magazine, Ars Technica e muito mais. Você pode seguir
Omar no Twitter @santosomar.
Sobre o Revisor Técnico

John Stuppi, CCIE No. 11154, é um líder técnico na organização Customer Experience Security
Programs (CXSP) da Cisco, onde ele presta consultoria a clientes da Cisco sobre como proteger
suas redes contra ameaças, riscos e vulnerabilidades de segurança cibernética existentes e
emergentes. Os projetos atuais incluem trabalhar com entidades recém-adquiridas para integrá-las
aos processos de gerenciamento de vulnerabilidades do Cisco PSIRT. John apresentou várias
vezes vários tópicos de segurança de rede na Cisco Live, Black Hat, bem como em outras
conferências de segurança cibernética voltadas para clientes. John também é coautor do Official
Certification Guide for CCNA Security 210-260 publicado pela Cisco Press. Além disso, John
contribuiu para o Portal de Segurança da Cisco por meio da publicação de white papers, postagens
em blogs de segurança e artigos sobre relatórios de risco cibernético. Antes de ingressar na Cisco,
John trabalhou como engenheiro de rede no JPMorgan e depois como engenheiro de segurança
de rede na Time, Inc., com ambos os cargos baseados na cidade de Nova York. John também é
CISSP (nº 25525) e possui certificações profissionais de AWS Cloud Practitioner e Information
Systems Security (INFOSEC). Além disso, John tem um BSEE da Lehigh University e um MBA da
Rut gers University. John mora em Ocean Township, Nova Jersey (na “Jersey Shore”), com sua
esposa, dois filhos e seu cachorro.
dentro
Dedicação
Gostaria de dedicar este livro à minha adorável esposa, Jeannette, e aos meus
dois lindos filhos, Hannah e Derek, que me inspiraram e apoiaram durante o
desenvolvimento deste livro.
vi Guia de certificação oficial do Cisco CyberOps Associate CBROPS 200-201
Agradecimentos
Gostaria de agradecer ao editor técnico e meu bom amigo, John Stuppi, por seu tempo e
conhecimento técnico.
Gostaria de agradecer à equipe da Cisco Press, especialmente James Manly e Christopher

Cleveland, por sua paciência, orientação e consideração.
Por fim, gostaria de agradecer à Cisco e à Equipe de Resposta a Incidentes de Segurança de

Produtos da Cisco (PSIRT), Pesquisa de Segurança e Operações por me permitir aprender
constantemente e alcançar muitas metas ao longo de todos esses anos.
vii
Conteúdo em resumo
Introdução xxvi
Capítulo 1 Fundamentos de segurança cibernética 2
Capítulo 2 Introdução à computação em nuvem e segurança em nuvem 82
Capítulo 3 Modelos de Controle de Acesso 102
Capítulo 4 Tipos de Ataques e Vulnerabilidades 152
Capítulo 5 Fundamentos de Criptografia e Infraestrutura de Chave Pública (PKI) 178
Capítulo 6 Introdução às Redes Privadas Virtuais (VPNs) 212
Capítulo 7 Introdução ao Gerenciamento de Operações de Segurança 232
Capítulo 8 Fundamentos da Análise de Intrusão 294
Capítulo 9 Introdução à Forense Digital 338
Capítulo 10 Telemetria e Análise de Dispositivos de Infraestrutura de Rede 370
Capítulo 11 Telemetria e Análise de Endpoint 430
Capítulo 12 Desafios no Centro de Operações de Segurança (SOC) 496
Capítulo 13 A Arte da Análise de Dados e Eventos 520
Capítulo 14 Classificando Eventos de Intrusão em Categorias 530
Capítulo 15 Introdução à Caça a Ameaças 552
Capítulo 16 Preparação Final 574
Glossário de Termos Chave 577
Apêndice A Respostas à pergunta “Já sei disso?”

Testes e Perguntas de Revisão 592
Apêndice B Noções básicas sobre os fundamentos das operações de segurança cibernética da Cisco
Atualizações do Exame CBROPS 200-201 614
Índice 616
Elementos on-line
Apêndice C Planejador de Estudos
Glossário de termos-chave
viii Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201
Serviços do Leitor
Além dos recursos em cada um dos capítulos principais, este livro tem recursos de estudo adicionais no site
complementar, incluindo o seguinte:
Exames práticos: O site complementar contém um mecanismo de exame que permite que você revise as
perguntas do exame prático. Use-os para se preparar com um exame de amostra e para identificar tópicos em que
você precisa estudar mais.
Exercícios e questionários interativos: O site complementar contém exercícios práticos e questionários interativos
para que você possa testar seus conhecimentos na hora.
Questionários do glossário: o site complementar contém questionários interativos que permitem que você se teste
em cada termo do glossário do livro.
O site complementar contém 30 minutos de treinamento exclusivo em vídeo de preparação para o teste.
Para acessar este conteúdo adicional, basta registrar seu produto. Para iniciar o processo de registro, acesse
www.ciscopress.com/register e faça login ou crie uma conta.* Insira o produto ISBN 9780136807834 e clique em
Enviar. Após a conclusão do processo, você encontrará qualquer conteúdo bônus disponível em Produtos
registrados.
*Certifique-se de marcar a caixa que você gostaria de ouvir de nós para receber descontos exclusivos em
futuras edições deste produto.
ix
Conteúdo
Introdução xxvi
Capítulo 1 Fundamentos de segurança cibernética 2
“Eu já sei disso?” Questionário 3 Tópicos
Fundamentais 8
Introdução à segurança cibernética 8
Segurança cibernética versus segurança da informação (Infosec)
8 A estrutura de segurança cibernética do NIST 9

Orientações e Documentos Adicionais do NIST 9
A Organização Internacional para Padronização 10
Ameaças, vulnerabilidades e explorações 10

O que é uma ameaça? 10
O que é uma vulnerabilidade? 11 O
que é uma exploração? 13
Risco, ativos, ameaças e vulnerabilidades 15

Atores de ameaça 17
Inteligência de ameaças 17
Plataforma de Inteligência de Ameaças 19
Vulnerabilidades, Exploits e Kits de Exploit 20
Injeção de SQL 21
Injeção de HTML 22
Injeção de Comando 22
Vulnerabilidades baseadas em autenticação 22
Ataques de força bruta de credenciais e quebra de senha 23
Sequestro de Sessão 24
Credenciais padrão 24
Vulnerabilidades de referência de objeto direto inseguro 24
Script entre sites 25
Falsificação de solicitação entre sites 27
Ataques de manipulação de cookies 27

Condições de corrida 27
APIs desprotegidas 27
Ataques Return-to-LibC e estouros de buffer 28
OWASP Top 10 29
Vulnerabilidades de segurança em software de código aberto 29

x Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201
Sistemas de Segurança de Rede 30

Firewalls Tradicionais 30
Técnicas de Filtragem de Pacotes 31
Proxies de Aplicativo 35
Tradução de Endereço de Rede 36
Tradução de Endereço de Porta 37
Tradução Estática 37
Firewalls de Inspeção com Estado 38

Zonas Desmilitarizadas 38
Firewalls Fornecem Segmentação de Rede 39
Segmentação e Microssegmentação Baseada em Aplicativo 39
Alta Disponibilidade 40
Clustering de Firewalls 41
Firewalls no Data Center 42
Firewalls Virtuais 44
Inspeção Profunda de Pacotes 44

Firewalls de última geração 45
Sistemas de Detecção de Intrusão e Sistemas de Prevenção de Intrusão 46
Correspondência de padrões e reconhecimento de correspondência de padrões com estado 47
Análise de Protocolo 48
Análise Baseada em Heurística 49
Análise Baseada em Anomalias 49
Capacidades de Correlação de Ameaças Globais 50
Sistemas de Prevenção de Intrusão de Próxima Geração 50
Centro de Gerenciamento de Poder de Fogo 50

Proteção avançada contra malware 50
AMP para endpoints 50

AMP para redes 53
Dispositivo de Segurança da Web 54
Dispositivo de segurança de e-mail 58
Dispositivo de gerenciamento de segurança Cisco 60
Mecanismo de Serviços de Identidade Cisco 60
Soluções baseadas em nuvem de segurança 62
Segurança de e-mail na nuvem da Cisco 62

Rede de ameaças Cisco AMP 62
Guarda-chuva (OpenDNS) 63
Nuvem Stealthwatch 63
CloudLock 64
Conteúdo xi
Cisco NetFlow 64
Prevenção contra perda de dados 65
Os Princípios da Estratégia de Defesa em Profundidade 66
Confidencialidade, Integridade e Disponibilidade: A Tríade da CIA 69
Confidencialidade 69
Integridade 70
Disponibilidade 70
Risco e Análise de Risco 70
Informações de Identificação Pessoal e Informações de Saúde Protegidas 72

PII 72
PHI 72
Princípio do Mínimo Privilégio e Separação de Funções 73
Princípio do Mínimo Privilégio 73
Separação de Funções 73
Centros de Operações de Segurança 74
Playbooks, Runbooks e Automação de Runbook 75
Forense Digital 76
Tarefas de Preparação para Exames 78
Revise Todos os Tópicos-Chave 78
Definir Termos Chave 79
Perguntas de revisão 80
Capítulo 2 Introdução à computação em nuvem e segurança na nuvem 82 “Já sei
disso?” Questionário 82 Tópicos básicos 84 Computação em nuvem e os
modelos de serviço em nuvem 84 Modelos de responsabilidade de segurança
na nuvem 86 Gerenciamento de patches na nuvem 88
Avaliação de segurança na nuvem 88
DevOps, Integração Contínua (CI), Entrega Contínua (CD),

e DevSecOps 88
A Metodologia Ágil 89
DevOps 90
Oleodutos CI/CD 90
A palavra-chave sem servidor 92
Uma rápida introdução aos contêineres e ao Docker 92
Gerenciamento e Orquestração de Contêineres 94
Entendendo as diferentes ameaças à segurança na nuvem 95
Ataques de computação em nuvem 97

xii Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201
Tarefas de Preparação para Exames 99
Perguntas de revisão 100
Capítulo 3 Modelos de Controle de Acesso 102
básicos 105 Princípios de segurança da
informação 105 Definição de assunto e objeto
106 Fundamentos de controle de acesso 107
Identificação 107
Autenticação 108
Autenticação por Conhecimento 108
Autenticação por Propriedade 108
Autenticação por Característica 108
Autenticação Multifator 109

Autorização 110
Contabilidade 110
Fundamentos de Controle de Acesso: Resumo 110

Processo de Controle de Acesso 111
Classificação de Ativos 112
Marcação de Ativos 113
Política de Controle de Acesso 114
Descarte de Dados 114
Funções e Responsabilidades de Segurança da Informação 115
Tipos de Controle de Acesso 117

Modelos de Controle de Acesso 119
Controle de Acesso Discricionário 121
Controle de Acesso Obrigatório 122

Controle de Acesso Baseado em Função 123
Controle de Acesso Baseado em Atributos 125
Mecanismos de Controle de Acesso 127
Implementação de Identidade e Controle de Acesso 129
Protocolos de Autenticação, Autorização e Contabilidade 130

RAIO 130
TACACS+ 131
Diâmetro 133
Conteúdo xiii
Controle de Acesso Baseado em Porta 135
Segurança Portuária 135

802,1 x 136
Lista de Controle de Acesso à Rede e Firewall 138
Mapa de VLAN 139
ACL 139 baseada em grupo de segurança

ACL 140 para download
Firewall 140
Gerenciamento de Identidade e Criação de Perfil 140
Segmentação de Rede 141
Segmentação de rede através de VLAN 141

Firewall DMZ 142
Cisco TrustSec 142
Detecção e Prevenção de Intrusão 144
Sistema de Detecção e Proteção de Intrusão Baseado em Rede 147

Detecção e Prevenção de Intrusão Baseada em Host 147
Antivírus e Antimalware 148
Tarefas de Preparação para Exame 149
Revisar Todos os Tópicos-Chave 149
Perguntas de Revisão 150
Capítulo 4 Tipos de Ataques e Vulnerabilidades 152 “Eu já sei disso?”
Questionário 152 Tópicos Fundamentais 154 Tipos de
Ataques 154 Ataques de Reconhecimento 154
Engenharia Social 160
Ataques de Aumento de Privilégios 162

Portas dos fundos 163
Estouro de Buffer e Execução de Código 163
Ataques Man-in-the-Middle 165
Ataques de negação de serviço 166
DDoS 166 direto
Botnets participando de ataques DDoS 167

Ataques DDoS Refletidos 167
Métodos de Ataque para Exfiltração de Dados 168
Envenenamento de Cache ARP 169

xiv Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201
Ataques de falsificação 170
Ataques de Manipulação de Rota 171

Ataques de senha 171
Ataques sem fio 172
Tipos de Vulnerabilidades 172

Capítulo 5 Fundamentos de Criptografia e Infraestrutura de Chave Pública (PKI) 178 “Eu já

sei disso?” Questionário 178 Tópicos Fundamentais 182 Criptografia 182 Cifras
e Chaves 182 Cifras 182 Chaves 183
Gerenciamento de Chaves 183
Bloquear e Stream Ciphers 183
Cifras de Bloco 184
Cifras de fluxo 184
Algoritmos Simétricos e Assimétricos 184
Algoritmos Simétricos 184
Algoritmos Assimétricos 185
Curva Elíptica 186
Criptografia Quântica 187
Mais Tipos de Criptografia 187

Bloco de Uso Único 187
PGP 188
Geradores de Números Pseudo-aleatórios 189
Hashes 189
Código de autenticação de mensagem com hash 191
Assinaturas Digitais 192
Assinaturas Digitais em Ação 192
Protocolos de Criptografia de Próxima Geração 195

Conteúdo xv
IPsec e SSL/TLS 196
IPsec 196
Secure Sockets Layer e Segurança da Camada de Transporte 196

SSH 198
Fundamentos da PKI 199
Pares de Chave Pública e Privada 199
Algoritmo RSA, as Chaves e Certificados Digitais 199

Autoridades de Certificação 200
Certificados de Raiz e Identidade 202

Certificado Raiz 202
Certificados de Identidade 204

X.500 e X.509v3 204
Autenticação e registro com o CA 205
Padrões de Criptografia de Chave Pública 206
Protocolo de Inscrição de Certificado Simples 206
Revogando Certificados Digitais 207
Usando Certificados Digitais 207
Topologias PKI 208
CA 208 de raiz única

CA hierárquica com CAs subordinadas 208
CAs de certificação cruzada 208

Capítulo 6 Introdução às Redes Privadas Virtuais (VPNs) 212
Fundamentais 214
O que são VPNs? 214
VPNs Site-to-Site vs. Acesso Remoto 215
Uma visão geral do IPsec 216
IKEv1 Fase 1 217
IKEv1 Fase 2 220
IKEv2 222
VPNs SSL 225
Considerações de Design de VPN SSL 227
Conectividade do Usuário 228

Conjunto de recursos do dispositivo VPN 228
xvi Guia de certificação oficial do Cisco CyberOps Associate CBROPS 200-201
Planejamento de Infraestrutura 228
Escopo de Implementação 228
Capítulo 7 Introdução ao Gerenciamento de Operações de Segurança 232
Fundamentais 235 Introdução ao Gerenciamento
de Identidade e Acesso 235 Fases do Ciclo de Vida de Identidade e
Acesso 235 Registro e Validação de Identidade 236
Provisionamento de Privilégios 236
Revisão de Acesso 236
Revogação de Acesso 236
Gerenciamento de Senha 236

Criação de Senha 237
Autenticação Multifator 239
Armazenamento e Transmissão de Senha 240

Redefinição de Senha 240
Sincronização de Senha 240
Gerenciamento de Diretório 241
Logon Único 243

Kerberos 245
SSO Federado 246
Linguagem de marcação de declaração de segurança 247

OAuth 249
OpenID Connect 251
Eventos de Segurança e Gerenciamento de Log 251
Coleta, Análise e Descarte de Logs 251
Syslog 253
Informações de Segurança e Gerenciador de Eventos 255
Orquestração, Automação e Resposta de Segurança (SOAR) 257
Sistemas de Gerenciamento de Caso SOC (Ticketing) 257
Gestão de Ativos 257
Inventário de Ativos 258
Propriedade de ativos 259

Conteúdo xvii
Políticas de Uso Aceitável e Devolução de Ativos 259

Classificação de Ativos 260
Rotulagem de Ativos 260
Manipulação de Ativos e Informações 260
Gerenciamento de mídia 260
Introdução ao Gerenciamento de Mobilidade Empresarial 261
Gerenciamento de Dispositivo Móvel 263

Arquitetura Cisco BYOD 264
Integração Cisco ISE e MDM 266
Gerenciamento de mobilidade empresarial Cisco Meraki 267
Configuração e Gerenciamento de Mudanças 268
Gerenciamento de Configuração 268
Planejamento 269
Identificando e Implementando a Configuração 270
Controlando as Mudanças de Configuração 270
Monitoramento 270
Gerenciamento de Mudanças 270
Gerenciamento de Vulnerabilidade 273
Identificação de Vulnerabilidade 273
Encontrando informações sobre uma vulnerabilidade 274
Varredura de Vulnerabilidade 276
Teste de Penetração (Avaliações de Hacking Ético) 277
Gerenciamento de Vulnerabilidade do Produto 278
Análise e Priorização de Vulnerabilidade 282
Correção de Vulnerabilidade 286
Gerenciamento de Patch 287
Capítulo 8 Fundamentos da Análise de Intrusão 294
“Eu já sei disso?” Tópicos Fundamentais 294
do Questionário 299
Introdução à Resposta a Incidentes 299
O Plano de Resposta a Incidentes 301

xviii Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201
O Processo de Resposta a Incidentes 302
A Fase de Preparação 302
A Fase de Detecção e Análise 302
Contenção, Erradicação e Recuperação 303
Atividade Pós-Incidente (Postmortem) 304
Compartilhamento e Coordenação de Informações 304
Estrutura da Equipe de Resposta a Incidentes 307
Equipes de Resposta a Incidentes de Segurança de Computador 307
Equipes de Resposta a Incidentes de Segurança do Produto 309
Vulnerabilidades de segurança e sua gravidade 310
Função de Encadeamento de Vulnerabilidade na Fixação de Priorização 312

Como Corrigir Vulnerabilidades Teóricas 313
Vulnerabilidades encontradas internamente versus externamente 313
CSIRTs Nacionais e Equipes de Resposta a Emergências de Computador 314

Centros de Coordenação 315
Provedores de Resposta a Incidentes e Provedores de Serviços de Segurança Gerenciada

(MSSPs) 315
Elementos de Artefato Comuns e Fontes de Eventos de Segurança 316
O 5-Tuplo 317
Hashes de arquivo 320
Dicas sobre como construir seu próprio laboratório 321
Falsos Positivos, Falsos Negativos, Verdadeiros Positivos e Verdadeiros Negativos 326
Compreendendo Expressões Regulares 327
Protocolos, Cabeçalhos de Protocolo e Análise de Intrusão 330
Como mapear tipos de eventos de segurança para tecnologias de origem 333
Capítulo 9 Introdução à Forense Digital 338
Fundamentais 341
Introdução à Forense Digital 341
O papel da atribuição em uma investigação de segurança cibernética 342
O Uso de Evidência Digital 342
Definindo Evidência Forense Digital 343
Entendendo melhor, corroborando e indireto ou circunstancial

Evidência 343
Conteúdo xix
Coletando Evidências de Endpoints e Servidores 344
Usando Criptografia 345
Analisando Metadados 345
Analisando Arquivos Excluídos 346

Coletando Evidências de Dispositivos Móveis 346
Coletando Evidências de Dispositivos de Infraestrutura de Rede 346
Cadeia de Custódia Probatória 348

Engenharia Reversa 351
Fundamentos do Microsoft Windows Forensics 353
Processos, Threads e Serviços 353
Gerenciamento de Memória 356
Registro do Windows 357
O Sistema de Arquivos do Windows 359
Registro mestre de inicialização (MBR) 359
A Tabela de Arquivo Mestre ($MFT) 360
Área de dados e espaço livre 360

FAT 360
NTFS 361
MFT 361
Carimbos de data e hora, MACE e fluxos de dados alternativos 361

EFI 362
Fundamentos do Linux Forense 362
Processos Linux 362
Ext4 366
Diário 366
Linux MBR e Swap File System 366


Capítulo 10 Telemetria e Análise de Dispositivos de Infraestrutura de Rede 370

Fundamentais 373
Registros de Infraestrutura de Rede 373
Network Time Protocol e por que é importante 374
Configurando o Syslog em um Cisco Router ou Switch 376

xx Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201
Logs de Firewall Tradicionais 378
Registro do Console 378
Registro de Terminal 379
Registro ASDM 379
Registro de E-mail 379
Log do Servidor Syslog 379
Registro de Armadilhas SNMP 379
Registro em Buffer 379
Configurando o registro no Cisco ASA 379
Syslog em Ambientes de Grande Escala 381
Splunk 381
Graylog 381
Elasticsearch, Logstash e Kibana (ELK) Pilha 382
Firewall de última geração e logs de IPS de última geração 385
Análise NetFlow 395

O que é um fluxo no NetFlow? 399
O Cache NetFlow 400
Versões do NetFlow 401
IPFIX 402
Arquitetura IPFIX 403

Mediadores IPFIX 404
Modelos IPFIX 404
Ferramentas de Análise Comercial NetFlow 404
Ferramentas de Análise NetFlow de Código Aberto 408
Análise de Big Data para Telemetria de Rede de Segurança Cibernética 411
Visibilidade e controle de aplicativos Cisco (AVC) 413
Captura de Pacote de Rede 414
tcpdump 415
Wireshark 417
Perfil de Rede 418
Taxa de transferência 419
Medindo o rendimento 421

Portas Usadas 423
Duração da Sessão 424
Espaço de Endereço de Ativo Crítico 424

Conteúdo xxi
Capítulo 11 Telemetria e Análise de Endpoint 430
básicos 435 Noções básicas sobre a telemetria
de host 435 Logs de endpoints de usuário 435
Logs de servidores 440 Host Profiling 441
Portas de Escuta 441
Usuários/Contas de Serviço Conectados 445
Executando Processos 448
Identificação de Aplicativos 450
Analisando pontos de extremidade do Windows 454
Processos e Threads do Windows 454
Alocação de Memória 456
O Registro do Windows 458
Instrumentação de Gerenciamento do Windows 460

Alças 462
Serviços 463
Logs de Eventos do Windows 466
Análise Linux e macOS 468

Processos no Linux 468
Garfos 471
Permissões 472
Links simbólicos 479
Demônios 480
Syslog 481 baseado em Linux
Logs de acesso do Apache 484
Registros NGINX 485
Tecnologias de Segurança de Endpoint 486

Software antimalware e antivírus 486
Firewalls baseados em host e prevenção de intrusão baseada em host 488
Lista de permissões e lista negra em nível de aplicativo 490
Sandboxing Baseado em Sistema 491
Sandboxes no Contexto de Resposta a Incidentes 493

xxii Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201
Capítulo 12 Desafios no Centro de Operações de Segurança (SOC) 496
“Eu já sei disso?” Questionário 496 Tópicos básicos
499 Desafios de monitoramento de segurança no
SOC 499 Monitoramento e criptografia de segurança 500
Monitoramento de segurança e conversão de endereços de
rede 501 Monitoramento de segurança e sincronização de tempo de correlação
de eventos 502 Túnel de DNS e outros métodos de exfiltração 502 Monitoramento de segurança
e Tor 504 Monitoramento de segurança e peer-to -Comunicação de pares 505
Técnicas Adicionais de Evasão e Ofuscação 506
Esgotamento de Recursos 508
Fragmentação de Tráfego 509
Interpretação Errada em Nível de Protocolo 510
Tempo de Tráfego, Substituição e Inserção 511
Girando 512
Capítulo 13 A arte da análise de dados e eventos 520 “Já sei disso?”
Questionário 520 Tópicos Fundamentais 522
Normalizando Dados 522
Interpretando Valores de Dados Comuns em um Formato Universal 523
Usando a Correlação de 5 Tuplas para Responder a Incidentes de Segurança 523
Usando Análise Retrospectiva e Identificando Arquivos Maliciosos 525
Identificando um Arquivo Malicioso 526
Mapeando a inteligência de ameaças com DNS e outros artefatos 527
Usando Análise Determinística Versus Probabilística 527

Conteúdo xxiii
Capítulo 14 Classificando eventos de intrusão em categorias 530 “Já sei disso?”
Questionário 530 Tópicos Fundamentais 532
Modelo Diamante de Intrusão 532
Cadeia de Morte Cibernética Modelo 539
Reconhecimento 540
Armamento 543
Entrega 544
Exploração 545
Instalação 545
Comando e Controle 546
Ação nos Objetivos 547

The Kill Chain vs. ATT&CK 548 do MITRE
Capítulo 15 Introdução à Caça a Ameaças 552
básicos 554 O que é caça a ameaças? 554
Threat Hunting vs. Operações SOC Tradicionais vs. Vulnerability Management

555 O Processo de Busca de Ameaças 556
Níveis de Maturidade de Caça a Ameaças 557
Threat Hunting e ATT&CK 558 da MITRE

Emulação Adversarial Automatizada 563
Estudo de Caso de Caça a Ameaças 567
Caça a Ameaças, Honeypots, Honeynets e Defesa Ativa 571

xxiv Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201
Capítulo 16 Preparação Final 574

Atividades Práticas 574
Plano Sugerido para Revisão Final e Estudo 574

Resumo 575
Glossário de Termos Chave 577
Apêndice A Respostas à pergunta “Já sei disso?” Testes e Perguntas de Revisão 592
Apêndice B Noções básicas sobre os fundamentos das operações de segurança cibernética da Cisco
Atualizações do Exame CBROPS 200-201 614
Índice 616
Elementos on-line
Apêndice C Planejador de Estudos
Glossário de termos-chave
xxv
Convenções de sintaxe de comando

As convenções usadas para apresentar a sintaxe de comando neste livro são as mesmas convenções
usadas no IOS Command Reference. O Command Reference descreve essas convenções da seguinte
forma:
ÿ Negrito indica comandos e palavras-chave que são inseridos literalmente como mostrado. Em
exemplos e saídas de configuração reais (sem sintaxe de comando geral), negrito indica
comandos que são inseridos manualmente pelo usuário (como um comando show ).
ÿ Itálico indica argumentos para os quais você fornece valores reais.
ÿ Barras verticais (|) separam elementos alternativos mutuamente exclusivos.
ÿ Colchetes ([ ]) indicam um elemento opcional.
ÿ Chaves ({ }) indicam uma escolha obrigatória.
ÿ Chaves entre colchetes ([{ }]) indicam uma escolha obrigatória dentro de um elemento opcional.
xxvi Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201
Introdução
O exame Understanding Cisco Cybersecurity Operations Fundamentals (CBROPS) é um exame de 120
minutos que inclui de 95 a 105 perguntas. Este exame e currículo são projetados para preparar os
analistas de segurança cibernética do futuro! A certificação CyberOps Associate fornece um caminho
para preparar indivíduos que buscam uma carreira de segurança cibernética e cargos de nível associado
em centros de operações de segurança (SOCs). O exame abrange os fundamentos que você precisa para
prevenir, detectar, analisar e responder a incidentes de segurança cibernética.
DICA Você pode revisar o modelo do exame no site da Cisco em https://www.cisco.com/c/

en/us/training-events/training-certifications/exams/current-list/200-201-cbrops.html .
Este livro fornece a base e abrange os tópicos necessários para iniciar sua jornada de certificação
de Associado de CyberOps.
A certificação Cisco CyberOps Associate

A certificação Cisco CyberOps Associate é uma das certificações mais respeitadas do setor. Não há
pré-requisitos formais para a certificação CyberOps Associate.
Em outras palavras, você não precisa passar em nenhum outro exame ou certificação para fazer o
exame CBROPS 200-201. Por outro lado, você deve ter uma boa compreensão dos conceitos básicos
de rede e TI.
A Cisco considera candidatos ideais aqueles que possuem o seguinte:
ÿ Conhecimento dos conceitos fundamentais de segurança
ÿ Uma compreensão do monitoramento de segurança
ÿ Uma compreensão da análise de intrusão baseada em host e na rede
ÿ Uma compreensão das políticas e procedimentos de segurança relacionados à resposta a incidentes

e forense digital
Os objetivos do exame (domínios)

O exame Understanding Cisco Cybersecurity Operations Fundamentals (CBROPS 200-201) é dividido
em cinco domínios principais. O conteúdo deste livro cobre cada um dos domínios e os subtópicos
incluídos neles, conforme ilustrado nas descrições a seguir.
A tabela a seguir detalha cada um dos domínios representados no exame.

Introdução xxvii
Domínio Percentual de Representação no Exame
1: Conceitos de segurança 20%
2: Monitoramento de segurança 25%
3: Análise baseada em host 20%
4: Análise de Intrusão de Rede 20%
5: Políticas e Procedimentos de Segurança 15%
Total 100%
Aqui estão os detalhes de cada domínio:
Domínio 1: Conceitos de Segurança: Este domínio é abordado nos Capítulos 1, 2, 3 e 4.
1.1 Descreva a tríade da CIA
1.2 Comparar implantações de segurança
1.2.a Sistemas de segurança de rede, endpoint e aplicativo
1.2.b Proteções sem agente e baseadas em agente
1.2.c Antivírus e antimalware legados
1.2.d SIEM, SOAR e gerenciamento de log
1.3 Descrever os termos de segurança
1.3.a Inteligência de ameaças (TI)
1.3.b Caça a ameaças
1.3.c Análise de malware
1.3.d Ator ameaçador
1.3.e Executar automação de livros (RBA)
1.3.f Engenharia reversa
1.3.g Detecção de anomalia na janela deslizante
1.3.h Princípio do menor privilégio
1.3.i Confiança zero
1.3.j Plataforma de inteligência de ameaças (TIP)
1.4 Comparar conceitos de segurança
1.4.a Risco (pontuação de risco/ponderação de risco, redução de risco, avaliação de risco)
1.4.b Ameaça
1.4.c Vulnerabilidade
1.4.d Explorar
xxviii Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201
1.5 Descreva os princípios da estratégia de defesa em profundidade
1.6 Comparar modelos de controle de acesso
1.6.a Controle de acesso discricionário
1.6.b Controle de acesso obrigatório
1.6.c Controle de acesso não discricionário
1.6.d Autenticação, autorização, contabilidade
1.6.e Controle de acesso baseado em regras
1.6.f Controle de acesso baseado em tempo
1.6.g Controle de acesso baseado em função
1.7 Descreva os termos definidos no CVSS
1.7.a Vetor de ataque
1.7.b Complexidade do ataque
1.7.c Privilégios necessários
1.7.d Interação do usuário
1.7.e Escopo
1.8 Identifique os desafios da visibilidade de dados (rede, host e nuvem) na detecção
1.9 Identifique a perda potencial de dados dos perfis de tráfego fornecidos
1.10 Interpretar a abordagem de 5 tuplas para isolar um host comprometido em um conjunto agrupado
de logs
1.11 Comparar detecção baseada em regras versus detecção comportamental e estatística
Domínio 2: Monitoramento de segurança: Este domínio é abordado principalmente nos Capítulos 5, 7, 10, 12, 14 e 15.
2.1 Comparar superfície de ataque e vulnerabilidade
2.2 Identifique os tipos de dados fornecidos por essas tecnologias
2.2.um dump TCP
2.2.b NetFlow
2.2.c Firewall de próxima geração
2.2.d Firewall com estado tradicional
2.2.e Visibilidade e controle do aplicativo
2.2.f Filtragem de conteúdo da Web
2.2.g Filtragem de conteúdo de e-mail

Introdução xxix
2.3 Descreva o impacto dessas tecnologias na visibilidade dos dados
2.3.a Lista de controle de acesso
2.3.b NAT / PAT
2.3.c Túneis
2.3.d TOR
2.3.e Criptografia
2.3.f P2P
2.3.g Encapsulamento
2.3.h Balanceamento de carga
2.4 Descreva os usos desses tipos de dados no monitoramento de segurança
2.4.a Captura de pacote completo
2.4.b Dados da sessão
2.4.c Dados da transação
2.4.d Dados estatísticos
2.4.e Metadados
2.4.f Dados de alerta
2.5 Descrever ataques de rede, como baseado em protocolo, negação de serviço, distribuído
negação de serviço e man-in-the-middle
2.6 Descrever ataques a aplicativos da Web, como injeção de SQL, injeções de comando e scripts entre
sites
2.7 Descrever ataques de engenharia social
2.8 Descrever ataques baseados em endpoints, como estouro de buffer, comando e

controle (C2), malware e ransomware
2.9 Descrever técnicas de evasão e ofuscação, como tunelamento, criptografia,

e proxies
2.10 Descrever o impacto dos certificados na segurança (inclui PKI, público/privado cruzando a rede,
assimétrico/simétrico)
2.11 Identifique os componentes do certificado em um determinado cenário
2.11.a Cipher-suite
2.11.b Certificados X.509
2.11.c Troca de chaves
2.11.d Versão do protocolo
2.11.e PKCS
xxx Guia de certificação oficial do Cisco CyberOps Associate CBROPS 200-201
Domínio 3: Análise baseada em host: Este domínio é abordado principalmente no Capítulo 11.
3.1 Descreva a funcionalidade dessas tecnologias de endpoint em relação à segurança

monitoramento
3.1.a Detecção de intrusão baseada em host
3.1.b Antimalware e antivírus
3.1.c Firewall baseado em host
3.1.d Lista de permissões/lista negra no nível do aplicativo
3.1.e Sandboxing baseado em sistemas (como Chrome, Java, Adobe Reader)
3.2 Identificar componentes de um sistema operacional (como Windows e Linux) em um

determinado cenário
3.3 Descreva o papel da atribuição em uma investigação
3.3.a Ativos
3.3.b Ator ameaçador
3.3.c Indicadores de comprometimento
3.3.d Indicadores de ataque
3.3.e Cadeia de custódia
3.4 Identifique o tipo de evidência usada com base nos logs fornecidos
3.4.a Melhor evidência
3.4.b Evidência corroborativa
3.4.c Evidência indireta
3.5 Comparar imagem de disco adulterada e não adulterada
3.6 Interpretar logs de sistema operacional, aplicativo ou linha de comando para identificar
um evento
3.7 Interpretar o relatório de saída de uma ferramenta de análise de malware (como uma câmara de
detonação ou sandbox)
3.7.a Hashes
3.7.b URLs
3.7.c Sistemas, eventos e redes
Domínio 4: Análise de Intrusão de Rede: Este domínio é abordado principalmente nos Capítulos 10, 13 e 15.
4.1 Mapeie os eventos fornecidos para tecnologias de origem
4.1.a IDS/IPS
4.1.b Firewall
Introdução xxxi
4.1.c Controle de aplicativos de rede
4.1.d Registros de proxy
4.1.e Antivírus
4.1.f Dados de transação (NetFlow)
4.2 Comparar impacto e nenhum impacto para esses itens
4.2.a Falso positivo
4.2.b Falso negativo
4.2.c Verdadeiro positivo
4.2.d Verdadeiro negativo
4.2.e Benigno
4.3 Compare a inspeção profunda de pacotes com filtragem de pacotes e firewall com estado
Operação
4.4 Comparar interrogação de tráfego em linha e taps ou monitoramento de tráfego
4.5 Comparar as características dos dados obtidos de taps ou monitoramento de tráfego e dados
transacionais (NetFlow) na análise do tráfego de rede
4.6 Extraia arquivos de um fluxo TCP quando recebe um arquivo PCAP e Wireshark
4.7 Identificar elementos-chave em uma intrusão de um determinado arquivo PCAP
4.7.a Endereço de origem
4.7.b Endereço de destino
4.7.c Porta de origem
4.7.d Porta de destino
4.7.e Protocolos
4.7.f Cargas úteis
4.8 Interpretar os campos nos cabeçalhos de protocolo relacionados à análise de intrusão
4.8. um quadro Ethernet
4.8.b IPv4
4.8.c IPv6
4.8.d TCP
4.8.e UDP
4.8.f ICMP
4.8.g DNS
4.8.h SMTP/POP3/IMAP
xxxii Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201
4.8.i HTTP/HTTPS/HTTP2
4.8.j ARP
4.9 Interpretar elementos de artefatos comuns de um evento para identificar um alerta
4.9.a endereço IP (origem/destino)
4.9.b Identidade da porta do cliente e do servidor
4.9.c Processo (arquivo ou registro)
4.9.d Sistema (chamadas de API)
4.9.e Hashes
4.9.f URI/URL
4.10 Interpretar expressões regulares básicas
Domínio 5: Proteção e detecção de endpoints: Este domínio é abordado principalmente nos Capítulos 7,
8, 9, 14 e 15.
5.1 Descrever os conceitos de gestão
5.1.a Gestão de ativos
5.1.b Gerenciamento de configuração
5.1.c Gerenciamento de dispositivos móveis
5.1.d Gerenciamento de patches
5.1.e Gerenciamento de vulnerabilidades
5.2 Descreva os elementos em um plano de resposta a incidentes conforme declarado no NIST.SP800-61
5.3 Aplicar o processo de tratamento de incidentes (como NIST.SP800-61) a um evento
5.4 Mapear elementos para essas etapas de análise com base no NIST.SP800-61
5.4.a Preparação
5.4.b Detecção e análise
5.4.c Contenção, erradicação e recuperação
5.4.d Análise pós-incidente (lições aprendidas)
5.5 Mapear as partes interessadas da organização em relação às categorias NIST IR (CMMC,

NIST.SP800-61)
5.5.a Preparação
5.5.b Detecção e análise

Introdução xxxiii
5.5.c Contenção, erradicação e recuperação
5.5.d Análise pós-incidente (lições aprendidas)
5.6 Descrever os conceitos conforme documentado no NIST.SP800-86
5.6.a Ordem de coleta de evidências
5.6.b Integridade dos dados
5.6.c Preservação de dados
5.6.d Coleta de dados voláteis
5.7 Identifique esses elementos usados para criação de perfil de rede
5.7.a Rendimento total
5.7.b Duração da sessão
5.7.c Portas usadas
5.7.d Espaço de endereço de ativo crítico
5.8 Identifique esses elementos usados para criação de perfil do servidor
5.8.a Portas de escuta
5.8.b Usuários/contas de serviço conectados
5.8.c Processos em execução
5.8.d Tarefas em execução
5.8.e Aplicativos
5.9 Identificar dados protegidos em uma rede
5.9.a PII
5.9.b PSI
5.9.c PHI
5.9.d Propriedade intelectual
5.10 Classifique os eventos de intrusão em categorias definidas pelos modelos de segurança, como Cyber Kill
Chain Model e Diamond Model of Intrusion
5.11 Descreva a relação das métricas do SOC com a análise do escopo (tempo para detectar, tempo
para conter, tempo para responder, tempo para controlar)
Passos para passar no exame CBROPS 200-201

Não há pré-requisitos para o exame CBROPS 200-201; no entanto, os alunos devem ter uma compreensão dos
conceitos de rede e segurança cibernética.
xxxiv Guia de certificação oficial do Cisco CyberOps Associate CBROPS 200-201
Inscrevendo-se para o exame

As etapas necessárias para se inscrever no exame CBROPS 200-201 são as seguintes:
1. Crie uma conta em https://home.pearsonvue.com/cisco.

2. Preencha o Contrato de Exame, atestando a veracidade de suas afirmações
quanto à experiência profissional e se comprometendo legalmente com o cumprimento das políticas
de testes.
3. Envie a taxa do exame.
Fatos sobre o exame

O exame é um teste baseado em computador. O exame consiste apenas em questões de múltipla escolha.
Você deve trazer um cartão de identificação emitido pelo governo. Não serão aceitas outras formas de
identificação.
DICA Consulte o site de certificação da Cisco em https://cisco.com/go/certifications para obter mais

informações sobre esta e outras certificações da Cisco.
Sobre o Cisco CyberOps Associate CBROPS

Guia Oficial de Certificação 200-201
Este livro abrange as áreas temáticas do exame CBROPS 200-201 e usa vários recursos para ajudá-lo a
entender os tópicos e se preparar para o exame.
Objetivos e métodos
Este livro usa várias metodologias-chave para ajudá-lo a descobrir os tópicos do exame sobre os quais você
precisa de mais revisão, para ajudá-lo a entender e lembrar totalmente desses detalhes e para ajudá-lo a
provar a si mesmo que reteve seu conhecimento desses tópicos. Este livro não tenta ajudá-lo a passar no
exame apenas por memorização; ele procura ajudá-lo a realmente aprender e entender os tópicos. Este livro
foi desenvolvido para ajudá-lo a passar no exame Implementação e compreensão dos fundamentos de
operações de segurança cibernética da Cisco (200-201 CBROPS) usando os seguintes métodos:
ÿ Ajudando você a descobrir quais tópicos do exame você não domina
ÿ Fornecendo explicações e informações para preencher suas lacunas de conhecimento
ÿ Fornecer exercícios que melhorem sua capacidade de recordar e deduzir as respostas para
perguntas do teste
ÿ Fornecer exercícios práticos sobre os tópicos e o processo de teste por meio de perguntas de teste
no site complementar
Introdução xxxv
Recursos do livro
Para ajudá-lo a personalizar seu tempo de estudo usando este livro, os capítulos principais têm vários
recursos que o ajudam a fazer o melhor uso do seu tempo:
ÿ Tópicos básicos: essas são as seções principais de cada capítulo. Eles explicam os conceitos para
os tópicos desse capítulo.
ÿ Tarefas de preparação para o exame: Após a seção "Tópicos básicos" de cada capítulo, o
A seção “Tarefas de preparação para o exame” lista uma série de atividades de estudo que você deve
fazer no final do capítulo:
ÿ Revisar todos os tópicos principais: o ícone Tópico principal aparece ao lado dos itens mais
importantes na seção "Tópicos básicos" do capítulo. A atividade Revisar Todos os Tópicos-Chave
lista os tópicos-chave do capítulo, juntamente com seus números de página. Embora o conteúdo de
todo o capítulo possa estar no exame, você definitivamente deve conhecer as informações listadas
em cada tópico-chave, portanto, revise-as.
ÿ Definir termos-chave: embora o exame Entendendo os fundamentos de operações de segurança

cibernética da Cisco (200-201 CBROPS) provavelmente não faça uma pergunta como "Definir este
termo", o exame exige que você aprenda e conheça muita terminologia de segurança cibernética.
Esta seção lista os termos mais importantes do capítulo, pedindo que você escreva uma definição
curta e compare sua resposta com o glossário no final do livro.
ÿ Perguntas de revisão: confirme se você entende o conteúdo que acabou de abordar

respondendo a essas perguntas e lendo as explicações das respostas.
ÿ Exame prático baseado na Web: o site complementar inclui o Pearson Cert

Mecanismo de teste de prática, que permite que você faça perguntas do exame de prática. Use-o para
se preparar com um exame de amostra e para identificar tópicos onde você precisa estudar mais.
Como este livro está organizado

Este livro contém 15 capítulos principais — Capítulos 1 a 15. O Capítulo 16 inclui dicas de preparação e
sugestões sobre como abordar o exame. Cada capítulo principal abrange um subconjunto dos tópicos do
exame Understanding Cisco Cybersecurity Operations Fundamentals (200-201 CBROPS). Os capítulos
principais mapeiam as áreas temáticas do Cisco CyberOps Associate e cobrem os conceitos e tecnologias que
você encontrará no exame.
O site complementar para revisão de conteúdo online

Todos os elementos de revisão eletrônica, bem como outros componentes eletrônicos do livro, existem no
site que acompanha este livro.
Para acessar o site complementar, que lhe dá acesso ao conteúdo eletrônico deste livro, comece
estabelecendo um login em www.ciscopress.com e registrando seu livro.
Para isso, basta acessar www.ciscopress.com/register e digitar o ISBN do livro impresso: 9780136807834.
Após registrar seu livro, vá para a página da sua conta e clique na aba Produtos Registrados . A partir
daí, clique no link Access Bonus Content para obter acesso ao site complementar do livro.
xxxvi Guia de certificação oficial do Cisco CyberOps Associate CBROPS 200-201
Observe que se você comprar o eBook Premium Edition e a versão Practice Test deste livro da Cisco Press,
seu livro será registrado automaticamente na página da sua conta. Basta ir à página da sua conta, clicar na
guia Produtos registrados e selecionar Acessar conteúdo bônus para acessar o site complementar do
livro.
Observe que muitos de nossos arquivos de conteúdo complementares podem ser muito grandes, especialmente arquivos
de imagem e vídeo.
Se você não conseguir localizar os arquivos para este título seguindo estas etapas, visite
www.pearsonITcertification.com/contact e selecione a opção Site Problems/Comments .
Nossos representantes de atendimento ao cliente irão ajudá-lo.
Como acessar o aplicativo Pearson Test Prep (PTP)

Você tem duas opções para instalar e usar o aplicativo Pearson Test Prep: um aplicativo da Web e um
aplicativo de desktop. Para usar o aplicativo Pearson Test Prep, comece localizando o código de registro
que acompanha o livro. Você pode encontrar o código das seguintes maneiras:
ÿ Imprimir livro: Procure na capa de papelão na parte de trás do livro um pedaço de

papel com o código PTP exclusivo do seu livro.
ÿ Premium Edition: se você comprar o eBook Premium Edition e o teste prático

diretamente do site da Cisco Press, o código será preenchido na página da sua conta após a
compra. Basta fazer login em www.ciscopress.com, clicar em conta para ver os detalhes da sua
conta e clicar na guia de compras digitais .
ÿ Amazon Kindle: Para quem comprou uma edição Kindle da Amazon, o acesso
código será fornecido diretamente da Amazon.
ÿ E-books de outras livrarias: Observe que, se você comprar uma versão de e-book de qualquer
outra fonte, o teste prático não está incluído porque outros fornecedores até o momento não optaram
por fornecer o código de acesso exclusivo necessário.
NOTA Não perca o código de ativação, pois é o único meio pelo qual você pode acessar o conteúdo de
controle de qualidade com o livro.
Depois de ter o código de acesso, para encontrar instruções sobre o aplicativo Web PTP e o aplicativo para
desktop, siga estas etapas:
Etapa 1. Abra o site complementar deste livro, conforme mostrado anteriormente nesta introdução
sob o título “The Companion Website for Online Content Review”.
Etapa 2. Clique no botão Exames práticos .

Etapa 3. Siga as instruções listadas para instalar o aplicativo de desktop e para usar o aplicativo da web.
Observe que se você quiser usar o aplicativo da web apenas neste momento, basta
navegar até www.pearsontestprep.com, estabelecer um login gratuito se ainda não tiver um e registrar
os testes práticos deste livro usando o código de registro que você acabou de encontrar. O processo deve
levar apenas alguns minutos.
Introdução xxxvii
NOTA Clientes de e-book da Amazon (Kindle): É fácil perder o e-mail da Amazon que lista seu código de
acesso PTP. Logo após a compra do e-book Kindle, a Amazon deve enviar um e-mail. No entanto, o e-mail usa
um texto muito genérico e não faz menção específica ao PTP ou aos exames práticos. Para encontrar seu código,
leia todos os e-mails da Amazon depois de comprar o livro. Além disso, faça as verificações usuais para garantir
que seu e-mail chegue, como verificar sua pasta de spam.
NOTA Outros clientes de e-books: No momento da publicação, apenas a editora e a Amazon fornecem
códigos de acesso PTP quando você compra suas edições de e-book deste livro.
Personalizando seus exames

Quando estiver na tela de configurações do exame, você pode optar por fazer os exames em um dos três
modos:
ÿ Modo de estudo: permite que você personalize totalmente seus exames e revise as respostas durante o
exame. Normalmente, esse é o modo que você usaria primeiro para avaliar seu conhecimento e identificar
lacunas de informação.
ÿ Modo de exame prático: bloqueia certas opções de personalização, pois está apresentando um
experiência de exame realista. Use este modo quando estiver se preparando para testar sua prontidão
para o exame.
ÿ Modo Flash Card: retira as respostas e apresenta apenas a pergunta

tronco. Esse modo é ótimo para a preparação em estágio avançado, quando você realmente deseja se
desafiar a fornecer respostas sem o benefício de ver opções de múltipla escolha.
Este modo não fornece os relatórios de pontuação detalhados que os outros dois modos, portanto, você
não deve usá-lo se estiver tentando identificar lacunas de conhecimento.
Além desses três modos, você poderá selecionar a fonte de suas perguntas.
Você pode optar por fazer exames que abrangem todos os capítulos ou pode restringir sua seleção a
apenas um único capítulo ou aos capítulos que compõem partes específicas do livro.
Todos os capítulos são selecionados por padrão. Se você quiser restringir seu foco a capítulos individuais,
simplesmente desmarque todos os capítulos e selecione apenas aqueles em que deseja focar na área de
Objetivos.
Você também pode selecionar os bancos de exames nos quais se concentrar. Cada banco de exame vem
completo com um exame completo de perguntas que cobrem tópicos em cada capítulo. Os dois exames
impressos no livro estão disponíveis para você, bem como dois exames adicionais de perguntas exclusivas.
Você pode fazer com que o mecanismo de teste forneça exames de todos os quatro bancos ou apenas de um
banco individual selecionando os bancos desejados na área do banco de exames.
Existem várias outras personalizações que você pode fazer em seu exame na tela de configurações do
exame, como o horário do exame, o número de perguntas atendidas, se para randomizar perguntas e
respostas, se deve mostrar o número de respostas corretas para várias responder a perguntas e se deve
servir apenas tipos específicos de
xxxviii Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201
questões. Você também pode criar bancos de teste personalizados selecionando apenas perguntas que
você marcou ou perguntas nas quais você adicionou notas.
Atualizando seus exames

Se estiver usando a versão on-line do software Pearson Test Prep, você deve sempre ter acesso à versão
mais recente do software, bem como aos dados do exame. Se você estiver usando a versão para desktop do
Windows, sempre que iniciar o software enquanto estiver conectado à Internet, ele verificará se há atualizações
nos dados do seu exame e baixará automaticamente as alterações feitas desde a última vez que você usou o
software.
Às vezes, devido a muitos fatores, os dados do exame podem não ser totalmente baixados quando
você ativa seu exame. Se você achar que faltam figuras ou exposições, talvez seja necessário atualizar
manualmente seus exames. Para atualizar um exame específico que você já ativou e baixou, basta clicar na
guia Ferramentas e clicar no botão Atualizar produtos . Novamente, esse é um problema apenas com o
aplicativo do Windows para desktop.
Se você deseja verificar atualizações para o software do mecanismo de exame Pearson Test Prep,
versão para desktop do Windows, basta clicar na guia Ferramentas e clicar no aplicativo Atualizar
botão. Isso garante que você esteja executando a versão mais recente do mecanismo de software.
Lista de créditos
Figura 1-2: Captura de tela de um aviso de segurança da Cisco © The MITRE Corporation
Figura 1-3: Captura de tela do Banco de Dados Nacional de Vulnerabilidades © National Institute of
Padrões e Tecnologia
Figura 1-4: Captura de tela do banco de dados de exploração © OffSec Services Limited
Figura 4-1: Exemplo de captura de tela do mecanismo de pesquisa Shodan © Shodan
Figura 5-5: Captura de tela das raízes do sistema Mac OS X © Apple, Inc
Figura 8-2: Captura de tela de exemplos de eventos de segurança e incidentes confirmados

© Bamm Visscher
Figura 8-9: Captura de tela de logs de um switch Cisco no ELK © Wireshark
Figura 8-10: Captura de tela do seguinte no fluxo TCP no Wireshark © Wireshark
Figura 8-13: Captura de tela de exemplo de eventos de segurança no Sguil © Bamm Visscher
Figura 8-14: Captura de tela da visão geral do painel do Kibana © 2020. Elasticsearch BV
Figura 8-15: Captura de tela da contagem de alertas NIDS, categorias e estatísticas de classificação ©
2020. Elasticsearch BV
Figura 8-16: Captura de tela da gravidade do alerta NIDS, as principais portas de origem e destino ©
2020. Elasticsearch BV
Figura 8-17: Captura de tela dos principais endereços IP de origem e destino que geraram alertas NIDS
no Snort © 2020. Elasticsearch BV
Figura 8-18: Captura de tela do exemplo de visualização do mapa ELK © 2020. Elasticsearch BV
Figura 8-23: Captura de tela de exemplos de captura de pacote de uma exploração contra uma vulnerabilidade
do Windows © Microsoft 2019
Figura 9-1: Captura de tela da aquisição de uma imagem de disco usando Guymager © Guymager
Introdução xxxix
Figura 9-2: Captura de tela da distribuição CAINE © CAINE
Figura 9-3: Captura de tela de criação de uma imagem de disco com o comando dd Linux © 2020
A Fundação Linux
Figura 9-5: Captura de tela da plataforma de engenharia reversa Ghidra © Ghidra
Figura 10-2: Captura de tela de logs de um switch Cisco no ELK © 2020. Elasticsearch BV
Figura 10-3: Captura de tela da visualização de alertas de segurança no Kibana © 2020.

Elasticsearch BV
Figura 10-4: Captura de tela de alertas NDIS no Kibana © 2020. Elasticsearch BV
Figura 10-5: Captura de tela da visualização de diferentes categorias de alertas do NIDS © 2020.
Elasticsearch BV
Figura 11-1: Captura de tela do Gerenciador de Tarefas do Windows © Microsoft 2019
Figura 11-2: Captura de tela da execução do comando tasklist na linha de comando do Windows ©
Microsoft 2019
Figura 11-3: Captura de tela do uso do comando ps -e em um sistema macOS © Apple, Inc
Figura 11-5 Captura de tela do Windows Task Manager mostrando aplicativos por usuário © Microsoft
2019
Figura 11-6: Captura de tela do monitor de atividade do macOS © Apple Inc
Figura 11-12: Captura de tela do Editor do Registro do Windows © Microsoft 2019
Figura 11-13: Captura de tela do computador Windows mostrando o serviço WMI © Microsoft 2019
Figura 11-15: Captura de tela do Windows Services Control Manager © Microsoft 2019
Figura 11-16: Exemplo de captura de tela do Visualizador de Eventos do Windows © Microsoft 2019
Figura 11-17: Captura de tela da execução do comando ps aux © Microsoft 2019
Figura 11-21: Captura de tela da ferramenta online Permissions Calculator © Dan's Tools
Figura 11-23: Captura de tela da ferramenta de logs de acesso NGINX © Nginx, Inc
Citação do Capítulo 13, “VERIS é um conjunto de métricas projetadas para fornecer uma linguagem comum
para descrever incidentes de segurança de maneira estruturada e repetível. O objetivo geral é estabelecer
uma base sobre a qual possamos aprender de forma construtiva e cooperativa com nossas experiências para
gerenciar melhor os riscos.” VISÃO GERAL DO VERIS , http://veriscommunity.net/veris-overview.html
Figura 14-5: Captura de tela do exemplo de malware MITRE ATT&CK © The MITRE
Corporação
Figura 14-6: Captura de tela do MITRE ATT&CK Navigator © The MITRE Corporation
Figura 14-7: Captura de tela da adição de metadados ao MITRE ATT&CK Navigator © The MITRE
Corporation
Figura 14-11: Captura de tela da consulta de exposição de protocolo inseguro no Shodan © Shodan
Figura 15-8: Captura de tela do exemplo Mimikatz no MITRE ATT&CK Navigator © The MITRE
Corporation
Figura 15-16: Captura de tela do exemplo Mimikatz no MITRE ATT&CK Navigator © The MITRE
Corporation
CAPÍTULO 12
Desafios na Segurança
Centro de Operações (SOC)
Este capítulo abrange os seguintes tópicos:

Desafios de monitoramento de segurança no SOC
Técnicas Adicionais de Evasão e Ofuscação
Existem vários desafios operacionais de monitoramento de segurança, incluindo criptografia, tradução de

endereços de rede (NAT), sincronização de tempo, Tor e comunicações ponto a ponto.
Este capítulo aborda esses desafios operacionais em detalhes. Os invasores tentam abusar das
vulnerabilidades do sistema e da rede para realizar algo; no entanto, há outro elemento que pode fazer ou
quebrar o sucesso do ataque. Os invasores precisam ser furtivos e capazes de evitar técnicas e tecnologias
de segurança. Os atacantes devem considerar a quantidade de exposição que um ataque pode causar,
bem como as contramedidas esperadas se o ataque for percebido pelas medidas de defesa do alvo. Eles
precisam cobrir seus rastros.
Neste capítulo, você aprenderá como os invasores obtêm acesso furtivo e os truques usados para
impactar negativamente a detecção e as tecnologias forenses.
“Eu já sei disso?” Questionário

O “eu já sei disso?” O questionário permite que você avalie se deve ler todo este capítulo
completamente ou pular para a seção “Tarefas de preparação para exames”. Se você estiver em
dúvida sobre suas respostas a essas perguntas ou sua própria avaliação de seu conhecimento sobre os
tópicos, leia o capítulo inteiro. A Tabela 12-1 lista os principais títulos deste capítulo e seus correspondentes
“Já sei disso?” perguntas do quiz. Você pode encontrar as respostas no Apêndice A, “Respostas à pergunta
'Já sei disso?' Questionários e perguntas de revisão.”
Tabela 12-1 “Eu já sei disso?” Mapeamento de seção a pergunta dos tópicos básicos
Seção de Tópicos Fundamentais Questões
Desafios de monitoramento de segurança no SOC 1–10
Técnicas Adicionais de Evasão e Ofuscação 11–20
1. Quais dos seguintes são benefícios da criptografia?

uma. Comunicação de malware
b. Privacidade e confidencialidade
c. Mitigação de malware
d. Identificação de malware
2. Por que a criptografia pode ser um desafio para o monitoramento de segurança?
uma. A criptografia introduz latência. b. A
criptografia introduz requisitos de processamento adicionais pela CPU. c. A criptografia pode ser
usada por agentes de ameaças como um método de evasão e ofuscação, e as ferramentas de monitoramento
de segurança podem não conseguir inspecionar o tráfego criptografado.
d. A criptografia pode ser usada por invasores para monitorar túneis VPN.
3. A tradução de endereços de rede (NAT) apresenta desafios na identificação e atribuição de terminais em

uma vítima de segurança. O desafio de identificação se aplica tanto à vítima quanto à fonte do ataque.
Quais ferramentas estão disponíveis para correlacionar eventos de monitoramento de segurança em
ambientes onde o NAT é implantado? uma. NetFlow
b. Cisco Stealthwatch System c.
Sistemas de prevenção de intrusão (IPS) d.
Protocolos de criptografia
4. Se a data e a hora não estiverem sincronizadas entre a rede e os dispositivos de segurança, será quase
impossível correlacionar os logs. Qual protocolo é recomendado como uma prática recomendada para
implantar para mitigar esse problema? uma. Tradução do Endereço da Rede
b. Tradução de endereço de porta
c. Network Time Protocol (NTP) d. Native
Time Protocol (NTP)

5. O que é um túnel DNS?
uma. Um tipo de túnel VPN que usa DNS. b. Um tipo
de implantação MPLS que usa DNS. c. O DNS não foi criado
para encapsulamento, mas algumas ferramentas o usaram para encapsular dados na carga útil de pacotes
DNS.
d. Um protocolo de encapsulamento de criptografia que usa a porta UDP 53 do DNS.
6. Quais das opções a seguir são exemplos de ferramentas de encapsulamento de DNS? (Selecione tudo que se aplica.)
uma. DeNiSe
b. dns2tcp c.
DNScapy
d. DNStor
7. O que é Tor?
uma. Um protocolo blockchain b.
Um protocolo de hash c. Um
cliente de túnel VPN
d. Uma ferramenta gratuita que permite que seus usuários naveguem na Internet anonimamente
498 Cisco CyberOps Associate CBROPS 200-201 Guia oficial de certificação
8. O que é um nó de saída Tor?
uma. A rede Tor criptografada b. O

último nó Tor ou os gateways onde o tráfego criptografado Tor sai para o
Internet
c. O nó Tor que realiza a criptografia d. O navegador
Tor instalado em seu sistema para sair da Internet 9. O que é uma vulnerabilidade
de injeção de SQL?
uma. Uma vulnerabilidade de validação de entrada em que um invasor pode inserir ou injetar uma
consulta SQL por meio dos dados de entrada do cliente para o aplicativo ou banco de dados
b. Um tipo de vulnerabilidade em que um invasor pode injetar uma nova senha em um SQL
servidor ou cliente
c. Um tipo de vulnerabilidade DoS que pode causar a falha de um servidor SQL d. Um
tipo de vulnerabilidade de escalonamento de privilégios destinado a servidores SQL 10.

Qual das opções a seguir é uma arquitetura distribuída que particiona tarefas ou cargas de trabalho entre pares?
uma. Rede ponto a ponto b. P2P NetFlow
c. Balanceamento de carga de custo

igual d. Nenhuma destas respostas está correta.
11. Qual das opções a seguir descreve quando o invasor envia tráfego mais lentamente do que o normal, não
excedendo limites dentro das janelas de tempo que as assinaturas usam para correlacionar diferentes
pacotes? uma. Inserção de tráfego
b. Manipulação de protocolo c.
Fragmentação do tráfego d.
Ataque de tempo
12. Qual dos seguintes daria mais problemas a um IPS? uma. Pacotes jumbo b.
Criptografia c. Rendimento d. Atualizações 13. Em que tipo de ataque um
IPS recebe muito tráfego/pacotes? uma. Esgotamento de recursos
b. DoS (negação de serviço) c.

Fumaça e espelhos
d. Ataque de
temporização 14. Qual dos seguintes não é um exemplo de fragmentação de tráfego? uma.
Modificando tabelas de roteamento b. Modificando o TCP/IP de forma inesperada
por dispositivos de detecção de segurança c. Modificando os cabeçalhos IP para fazer com que os
fragmentos se sobreponham d. Segmentação de pacotes TCP

Capítulo 12: Desafios no Centro de Operações de Segurança (SOC) 499
15. Qual é a melhor defesa para ataques de fragmentação de tráfego?

12
uma. Implantação de uma solução de segurança passiva que monitora o tráfego interno em busca de
tráfego incomum e fragmentação de tráfego
b. Implantação de um firewall de camada de aplicativo de próxima geração
c. Configurando limites de fragmentação em uma solução de segurança d.
Implantação de um proxy ou solução de segurança em linha 16. Qual das
opções a seguir é um ataque de injeção de TCP? uma. Forjando um pacote TCP

em uma sessão HTTPS b. Substituindo o tráfego TCP legítimo por pacotes
TCP forjados c. Adicionando um pacote TCP forjado a uma sessão TCP
existente d. Modificando o TCP/IP de uma maneira inesperada pela detecção
de segurança
17. Um ataque de substituição e inserção de tráfego faz qual dos seguintes?
uma. Substitui o tráfego por dados em um formato diferente, mas com o mesmo significado b. Substitui a
carga útil por dados no mesmo formato, mas com uma média diferente
ing, fornecendo uma nova carga útil
c. Substitui a carga útil por dados em um formato diferente, mas com o mesmo significado, não modificando
a carga útil
d. Substitui o tráfego por dados no mesmo formato, mas com um significado diferente
18. Qual dos seguintes não é uma defesa contra uma substituição e inserção de tráfego
ataque?
uma. Desofuscando Unicode b.
Usando Unicode em vez de ASCII c. Adotando
as mudanças de formato d. Processando
corretamente caracteres estendidos 19. Qual dos
seguintes não é uma defesa contra um ataque de pivô? uma. Filtragem de conteúdo
b. Gerenciamento adequado de patches c. Segmentação de rede
d. Controle de acesso
20. Qual tecnologia de segurança seria melhor para detectar um ataque de pivô?
uma. Rede privada virtual (VPN) b. Antivírus
baseado em host
c. NetFlow
d. Firewalls de camada de aplicativo
Tópicos Fundamentais
Desafios de monitoramento de segurança no SOC
Os analistas do centro de operações de segurança (SOC) tentam ter visibilidade completa do que está acontecendo
em uma rede. No entanto, essa tarefa é mais fácil dizer do que fazer. Existem vários desafios que podem levar a
falsos negativos (quando você não consegue detectar atividades maliciosas ou anormais na rede e nos sistemas).
As seções a seguir destacam alguns desses desafios.
Monitoramento de segurança e criptografia

A criptografia tem grandes benefícios para segurança e privacidade, mas o mundo da resposta a incidentes
e da perícia pode apresentar vários desafios. Até mesmo as agências de aplicação da lei ficaram fascinadas
com a natureza de uso duplo da criptografia. Ao proteger informações e comunicações, a criptografia traz
inúmeros benefícios para todos, desde governos e forças armadas até corporações e indivíduos.
Por outro lado, esses mesmos mecanismos podem ser usados por agentes de ameaças como um
método de evasão e ofuscação. Historicamente, até os governos tentaram regular o uso e a exportação
de tecnologias de criptografia. Um bom exemplo é o Acordo Wassenaar, que é um acordo multinacional
com o objetivo de regular a exportação de tecnologias como criptografia.
Outros exemplos incluem eventos em torno de agências de aplicação da lei, como o Federal Bureau of
Investigation (FBI) dos EUA, tentando forçar os fornecedores a deixar certas técnicas de investigação em
seus softwares e dispositivos. Algumas pessoas compraram a ideia de “criptografar tudo”.
No entanto, criptografar tudo teria consequências muito sérias, não apenas para as agências de aplicação
da lei, mas também para os profissionais de resposta a incidentes. Algo a ser lembrado sobre o conceito de
“criptografar tudo” é que a implantação da criptografia de ponta a ponta é difícil e pode deixar dados não
criptografados em risco de ataque.
Muitos produtos de segurança (incluindo IPSs e firewalls de última geração) podem interceptar,
descriptografar, inspecionar e recriptografar ou até mesmo ignorar cargas úteis de tráfego criptografado.
Algumas pessoas consideram isso um assunto man-in-the-middle (MITM) e têm muitas preocupações com a privacidade.
Por outro lado, você ainda pode usar metadados do tráfego de rede e outras fontes de eventos de segurança
para investigar e resolver problemas de segurança. Você pode obter muitas informações boas aproveitando
o NetFlow, logs de firewall, logs de proxy da Web, informações de autenticação de usuário e até mesmo
dados de DNS passivo (pDNS). Em alguns casos, a combinação desses logs pode tornar o conteúdo
criptografado de cargas de malware e outros tráfegos irrelevantes. Claro, isso é contanto que você possa
detectar seus padrões de tráfego para poder remediar um incidente.
É fato que você precisa lidar com dados criptografados, seja em trânsito ou “em repouso” em um endpoint
ou servidor. Se você implantar proxies da Web, precisará avaliar a viabilidade em seu ambiente de
conexões HTTP seguras MITM.
DICA É importante reconhecer que, do ponto de vista do monitoramento de segurança, é tecnicamente

possível monitorar algumas comunicações criptografadas. No entanto, do ponto de vista da política, é uma
tarefa especialmente diferente dependendo da sua localização geográfica e das leis locais sobre privacidade.
A Cisco possui uma tecnologia que permite detectar atividades maliciosas mesmo se a comunicação estiver
sendo criptografada. Essa tecnologia é chamada de análise de tráfego criptografado (ETA) e está integrada
à solução Stealthwatch and Cognitive Security, conforme mostrado na Figura 12-1.
12
Figura 12-1 Análise de tráfego criptografado
Monitoramento de segurança e tradução de endereços de rede

No Capítulo 10, “Telemetria e Análise de Dispositivos de Infraestrutura de Rede”, você aprendeu que
dispositivos de Camada 3, como roteadores e firewalls, podem realizar NAT (Network Address
Translation). O roteador ou firewall “traduz” os endereços IP privados (ou reais) do host “interno” para um
endereço roteável (ou mapeado) publicamente. Ao usar NAT, o firewall oculta os endereços privados
internos da rede desprotegida e expõe apenas seu próprio endereço ou intervalo público.
Isso permite que um profissional de rede use qualquer espaço de endereço IP como rede interna. Uma
prática recomendada é usar os espaços de endereço reservados para uso privado (consulte RFC 1918,
“Alocação de Endereço para Internets Privadas”).
NOTA A Cisco usa a terminologia de endereços IP reais e mapeados ao descrever o NAT.

O endereço IP real é o endereço configurado no host antes de ser traduzido. O endereço IP mapeado é
o endereço para o qual o endereço real é traduzido.
O NAT estático permite que as conexões sejam iniciadas bidirecionalmente, ou seja, tanto para o host
quanto para o host.
O NAT pode representar um desafio quando você está realizando monitoramento de segurança e análise
de logs, NetFlow e outros dados, porque os endereços IP do dispositivo podem ser vistos nos logs como o
endereço IP “traduzido” versus o endereço IP “real”. No caso do Port Address Translation (PAT), isso pode
se tornar ainda mais problemático porque muitos hosts diferentes podem ser traduzidos para um único
endereço, tornando a correlação quase impossível de ser alcançada.
Produtos de segurança, como o sistema Cisco Stealthwatch, fornecem recursos que podem ser
usados para correlacionar e “mapear” endereços IP traduzidos com o NetFlow. Esse recurso no sistema
Cisco Stealthwatch é chamado de costura NAT. Isso acelera as tarefas de resposta a incidentes e facilita
as operações contínuas de monitoramento de segurança.
Sincronização de Tempo de Correlação de Eventos e Monitoramento de Segurança

Logs de servidor e endpoint, NetFlow, dados syslog e quaisquer outros dados de monitoramento de segurança
são inúteis se mostrarem a data e hora erradas. É por isso que, como prática recomendada, você deve
configurar todos os dispositivos de rede para usar o Network Time Protocol (NTP). O uso do NTP garante que a
hora correta seja definida e que todos os dispositivos da rede sejam sincronizados. Além disso, outra prática
recomendada é tentar reduzir o número de logs duplicados. É por isso que você precisa pensar e planejar com
antecedência onde exatamente você implantará o NetFlow, como irá correlacioná-lo com outros eventos (como
syslog) e assim por diante.
Túnel de DNS e outros métodos de exfiltração

Os atores de ameaças têm usado muitas técnicas não tradicionais para roubar dados de redes corporativas
sem serem detectados. Por exemplo, eles têm enviado dados de cartão de crédito roubados, propriedade
intelectual e documentos confidenciais pelo DNS usando encapsulamento. Como você provavelmente sabe,
o DNS é um protocolo que permite que os sistemas resolvam nomes de domínio (por exemplo, cisco.com) em
endereços IP (por exemplo, 72.163.4.161). O DNS não se destina a um canal de comando ou mesmo
encapsulamento. No entanto, os invasores desenvolveram um software que permite o tunelamento pelo DNS.
Esses agentes de ameaças gostam de usar protocolos que tradicionalmente não são projetados para
transferência de dados porque são menos inspecionados em termos de monitoramento de segurança. O
encapsulamento de DNS não detectado (também conhecido como exfiltração de DNS) representa um risco
significativo para qualquer organização.
Em muitos casos, o malware pode usar a codificação Base64 para colocar dados confidenciais (como
números de cartão de crédito, informações de identificação pessoal [PII] e assim por diante) na carga de pacotes
DNS para criminosos cibernéticos. A seguir estão alguns exemplos de métodos de codificação que podem ser
usados por invasores:
ÿ Codificação Base64
ÿ Codificação binária (8 bits)
ÿ Codificação NetBIOS
ÿ Codificação hexadecimal
Vários utilitários foram criados para realizar o tunelamento DNS (para o bem e também para o mal). Seguem
alguns exemplos:
ÿ DeNiSe: essa ferramenta Python é usada para encapsular TCP sobre DNS.
ÿ dns2tcp: Escrito por Olivier Dembour e Nicolas Collignon em C, esta ferramenta suporta
Tipos de solicitação KEY e TXT.
ÿ DNScapy: criada por Pierre Bienaimé, esta ferramenta Scapy baseada em Python para geração de
pacotes oferece suporte a encapsulamento SSH sobre DNS, incluindo um proxy SOCKS.
ÿ DNScat ou DNScat-P: esta ferramenta baseada em Java criada por Tadeusz Pietraszek suporta
comunicação bidirecional através de DNS.
ÿ DNScat (DNScat-B): Escrito por Ron Bowes, esta ferramenta é executada em Linux, Mac OS X e
Windows. DNScat codifica solicitações de DNS em codificação NetBIOS ou codificação hexadecimal.
ÿ Heyoka: esta ferramenta, escrita em C, suporta encapsulamento bidirecional para exfiltração de dados.
ÿ Iodo: Escrito por Bjorn Andersson e Erik Ekman em C, esta ferramenta roda em Linux,
Mac OS X e Windows, e pode até ser portado para Android. 12
ÿ Protocolo de transferência de servidor de nomes (NSTX): essa ferramenta cria túneis IP usando DNS.
ÿ OzymanDNS: Escrito em Perl por Dan Kaminsky, esta ferramenta é usada para configurar um SSH
túnel sobre DNS ou para transferência de arquivos. As solicitações são codificadas em Base32 e as respostas
são registros TXT codificados em Base64.
ÿ psudp: Desenvolvida por Kenton Born, essa ferramenta injeta dados em solicitações de DNS existentes
modificando os comprimentos de IP/UDP.
ÿ Feederbot e Moto: os invasores usaram esse malware usando DNS para roubar informações confidenciais
de muitas organizações.
Algumas dessas ferramentas não foram criadas com a intenção de roubar dados, mas os criminosos cibernéticos
as usaram para seus próprios fins.
Os exemplos na Figura 12-2 e na Figura 12-3 demonstram como o encapsulamento de DNS pode ser obtido
com a ferramenta Iodine. A Figura 12-2 mostra o servidor Iodine escutando quaisquer conexões de clientes usando
resolução DNS para o domínio h4cker.org.
Figura 12-2 Servidor de encapsulamento DNS de iodo
A Figura 12-3 mostra o cliente de iodo (suponha que este seja um sistema comprometido). O cliente estabeleceu
com êxito uma conexão com o servidor Iodine. O endereço IP 192.168.88.207 é o endereço configurado na placa de
interface de rede (NIC) do servidor. O 10.1.1.1 é o endereço IP usado pelo Iodo para se comunicar com os clientes pelo
túnel. Neste exemplo, o endereço IP do cliente é 10.1.1.2 e o endereço IP do túnel do servidor é 10.1.1.1. Todos os
dados agora são enviados pelo túnel DNS e o domínio h4cker.org é usado para resolução de DNS.
Figura 12-3 Cliente de encapsulamento DNS de iodo
Monitoramento de segurança e Tor

Muitas pessoas usam ferramentas como o Tor para privacidade. Tor é uma ferramenta gratuita que permite que seus
usuários naveguem na web anonimamente. O Tor funciona roteando o tráfego IP através de uma rede mundial gratuita
composta por milhares de retransmissores Tor. Em seguida, ele muda constantemente a maneira como roteia o tráfego
para ocultar a localização de um usuário de qualquer pessoa que monitore a rede.
NOTA Tor é um acrônimo do nome original do projeto de software, “The Onion Router”.
O uso do Tor também dificulta o monitoramento de segurança e a resposta a incidentes porque é difícil atribuir e rastrear
o tráfego até o usuário. Diferentes tipos de malware são conhecidos por usar o Tor para cobrir seus rastros.
Esse “roteamento de cebola” é realizado criptografando a camada de aplicação de uma pilha de protocolos de
comunicação que está aninhada exatamente como as camadas de uma cebola. O cliente Tor criptografa os dados
várias vezes e os envia através de uma rede ou circuito que inclui relés Tor selecionados aleatoriamente. Cada uma das
retransmissões descriptografa uma camada da cebola para revelar apenas a próxima retransmissão, para que os dados
criptografados restantes possam ser roteados para ela.
A Figura 12-4 mostra o navegador Tor. Você pode ver o circuito Tor quando o usuário acessou h4cker.org a partir
do navegador Tor. Os pacotes foram primeiro para um host na Holanda, depois para hosts na Noruega e na Alemanha
e, finalmente, para h4cker.org.
Um nó de saída do Tor é basicamente o último nó do Tor ou o gateway onde o tráfego criptografado do Tor sai para a
Internet. Um nó de saída do Tor pode ser direcionado para monitorar o tráfego do Tor. Muitas organizações bloqueiam
os nós de saída do Tor em seu ambiente. O projeto Tor tem uma lista dinâmica de nós de saída do Tor que torna essa
tarefa um pouco mais fácil. Esta lista de nós de saída do Tor pode ser baixada em https://check.torproject.org/exit-
addresses.
12
Figura 12-4 O navegador Tor
NOTA Produtos de segurança como o software Cisco Next-Generation Firepower fornecem a capacidade
de aprender e bloquear dinamicamente os nós de saída Tor.
Monitoramento de segurança e comunicação ponto a ponto

A comunicação ponto a ponto (P2P) envolve uma arquitetura distribuída que divide as tarefas entre os
pares de computação participantes. Em uma rede P2P, os pares são igualmente privilegiados, razão pela
qual é chamada de rede de nós ponto a ponto .
Os computadores ou nós participantes do P2P reservam uma parte de seus recursos (como CPU,
memória, armazenamento em disco e largura de banda da rede) para que outros pares ou participantes
possam acessar esses recursos. Isso tudo é feito sem a necessidade de um servidor centralizado. Em redes P2P,
cada par pode ser tanto um fornecedor quanto um consumidor de recursos ou dados. Um bom exemplo foi o
aplicativo de compartilhamento de música Napster na década de 1990.
As redes P2P têm sido usadas para compartilhar músicas, vídeos, livros roubados e outros dados; até
mesmo aplicativos de multimídia legítimos, como o Spotify, usam uma rede ponto a ponto junto com
servidores de streaming para transmitir áudio e vídeo para seus clientes. Existe até um aplicativo chamado
Peercoin (também conhecido como PPCoin) que é uma moeda criptográfica P2P que utiliza sistemas de
prova de participação e prova de trabalho.
Universidades como MIT e Penn State até criaram um projeto chamado LionShare, projetado para
compartilhar arquivos entre instituições educacionais globalmente.
Do ponto de vista da segurança, os sistemas P2P apresentam desafios únicos. O malware usou redes
P2P para se comunicar e também se espalhar para as vítimas. Muitos arquivos de música e filmes “gratuitos”
ou roubados geralmente vêm com a surpresa do malware. Além disso, como qualquer outra forma de
software, os aplicativos P2P não são imunes a vulnerabilidades de segurança. Isso, é claro, apresenta riscos
para o software P2P porque é mais suscetível a explorações remotas, devido à natureza da arquitetura de
rede P2P.
Técnicas Adicionais de Evasão e Ofuscação

Os invasores podem usar o SSH para ocultar o tráfego, como criar um túnel SSH reverso de um sistema
violado de volta para um servidor SSH externo, ocultando dados confidenciais à medida que o tráfego sai da rede.
A Figura 12-5 fornece um exemplo de como uma sessão SSH típica funciona.
Hospedeiro remoto SSL Servidor SSH

Túnel
Rede Rede
Conexão Internet Conexão
Rede corporativa
Figura 12-5 Exemplo de VPN SSH
Você pode usar túneis SSH sobre outros túneis, como VPNs, túneis DNS e assim por diante. Por
exemplo, você pode criar um túnel DNS e, em seguida, ter um túnel SSH sobre ele.
Existem muitos casos de uso em que um invasor viola uma rede e inicia alguma forma de sessão VPN. Um
exemplo é usar o adaptador USB LAN Turtle do Hak5, que pode ser configurado para iniciar automaticamente
um túnel SSH reverso para um servidor de armazenamento em nuvem, essencialmente criando um backdoor
acessível na nuvem para a rede da vítima.
É um desafio para um administrador identificar o LAN Turtle porque ele fica em um sistema confiável e não
requer um endereço IP próprio para fornecer o túnel criptografado reverso para fora da rede.
A Figura 12-6 mostra um exemplo de uma LAN Turtle conectada a um servidor, fornecendo um túnel criptografado para o
servidor remoto de um invasor. Isso representaria um ataque físico que leva a um backdoor para acesso de partes mal- 12
intencionadas externas.
Nuvem do Atacante
Servidor
Dados roubados
Túnel criptografado
Internet
Conexão
Tartaruga LAN
interno
Servidor
Figura 12-6 Túnel SSH LAN Turtle
A LAN Turtle é apenas um exemplo das muitas ferramentas disponíveis que podem ser plantadas em uma rede para criar
um backdoor não autorizado. O Packet Squirrel é outro dispositivo que pode ser implantado para fornecer a um invasor
acesso remoto a uma rede de destino. Todas essas ferramentas estão disponíveis ao público em sites como o hak5.org.
Outro conceito de criptografia é ocultar os dados reais. Existem muitas técnicas para fazer isso, como tecnologias de
criptografia de arquivos corporativos que criptografam arquivos e controlam o acesso para abri-los. Um exemplo é ter
um agente de software instalado em um servidor que especifica quais arquivos devem ser criptografados. Quando um
arquivo que deveria ser criptografado é removido, ele é marcado e criptografado, com acesso fornecido apenas a
pessoas dentro de um grupo de autenticação específico. As pessoas desse grupo podem usar um agente baseado em
host que as registra automaticamente no arquivo ou podem ser enviadas para um portal online para autenticar e obter
acesso ao arquivo.
O termo dados em repouso significa dados que são colocados em um meio de armazenamento. Os requisitos de
segurança de dados em repouso normalmente se referem à capacidade de negar todo o acesso a dados armazenados
que são considerados confidenciais e correm o risco de serem expostos. Normalmente, isso é feito criptografando os
dados e removendo posteriormente todos os métodos para descriptografar os dados. Os exemplos incluem criptografia de
disco rígido em que um disco rígido é criptografado, impossibilitando a clonagem. O mesmo conceito pode ser aplicado à
tecnologia de criptografia de arquivos, onde o proprietário dos dados pode expirar o acesso ao arquivo, o que significa que
todos os usuários não poderão descriptografar.
Muitos invasores abusam de conceitos de criptografia, como criptografia de arquivos e protocolos, para ocultar códigos
maliciosos. Um exemplo seria um ataque que ocorre a partir de um servidor web sobre criptografia SSL para ocultar o
ataque das tecnologias de detecção de intrusão na rede. Isso funciona porque uma ferramenta de detecção de intrusão
de rede usa assinaturas para identificar uma ameaça, o que é inútil se o tráfego que está sendo avaliado for criptografado.
Outro exemplo seria codificar um arquivo malicioso com um monte de texto inútil, com o objetivo de confundir um aplicativo
antivírus. Os aplicativos antivírus também usam assinaturas para detectar ameaças, adicionando texto adicional ao código
malicioso
poderia alterar o código o suficiente para não ser vinculado a um ataque conhecido quando avaliado por uma ferramenta
de segurança.
A lista a seguir destaca vários conceitos importantes de criptografia e encapsulamento:
ÿ Uma VPN é usada para ocultar ou codificar algo para que o conteúdo seja protegido de partes
indesejadas.
ÿ O tráfego de criptografia pode ser usado para ignorar a detecção, como por uma prevenção de intrusão
sistema (IPS).
ÿ As duas formas de VPNs de acesso remoto são baseadas em cliente e sem cliente.
ÿ Uma VPN site a site conecta duas ou mais redes.
ÿ O SSH conecta um host a um servidor SSH e usa criptografia de chave pública para autenticar
cate o computador remoto e permita que ele autentique o usuário.
ÿ A tecnologia de criptografia de arquivos protege os arquivos de usuários não autorizados.
Em seguida, examinamos os recursos exaustivos para contornar a detecção e obter acesso não autorizado a sistemas
e redes.
Esgotamento de recursos
A exaustão de recursos é um tipo de ataque de negação de serviço; no entanto, também pode ser usado para evitar
a detecção pelas defesas de segurança. Uma definição simples de esgotamento de recursos é “consumir os recursos
necessários para realizar uma ação”. Um exemplo de ferramenta de ataque de negação de serviço que pode esgotar
os recursos disponíveis de aplicativos da web e outros sistemas é o Slowloris, que pode ser encontrado em https://
github.com/gkbrk/slowloris. Essa ferramenta mantém conexões enviando solicitações HTTP parciais para o site. A
ferramenta continua enviando várias centenas de cabeçalhos subsequentes em intervalos regulares para impedir que
os soquetes fechem, sobrecarregando assim os recursos do destino. Isso faz com que o site seja apanhado com as
solicitações existentes, atrasando assim as respostas ao tráfego legítimo. A Figura 12-7 mostra a ferramenta Slowloris
sendo usada no site h4cker.org.
Figura 12-7 Exemplo de Ataque Slowloris
Quando se trata de contornar a segurança do controle de acesso, os ataques de esgotamento de recursos podem
consumir todos os processos para forçar a abertura de um sistema, o que significa permitir o acesso a sistemas e redes
não autorizados. Esse ataque pode ser eficaz contra tecnologias de controle de acesso que os administradores
normalmente configuram para abrir com falha se uma falha de serviço for detectada. A mesma abordagem pode ser
usada para esgotar sistemas que possuem recursos de rastreamento, como intrusão
ferramentas de detecção ou outros sensores de rede, causando um período de blecaute para um invasor abusar
sem ser registrado. Os invasores usarão ataques de esgotamento de recursos contra sistemas de log que 12
identificarem durante um ataque, sabendo que muitos administradores não têm as habilidades ou entendimento
para se defender contra ataques de esgotamento de recursos e, portanto, não poderão impedir a ocorrência de
blecautes de monitoramento. Isso também impede que as evidências necessárias para uma investigação forense
sejam coletadas, protegendo legalmente o invasor de ser incriminado por uma futura investigação pós-violação.
O exemplo mais comum de um ataque de esgotamento de recursos envolve o envio de um monte de tráfego
diretamente no IPS.
Estratégias defensivas devem ser implementadas para evitar ataques de esgotamento de recursos. A primeira
camada de defesa, que envolve a verificação de métodos incomuns ou não autorizados de solicitação de recursos,
geralmente é incorporada pelo fornecedor. A ideia é reconhecer quando um ataque está sendo tentado e negar ao
invasor acesso adicional por um período de tempo específico para que os recursos do sistema possam sustentar o
tráfego sem afetar o serviço. Um método simples para impor esse efeito envolve o uso de limitação, que limita a
quantidade de serviço que um usuário ou grupo específico pode consumir, impondo assim uma quantidade
aceitável de consumo de recursos. Às vezes, esses recursos precisam ser habilitados antes de serem aplicados,
portanto, a melhor prática é validar se existem defesas de esgotamento de recursos em uma solução de segurança.
A lista a seguir destaca os principais conceitos de esgotamento de recursos:
ÿ A exaustão de recursos refere-se ao consumo dos recursos necessários para realizar um

açao.
ÿ Os invasores usam o esgotamento de recursos para ignorar os recursos de controle de acesso e

detecção de segurança. Um exemplo comum é enviar uma tonelada de tráfego em um IPS.
ÿ A exaustão de recursos pode ser usada para tornar o registro inutilizável.
ÿ A limitação é um método para evitar o esgotamento de recursos limitando o número de processos que
podem ser consumidos ao mesmo tempo.
Agora vamos analisar e modificar o tráfego para contornar a detecção. Isso é conhecido como fragmentação de
tráfego.
Fragmentação de tráfego
As tecnologias de rede esperam que o tráfego se mova de uma determinada maneira. Isso é conhecido como o
conjunto TCP/ IP. Compreender como isso funciona pode ajudá-lo a identificar quando algo está operando de
maneira incomum. A fragmentação do tráfego é um método de evitar a detecção, dividindo um único datagrama
de protocolo de Internet (IP) em vários pacotes de tamanho menor. O objetivo é abusar do protocolo de
fragmentação dentro do IP, criando uma situação em que o tráfego pretendido pelo invasor é ignorado ou permitido
como tráfego confiável. A boa notícia é que a maioria dos sistemas de detecção de intrusão (IDSs) e sistemas de
prevenção de intrusões (IPSs) mais modernos estão cientes desse ataque e podem evitá-lo. A melhor prática é
verificar se sua versão do IDS/IPS possui recursos de detecção de fragmentação de tráfego.
Os produtos IPS devem ser capazes de remontar adequadamente os pacotes para avaliar se há intenção
maliciosa. Isso inclui entender a ordem correta dos pacotes. Infelizmente, os invasores têm várias técnicas que
podem usar para confundir uma solução IPS durante seu processo de remontagem. Um exemplo disso envolve o
uso de um ataque de segmentação e reordenação TCP projetado para confundir a ferramenta de detecção
enviando tráfego em um método não inspecionado
com a esperança de que não possa remontar adequadamente o tráfego e identificá-lo como malicioso.
Os dispositivos de segurança que não podem realizar a remontagem do tráfego automaticamente falharão na prevenção
desse ataque. Alguns dispositivos de segurança falharão quando o invasor reordenar ou fragmentar o tráfego com ajustes
suficientes para realizar o desvio.
Outro exemplo de ataque de fragmentação envolve o uso de fragmentos sobrepostos. Esse ataque funciona definindo os
valores de deslocamento no cabeçalho IP para que eles não correspondam, fazendo com que um fragmento se sobreponha
a outro. A confusão pode fazer com que a ferramenta de detecção ignore algum tráfego, deixando o tráfego malicioso passar.
A melhor prática para evitar ataques de fragmentação de tráfego é verificar com seu provedor de soluções de segurança
se a solução é capaz de detectar fragmentação de tráfego. As soluções que operam em modos do tipo proxy completo
não são suscetíveis a esse tipo de ataque (por exemplo, filtros de conteúdo e dispositivos de segurança em linha).
A lista a seguir destaca os principais conceitos de fragmentação de tráfego:
ÿ Os ataques de fragmentação de tráfego modificam o tráfego TCP/IP de forma inesperada pelos dispositivos de detecção
de segurança; o objetivo é confundir as funções de detecção.
ÿ Usar segmentação TCP e ataques de reordenação é uma maneira de modificar o tráfego para contornar
detecção.
ÿ Fazer com que os fragmentos se sobreponham ao modificar os cabeçalhos IP é outro tipo de fragmentação de tráfego
ataque mental.
ÿ Proxies e dispositivos de segurança em linha podem ajudar a evitar ataques de fragmentação de tráfego.
Assim como no tráfego TCP/IP, os protocolos também podem ser modificados para ignorar os dispositivos de segurança.
Vejamos como isso funciona.
Interpretação errônea em nível de protocolo

Um protocolo é um conjunto de regras ou estruturas de dados que governa como os computadores ou outros dispositivos
de rede trocam informações em uma rede. Os protocolos podem ser manipulados para confundir os dispositivos de
segurança de avaliar adequadamente o tráfego, pois muitos dispositivos e aplicativos esperam que a comunicação de rede
siga as regras definidas pelo setor quando um protocolo é usado. A chave é entender como o protocolo deve funcionar e
tentar ver se o desenvolvedor do sistema receptor definiu defesas como limitações sobre o que é aceito, um método para
validar o que é recebido e assim por diante. A segunda peça chave é identificar o que acontece quando um sistema receptor
encontra algo que não entende (o que significa ver o resultado de uma falha). Um dispositivo de segurança que interpreta
incorretamente o significado de ponta a ponta dos protocolos de rede pode fazer com que o tráfego seja ignorado, descartado
ou atrasado, o que pode ser usado para a vantagem de um invasor.
Outro exemplo de má interpretação em nível de protocolo é o abuso do “tempo de vida” (TTL) do tráfego. TTL é um
protocolo dentro de um pacote que limita a vida útil dos dados em uma rede de computadores. Isso evita que um pacote
de dados circule indefinidamente. Abusar do TTL funciona enviando primeiro um valor TTL curto com o objetivo de passar
o receptor de segurança, assumindo que ele será descartado por um roteador posteriormente. Essa queda ocorre após o
dispositivo de segurança (ou seja, entre o destino e o dispositivo de segurança) devido ao TTL igualar um valor de zero
antes que o pacote possa atingir seu destino pretendido. O invasor segue o primeiro pacote com um TTL que tem um valor
muito alto, com o objetivo de parecer tráfego duplicado para o dispositivo de segurança, de modo que o
dispositivo de segurança irá ignorá-lo. Por ter o TTL mais longo, o pacote fará todo o caminho até o host
porque agora ele tem um valor de TTL alto o suficiente enquanto é ignorado pelas soluções de segurança de 12
rede. A Figura 12-8 mostra um exemplo de como esse ataque funciona. O primeiro pacote tem um valor TTL
de 1, o que significa que ele passará pelo dispositivo de segurança, mas será descartado pelo roteador por ter
um valor igual a 0. O segundo pacote tem um TTL grande o suficiente para chegar ao host, mas se são os
mesmos dados, o dispositivo de segurança assumirá que é uma duplicata, dando assim ao invasor a capacidade
de infiltrar os dados.
Pacote TTL 1
Caiu devido a
Tempo limite TTL
Confiável
Rede
Pacote TTL 10
Atacante
Figura 12-8 Ataque de Manipulação TTL
Assim como nos ataques de fragmentação de IP, a boa notícia é que muitas soluções de segurança estão
cientes dessa forma de ataque e possuem métodos para validar e manipular a manipulação do protocolo. A
melhor prática é verificar com seus provedores de soluções de segurança se seus produtos estão cientes de
ataques de interpretação incorreta em nível de protocolo.
A lista a seguir destaca os principais conceitos de má interpretação do protocolo:
ÿ Os protocolos podem ser manipulados para confundir os dispositivos de segurança de avaliar adequadamente
tráfego.
ÿ Os protocolos TCP checksum e time-to-live podem ser manipulados para primeiro parecer uma coisa e depois
parecer outra coisa, com o objetivo de enganar as defesas de segurança.
Agora vamos ver outra técnica de evasão que adota uma abordagem diferente para modificar o tráfego de
rede.
Tempo de tráfego, substituição e inserção

Em um ataque de tempo de tráfego, o invasor evita a detecção executando suas ações mais lentamente do que
o normal, sem exceder os limites dentro das janelas de tempo que as assinaturas de detecção usam para
correlacionar diferentes pacotes. Um ataque de sincronização de tráfego pode ser montado em qualquer
mecanismo correlacionado que use uma janela de tempo fixa e um limite para classificar vários pacotes em um
evento composto. Um exemplo desse ataque seria enviar pacotes a uma taxa mais lenta do que o sistema de
detecção seria ajustado para alarme por amostragem, tornando o ataque inaceitavelmente longo aos olhos do
sistema de detecção.
Um ataque de substituição e inserção de tráfego envolve a substituição dos dados da carga útil por dados em
um formato diferente, mas que tenham o mesmo significado, com o objetivo de serem ignorados devido a
não sendo reconhecido pelo dispositivo de segurança. Alguns métodos para alterar o formato incluem trocar espaços
com tabulações, usar Unicode em vez de strings ou caracteres ASCII em solicitações HTTP, modificar o código shell
legítimo com código de exploração e abusar da comunicação sensível a maiúsculas e minúsculas. A maioria dos
dispositivos de segurança pode decodificar o tráfego; no entanto, esse ataque é bem-sucedido quando uma falha é
encontrada no processo de decodificação. Um exemplo de um ataque de substituição e inserção de tráfego seria
ocultar código malicioso usando caracteres latinos, sabendo que o receptor traduzirá o código em ASCII. Se essa
vulnerabilidade existir, o dispositivo de segurança traduzirá o texto sem verificar se é uma ameaça, permitindo assim o
ataque ao ambiente.
A defesa contra ataques de tempo de tráfego, bem como ataques de substituição e inserção, mais uma vez, requer
recursos normalmente encontrados em muitos produtos de segurança oferecidos pelos principais fornecedores de
segurança. Os recursos de segurança precisam incluir a capacidade de se adaptar às mudanças no tempo dos padrões
de tráfego, bem como às mudanças no formato, processar corretamente os caracteres estendidos e realizar a
desobstrução de Unicode. Os exemplos de decodificação Unicode incluem a identificação de bits ambíguos, detecção
de codificação dupla e delimitadores multidiretórios. É recomendável que você verifique com seu provedor de soluções
de segurança confiável se sua solução de segurança possui esses recursos de detecção.
A lista a seguir destaca os principais conceitos de substituição e inserção de tráfego:
ÿ Os ataques de temporização de tráfego ocorrem quando o invasor evita a detecção executando suas ações
mais lentamente do que o normal, sem exceder os limites dentro das janelas de tempo que as assinaturas
de detecção usam para correlacionar diferentes pacotes.
ÿ Um ataque de substituição e inserção de tráfego substitui a carga útil por dados que estão em um formato
diferente, mas têm o mesmo significado.
ÿ Alguns métodos para realizar um ataque de substituição e inserção de tráfego incluem a troca de
espaços com tabulações, usando Unicode em vez de ASCII e abusando da comunicação sensível a
maiúsculas e minúsculas.
ÿ Os produtos de segurança podem interromper esse tipo de ataque por serem capazes de se adaptar às
alterações de formato, processando corretamente os caracteres estendidos e fornecendo
desobfuscação Unicode.
Uma técnica de evasão final para cobrir é pivotar dentro de uma rede.
Pivotante
Embora os ataques cibernéticos possam variar em natureza, um passo comum no processo de ataque, de acordo
com o modelo de cyber kill chain introduzido pela Lockheed Martin, é a ideia de estabelecer um ponto de apoio na
rede alvo e tentar girar para uma rede mais confiável. área da rede. Estabelecer um ponto de apoio significa violar a
rede por meio da exploração de uma vulnerabilidade e da criação de pontos de acesso na rede comprometida. O
desafio para o invasor é o nível de acesso concedido com a exploração. Por exemplo, violar um sistema convidado
em uma rede normalmente significaria obter acesso a uma rede convidada que recebe acesso muito limitado aos
recursos da rede. Um invasor gostaria de mudar da rede de convidados para outra rede com mais direitos de acesso,
como a rede de funcionários. Em relação à cadeia de morte, um pivô seria uma ação tomada para recomeçar a
sequência assim que o atacante atingir o ponto de “ação”. Conforme ilustrado na Figura 12-9, o invasor primeiro
realizar reconhecimento em outros sistemas na mesma rede que o sistema comprometido, armar um
ataque e, eventualmente, passar pela cadeia de eliminação de ataques com o objetivo de obter habilidades 12
de comando e controle em outros sistemas com maiores direitos de acesso à rede.
Comando e
Reconhecimento Armamento Entrega Exploração Instalação Ações
Ao controle
Figura 12-9 A Cadeia de Morte da Lockheed Martin
Normalmente, privilégios e recursos disponíveis em uma rede são agrupados em silos; isso é conhecido
como segmentação de rede. O acesso a cada segmento de rede é normalmente imposto por meio de
alguns meios de controle de acesso à rede. A Figura 12-10 demonstra o conceito de segmentação e
controle de acesso, onde impressoras, convidados e uma rede confiável estão em diferentes segmentos de
rede.
Impressora
Rede
Rede confiável Rede confiável
Empregado
Hóspede
Impressora
Rede
Rede
Hóspede
Figura 12-10 Exemplo de segmentação de rede básica
Pivotar, também conhecido como salto de ilha, significa atacar outros sistemas na mesma rede. A ideia
é identificar um sistema com direitos de acesso de nível superior, como administrador.
Isso também é conhecido como uma forma de escalonamento de privilégios. Outros sistemas com
diferentes níveis de privilégios de acesso à rede também podem ser identificados para fornecer mais portas
de entrada na rede caso a violação original seja fechada, para identificar sistemas para alavancar para outra
forma ou ataque, para ocultar dados usando vários sistemas como pontos de saída da rede, e assim por diante.
Também é importante entender que a escalação de privilégios pode ocorrer dentro de um sistema. Isso
envolve violar um servidor com uma conta de convidado e, posteriormente, obter acesso root para fornecer
mais direitos de recursos nesse sistema. A Figura 12-11 mostra um invasor girando em um sistema
vulnerável sentado em uma rede confiável. Isso pode ser feito identificando uma vulnerabilidade no laptop
do funcionário, colocando uma ferramenta de acesso remoto (RAT) nele e conectando-se remotamente ao
sistema para usá-lo para navegar dentro da rede confiável. O pivô ocorre quando o agente da ameaça
obtém acesso ao computador do funcionário pela primeira vez e "pivô" desse sistema para outro sistema
na mesma rede para obter mais acesso à rede de destino.
Impressora
Rede
Rede confiável Rede confiável
Empregado
Impressora
Rede
Atacante
Figura 12-11 Exemplo de giro
Existem diferentes métodos para pivotar em uma rede. A primeira envolve o uso das conexões de rede
e portas existentes disponíveis no sistema comprometido, essencialmente transformando esse sistema
em um ponto de articulação do proxy. Embora isso forneça algum acesso, o invasor ficará limitado às
portas TCP e UDP disponíveis no sistema comprometido. Uma segunda abordagem que fornece acesso
total é configurar uma conexão VPN do sistema comprometido para a rede confiável, dando ao invasor
acesso total ao ter todas as portas disponíveis do sistema do invasor até o ponto de encerramento da
VPN.
A Figura 12-12 mostra um exemplo de uso de um sistema conectado a duas redes como ponto de
pivô para um ataque remoto.
Rede sem fio para convidados Confiável

Rede
Atacante Empregado
Figura 12-12 Girando por meio de um host comprometido
A defesa contra o pivotamento pode ser abordada de algumas maneiras. O primeiro método é
impor o controle e a segmentação adequados de acesso à rede, limitando o que pode acessar
segmentos de rede específicos e filtrando o acesso apenas ao que é necessário para operar o
negócio nesses segmentos. Essa abordagem limita os sistemas disponíveis para os quais um invasor
pode girar, bem como quais novos serviços de rede se tornariam disponíveis ao violar outros sistemas
na mesma rede. Por exemplo, se todas as impressoras estiverem limitadas a um segmento de rede específico e um
impressora for violada, o invasor só poderá atacar outras impressoras e acessar o tráfego relacionado à
impressora. Descobrimos que o pivô ocorre quando uma arquitetura de segurança ruim é implementada, 12
como colocar todos os dispositivos no mesmo segmento de rede e não validar o que pode ser conectado
a uma rede. Existem muitas histórias de testes de penetração sobre organizações que se esqueceram de
um sistema mais antigo e vulnerável sentado na mesma rede que os administradores e críticos
servidores.
O Cisco Identity Services Engine (ISE) é a principal solução de gerenciamento de identidade e aplicação
de políticas da Cisco projetada para lidar com riscos de pivotamento. Um exemplo é fornecer a uma
funcionária chamada Hannah acesso limitado a recursos específicos devido ao fato de seu dispositivo ser
um iPhone, que não requer o mesmo acesso que seu laptop. A Figura 12-13 representa como o ISE
identificaria o usuário Hannah e limitaria seu acesso apenas a recursos específicos. Diferentes acessos seriam
provisionados para sua impressora, laptop e telefone de mesa, dependendo do status de postura de cada
dispositivo e de como os administradores configuraram a solução ISE. Essa é apenas uma das muitas
maneiras pelas quais o ISE simplifica drasticamente a aplicação da segmentação por meio de uma política centralizada.
Quem é Você? Hannah
Qual dispositivo? BYOD ou endpoint corporativo?
Hannah Onde está você? Prédio 2, Primeiro Andar
Quando? 10:00 AM EDT em 4 de maio

Como? Sem fio
10.201.3.149
macOS versão 10.19.9 Cisco ISE
Figura 12-13 Dispositivo Cisco Identity Services Engine (ISE) e Interrogação de Usuário
Outra estratégia de defesa é fornecer práticas adequadas de segurança de endpoint, como gerenciamento
de patches, antivírus, tecnologias de detecção de violação e assim por diante. Normalmente, os sistemas são
violados por meio de uma vulnerabilidade, em que uma carga útil, como uma ferramenta de acesso remoto, é
fornecida para fornecer acesso a uma parte remota indesejada. Impedir a violação impede que o invasor
tenha acesso à rede.
Os produtos de segurança NetFlow, como o Cisco Stealthwatch, podem ser usados para identificar tráfego
incomum, oferecendo uma defesa “canário na mina de carvão”. Um exemplo desse conceito em relação ao
Stealthwatch seria um invasor comprometendo o sistema de um funcionário e usando-o para dinamizar a
rede. Se Hannah estiver no departamento de vendas e começar a escanear a rede e acessar sistemas
críticos pela primeira vez, isso provavelmente significa que algo ruim está acontecendo, independentemente
de ela estar autorizada a fazê-lo. Embora o NetFlow possa não ser capaz de lhe dizer por que a situação
está ruim no início, ele pode rapidamente alertá-lo de que algo ruim está acontecendo para que você possa
começar a investigar a situação - assim como os mineradores fariam quando percebessem que o canário
havia morrido em a mina de carvão.
A segurança NetFlow não requer muito armazenamento, é suportada pela maioria dos fornecedores e pode ser
habilitada na maioria dos tipos de dispositivos (roteadores, switches, aplicativos sem fio, tráfego de comutação virtual,
tráfego de data center e assim por diante). Essencialmente, transforma toda a rede em uma grade de sensores de segurança.
A Figura 12-14 mostra o status do host do Cisco Stealthwatch para o sistema com o endereço IP 10.201.3.149.
Figura 12-14 Relatório de host do Cisco Stealthwatch para 10.201.3.149
A lista a seguir destaca os principais conceitos de pivô:
ÿ Girar em termos de ataques cibernéticos (também conhecido como salto de ilha) significa atacar
outros sistemas na mesma rede com o objetivo de obter acesso a esse sistema.
ÿ A melhor prática é ter redes segmentadas e controlar o acesso entre cada

segmento.
ÿ Um objetivo comum para um ataque dinâmico é aumentar os privilégios do invasor. Isso é

comumente realizado saltando de um sistema para outro sistema com maiores privilégios de rede.
ÿ A defesa contra o pivô pode ser realizada fornecendo controle de acesso adequado, segmentação de
rede, segurança DNS, segurança de reputação e gerenciamento adequado de patches.
ÿ O NetFlow é uma ótima ferramenta baseada em sensores para detectar a ocorrência de pivotagem não
autorizada na rede.
Tarefas de preparação para exames

12
Revise todos os tópicos principais
Revise os tópicos mais importantes do capítulo, indicados com o ícone Tópico-chave na margem externa da página. A Tabela
12-2 lista esses tópicos principais e os números de página em que cada um é encontrado.
Tabela 12-2 Principais Tópicos do Capítulo 12
Elemento do Tópico-Chave Descrição Página
Parágrafo Entendendo os desafios que a criptografia apresenta ao 500
monitoramento de segurança
Parágrafo Entendendo os desafios que o NAT apresenta ao monitoramento de 501
segurança
Seção Monitoramento de segurança e Tor 504
Resumo Entendendo os desafios que a comunicação ponto a ponto 505
apresenta ao monitoramento de segurança

Lista Principais conceitos de criptografia e encapsulamento 508
Lista Principais conceitos de esgotamento de recursos 509
Lista Principais conceitos de fragmentação de tráfego 510
Lista Principais conceitos de má interpretação do protocolo 511
Lista Entendendo os conceitos de substituição e inserção de tráfego 512
Lista Entendendo o pivotamento (movimento lateral) 516
Definir termos-chave
Defina os seguintes termos-chave deste capítulo e verifique suas respostas no glossário:
Tor, nó de saída Tor, comunicação ponto a ponto (P2P), rede privada virtual (VPN), VPN de acesso remoto, ataque
de tempo de tráfego, VPN sem cliente, Secure Shell (SSH), ataque de esgotamento de recursos, ataque de
fragmentação de tráfego, protocolo ataque de má interpretação, ataque de substituição e inserção de tráfego, pivotagem,
VPN site-to-site
Perguntas de revisão
As respostas a essas perguntas aparecem no Apêndice A, “Respostas à pergunta 'Já sei disso?' Questionários e
perguntas de revisão.” Para mais prática com questões de formato de exame, use o mecanismo de exame no site.
1. Por que o NAT apresenta um desafio para o monitoramento de segurança?
2. O que é um nó de saída Tor?
3. O iodo é uma ferramenta que os invasores usam para ofuscar suas técnicas e informações de _________
uma organização que usa túneis DNS.
4. Base64 é um exemplo de um dos agentes de ameaças mais populares._________ mecanismos usados por
5. Por que o NTP deve ser ativado em dispositivos de infraestrutura e para monitoramento de segurança?
6. Para que serve o SSH?
7. Qual é a melhor explicação para um ataque de fragmentos sobrepostos?
8. Descreva um ataque de tempo.

9. Qual tecnologia é usada para criar um circuito de computadores que trocam dados criptografados e
normalmente é usada por invasores para evitar ser detectado em uma localização geográfica
específica?
10. Que termo descreve quando o agente da ameaça obtém acesso ao computador do funcionário pela
primeira vez e "muda" desse sistema para outro sistema na mesma rede para obter mais acesso à
rede de destino?
Esta página foi intencionalmente deixada em branco

Índice
dissuasão, 118
Numérico discricionário, 121-122
5 tuplas, 317–320, 523–525 identificação, 107-108
802,1x, 136–138 gerenciamento de identidade,

140 implementação, 129
AAA, 130
UMA
ACLs, 138–140
AAA (autenticação, autorização e Diâmetro, 133–135
contabilidade), 130
firewalls, 140, 142
ABAC (controle de acesso baseado em RAIO, 130-131
atributos), 125–127
TACACS+, 131–133
controle(s) de acesso, 106, 107, 110-111.
detecção e prevenção de intrusão, 144–
Consulte também ACLs (listas de
145
controle de acesso); IAM (gestão de
identidade e acesso); contabilidade de baseado em host, 147–
gerenciamento de identidade, 110 148 baseado em rede, 147
administrativos, 117 antivírus e antimalware, obrigatório, 122–123

148–149 classificação de ativos, 112–113 mecanismos, 127–129
marcação de ativos, 113–114 baseados em modelos, 119–120 objetos,
atributos, 125–127 autenticação, 108 106 físicos, 117 políticas,

114 baseados em porta,
135 802.1x, 136–138
por característica, 108–109 por

conhecimento, 108 multifatorial,
109 por propriedade, 108 segurança de porta, 135–136
autorização, 110 preventiva, 118 processo, 111–112
recuperação, 118 com base em
Cisco TrustSec, compensação função, 121, 123–125 com base
142–144, corretivo 118, em regras, 126 funções e
descarte de dados 118, responsabilidades de segurança,
detetive 114–115, 118 115–116

assunto, 106 APIs (programação de aplicativos

técnico, 117 tipos, interfaces), desprotegido, 27–28
117 contábil, 110 aplicativos na lista negra, 491 alocação de

memória, 456–458 e armazenamento em
ACLs (listas de controle de acesso), 31–33, disco, 457 heap, 457 pilhas, 457 espaço
34–35, 138–139 de endereço virtual, 457–458
características, 32–33 para
download, 140
EtherType, 34
estendidos, 34 de processos e threads, 454–456 proxies,
rede, 139 baseados 35–36 serviços, 463–464 whitelisting, 490–
em grupos de segurança, 139 491 arquitetura, IPFIX (Internet Protocol
padrão, 33–34
Mapas de VLAN, 139
Webtype, 34 Exportação de Informações de Fluxo), 403
failover ativo-ativo, 41 failover ARP envenenamento, 165, 169–170
ativo-standby, 41 grupo de ataque blindagem ASCII, 29, 164 registro
de atividade, 538–539 planejamento de ASDM, 379. Consulte também logs ASLR
endereço, 425–427 controles (aleatório de layout de espaço de endereço),

29 gerenciamento de ativos, 257–258
administrativos, 117 emulação de
uso aceitável e políticas de retorno, 259–260
adversário
Equipe Vermelha Atômica, 566-567
Caldeira, 566
classificação, 260 e
AES-GCM (Criptografia Avançada
manipulação de informações, 260
Padrão no modo Galois/Contador), 217
inventário, 258–259 rotulagem, 260
Metodologia ágil, 89-90 propriedade, 259 ativos, 16
AMP (proteção avançada contra malware), classificação, 112–113 controlando o

50 espaço de endereço, 424–427 marcação,
para endpoints, 50–53 para 113–114 inteligência de ameaças, 17–
redes, 53–54 pivoting 18 algoritmos assimétricos, 185– 186
analítico, 532 análises
baseadas em anomalias, 49–50, 333

antimalware, 148–149 software antivírus, 148–
149, 487–488 Atomic Red Team, 566-567 ataques,
AnyConnect NVM, 437–438 489
Logs de envenenamento ARP, 169–170

acesso do Apache , 484–485 baseado em autenticação, 98
Mesos, 95
618 ataques
backdoor, 163 manipulação de rota, 171

força bruta, 23, 171 seqüestro de sessão, 97 canal
estouro de buffer, 49, 163–165, 173 lateral, 98 engenharia social,
prevenindo, 164 ret2libc (return-to- 160 malvertising, 160

libc), 164 computação em nuvem, 97– pharming, 160 phishing,
99 manipulação de cookies, 27 credenciais 160 pretexting, 161–162
brutas, 23
CSRF, 27, 173 Phishing SMS, 160–161 spear

CSRF (falsificação de solicitação entre sites), phishing, 160 vishing, 161
98 exfiltração de dados, 168–169 whaling, 161 spoofing, 170
Baseado em DOM, 26
DoS, 16, 166

DDoS direto, 166–167 DDoS Baseado em SUID, 476
refletido, 167–168 downgrade, TOCTOU, 27
197 criptografia, 507–508 técnicas substituição e inserção de tráfego, 511–

512
de evasão, 506–508 fragmentação,
509–510 hypervisor, 98 tempo de tráfego, 511
Manipulação TTL, 510-511
VM, 98
Investigar, 63 sem fio, 172 de
MITB, 24, 165-166 dia zero, 49–50 de
MITM, 24 atribuição e investigações de

segurança cibernética, 342
senhas, 171
autenticação, 194 por
pivôs, 512–513
característica, 108-109 e
defendendo, 514–516
identificação, 107, 239 por
Cadeia de matar Lockheed Martin,
512-513 conhecimento, 108 multifatorial,
escalada de privilégios, 162–163 23, 109, 239 por propriedade, 108
ransomware, 533–535 reconhecimento,

154 ativos, 156 RADIUS (Autenticação Remota
Serviço de discagem ao usuário), 130–
131 fator único, 239
passivo, 154–156
SSO (logon único), 243–245 federado,
varreduras de ping,
246–247
158 técnicas de varredura de
porta, 158–160 Kerberos, 245-246
scanners, 157–158 OAuth, 249–250
ret2libc (return-to-libc), 28–29 OpenID Connect, 251

Cisco ASA 619
vulnerabilidades, 22 CAs (autoridades de certificação), 192–193,

200, 202 autenticação e registro, 205–206
ataques de força bruta de credenciais, 23
credenciais padrão, 24 seqüestro de
sessão, 24 de autorização, 110 negação
certificação cruzada, 208
implícita, 110 necessidade de saber, 110 OAuth,
sistemas de gerenciamento de casos, 257
249–250 disponibilidade. Veja a tríade da CIA
CER (taxa de erro de cruzamento), 109
CERTs (US Computer Emergency
Equipes de Resposta), 76
centros de coordenação, 315
nacionais, 314–315
B SEI (Instituto de Engenharia de Software),
315
backdoors, 163 in-
cadeia de custódia, 76, 348–349, 351
band SQL injection, 21
gerenciamento de mudanças, 270–273
configuração de linha de base,
processos filho, 469, 470 comando chmod,
268 best Evidence, 343 big data
472–475
analytics, 411–413 sistemas
Tríade da CIA
biométricos, 108–109 blind SQL
disponibilidade, 70, 106
injection, 22 block ciphers, 184
confidencialidade, 69–70, 105–106
integridade, 70, 106, 190
AES-GCM, 217
Pipelines CI/CD (integração contínua/
carregadores de entrega contínua), 90–92
inicialização, 366 CIM (Modelo de Informação Comum),
botnets, 167 estouros de buffer, 28–29, 49, 163–165, 460
173
cifras, 182
prevenindo, 164 bloco, 184
ret2libc (return-to-libc), 164 log em AES-GCM, 217
buffer, 379. Veja também logs construindo fluxo, 184
seu próprio laboratório, 321–323 BYOD provas circunstanciais, 343
(bring-your-own-device), 261, 264–266 Cisco AMP Threat Grid, 62–63, 488–489,
525–526
vulnerabilidades, 157 Cisco ASA, 32
ACLs (listas de controle de acesso)
C EtherType, 34
estendidos, 34
Caldera, 563–564
padrão, 33–34
54ndc47 agente, 563–565
Webtype, 34
emulação de adversários, 566
Registro ASDM, 379
620 Cisco ASA
registro em buffer, 379 computação em nuvem, 84–85

registro de console, 378 Metodologia ágil, 89-90
registro de e-mail, 379 Responsabilidade compartilhada da Amazon
configuração de registro, 379–380 Modelo, 86
SNMP trap logging, 379 syslog ataques, 97–99

modelos básicos, 85–86
server logging, 379 terminais
logging, 379 características, 85
Cisco AsyncOs, 56–57 CI/CD (integração contínua/

entrega contínua) pipelines, 90-92
Cisco AVC (Visibilidade de aplicativos e
Controle), 413-414
Grade de ameaças do Cisco AMP, 62–63
Cisco CES (Cloud Email Security), 62 Cisco
Cisco CES (segurança de e-mail em nuvem), 62
Firepower System, 385. Consulte
também FMC (Firepower Management CloudLock, 64
Centro) defesas em profundidade,

Cisco ISE (Mecanismo de Serviços de 68 modelos de implantação, 85
Identidade), 60–61
DevOps, 88, 90
Integração MDM, 266–267 desvantagens de, 85
monitorando a atividade do usuário, 438–439 IaaS (Infraestrutura como Serviço), 85–86
Mobilidade empresarial Cisco Meraki
Gestão, 267 MDM (gerenciamento de dispositivos móveis),
Cisco NetFlow, 64–65 264
Cisco NGIPS, FMC (Firepower OpenDNS, 63

Centro de Gestão), 50 PaaS (Plataforma como Serviço), 86
Cisco SMA (Gerenciamento de Segurança gerenciamento de patches, 86–88
Aparelho), 60
modelos de responsabilidade, 86–88
Solução Cisco Stealthwatch, 404–405
SaaS (Software as a Service), 86
Costura NAT, 405–406
avaliações de segurança, 88 ameaças
realizando pesquisas avançadas, 407–
408 de segurança, 95–97 “sem servidor”,
92–93
Painel de Insight de Segurança, 406
SP (Publicação Especial) 800–145, 85 modelo
Cisco TrustSec, 142–144
em cascata, 88–89
marcação de entrada e aplicação
de saída, 143 Aliança de segurança em nuvem, 99
Guarda-chuva Cisco, 63 CloudLock, 64, 65–66
Cisco WSA (Web Security Appliance), 54–57 firewalls de cluster, 41, 42
ClamAV, 488 Stealthwatch Cloud, 63–64

VPNs baseadas em cliente, execução de código, 163
216 VPNs sem cliente, 216 vulnerabilidades de injeção de código, 20–21
resistência à colisão, 190
CSIRTs (Equipes de Resposta a Incidentes de Segurança de Computadores) 621
injeção de comando, 22 controles corretivos, 118

comandos evidências corroborantes, 343
chgrp, 478 ataques de força bruta de credenciais, 23
chgrp command, 478 chmod, criptografia, 182. Veja também algoritmos

472–475 find, 478 fork, 471 assimétricos de criptografia , 185–186
grep command, 327–330 ip CA (autoridade certificadora), 192–193,
name-server, 375 logging

200
trap, 376 lsof-i, 442 show clock
cifras, 182
details, 376 show control-plan
bloco, 184
host open portos,
stream, 184
assinaturas digitais, 192, 193 curva
elíptica, 186–187 hashes, 189–191
443
mostrar log, 376–377 HMAC (mensagem com hash

Código de autenticação), 191–
mostrar associações ntp, 375
192
mostrar status ntp, 375 sudo, 478
HTTPS (Protocolo de Transferência de Hipertexto
tasklist, 448 usuários, 446–448 who, Secure),
446–448 controles de
gerenciamento de 197
compensação, 118
chaves, 183 chaves, 183
confidencialidade. Consulte
PRNGs (geradores de números
gerenciamento de configuração da pseudoaleatórios), 189 chave pública,
tríade CIA, 268–269 185–186, 192–195, 199

padrões, 206
controlar as alterações de configuração, quantum, 187

270
SSH (Secure Shell), 198–199
identificando e implementando a configuração, SSL (Secure Sockets Layer), 196–197,
270 monitorando, 270 planejando, 269 198
configurando o registro no Cisco ASA, 379– algoritmos simétricos, 184-185
380 TLS (Segurança da Camada de
Transporte), 196–197
CSIRTs (Equipes de Resposta a Incidentes de
NTP (Network Time Protocol), 374–376 Segurança de Computadores). Consulte

também o eleitorado que define a resposta a
registro de console, 378. Consulte também incidentes , 308 garantindo gerenciamento e
contêineres de logs, 92, 94, 95 gerenciamento suporte executivo, 308 nacional, 314–315
políticas e procedimentos, 308–309
e orquestração, 94–95
ataques de manipulação de cookies, 27

622 ataques CSRF (falsificação de solicitação entre sites)
Ataques CSRF (falsificação de Referência de objeto direto inseguro, 24–

solicitação entre sites), 27, 98, 173 25
CVE (Vulnerabilidades Comuns e remendo, 29-30

Exposições), identificador, 11–12, 20, CyboX (Expressão Observável Cibernética),
173 19
CVSS (Common Vulnerability Scoring
System), 71–72, 310, 312 métricas
ambientais, 312 métricas de explorabilidade,
D
310–311 métricas de impacto, 311 métricas DAC (controle de acesso discricionário),
temporais, 312 Cyber Kill Chain Model, 121-122
539–540 ação em objetivos, 547–548 daemons, 480–481

comando e controle, 546 entrega, 544–545 dark web, 14. Consulte também
exploração, 545 instalação, 545–546 vs. dados do Tor em repouso, 507
MITRE's ATT&CK, 548–549 reconhecimento, data carving, 344–345 data
540–543 armamento, 543–544 centers, firewalls, 42 descarte
cibersegurança. Veja também forense de dados, 114–115 exfiltração
digital; resposta a incidentes; ameaças; de dados, 168–169 prevenção
vulnerabilidades de perda de dados, 65–66 dados
normalização, 522 interpretando
valores de dados comuns em um formato
universal, 523 IPSs (sistemas de
prevenção de intrusão),
522
ativos, 16 Ataques DDOS (negação de serviço
explorações, 13– distribuído), 16 deep web, 14 credenciais
15 vs. segurança da informação, padrão, 24 defesa em profundidade, 66–69
8–9 NIST (National Institute of Standards delegação de acesso, 249 arquivos

and Technology), estrutura 9 e risco, 15 excluídos, análise, 346 zonas
atores de ameaças, 17 inteligência de desmilitarizadas, 38–39, 142 controles de
ameaças, 17–18 disseminação de detetive , 118 análises determinísticas, 527
informações, 19 ameaças, 10 , 16 TIPs
(plataformas de inteligência de ameaças),
19–20
DevOps, 90
DFIR (digital forense e resposta a
vulnerabilidades, 11, 20 incidentes), 76
injeção de código, 20–21 Diâmetro
baseado em injeção, 20 recursos, 133
campo de cabeçalho, 134

ACLs para download (listas de controle de acesso) 623
mecanismo de manutenção da vida, 134 preservação, 77

mensagens, 134 engenharia reversa, 351-353
Modelo Diamond de Intrusão, 530, transporte, 347
532–539, 540. Veja também o modelo de investigações, 341
Cyber Kill Chain
e atribuição, 342
pivotamento analítico, 532
atribuição de ator de ameaça, 341
meta-recursos, 532–533
ferramentas, 77, 349-350
DIB (base de informações do diretório), 241,
242 assinaturas digitais, 192, 193
ataques DDoS diretos, 166–167
certificados digitais, 192, 193, 194, 196, 198,
199. Veja também criptografia; criptografia gerenciamento de diretório, 241–242
de chave pública DAP (Protocolo de Acesso ao Diretório), 242
CA (autoridade certificadora), 200, 202 DIB (base de informações do diretório), 241,
242
certificado de identidade, 204
revogando, 207 DIT (árvore de informações do diretório), 241,
242
certificado raiz, 202–204
DSA (agente de serviço de diretório), 242
SCEP (Protocolo de Inscrição de Certificado
Simples), 206 LDAP (Lightweight Directory Access
Protocolo), 243
usando, 207-208
DIT (árvore de informações do diretório), 241,
X.500 e X.509v3, 204
242
forense digital, 76-78, 341-342
DMVPN, 224
cadeia de custódia, 76
Tunelamento DNS, 502–504
evidência, 342, 343
Docker, 92, 94
analisando metadados, 345–346
Enxame Docker, 95
cadeia de custódia, 348-349, 351
documentos
circunstancial, 343
API, 28
coleta de endpoints e servidores, 344–
Série ISO/IEC 27000, 10
345
NIST, 9-10
coleta de dispositivos móveis,
346 STIX, 570
coleta de dispositivos de DOM (Modelo de Objeto de Documento), 26

infraestrutura de rede, 346– Ataques DoS (denial-of-service), 16, 97,
348 166
corroborando, 343 DDoS direto, 166–167

escultura de dados, 344-345 DDoS refletido, 167–168
arquivos deletados, 346 esgotamento de recursos, 508-509
dados criptografados, 345 ataques de rebaixamento, 197

manuseio, 343 ACLs para download (listas de controle de
imagem, 344 acesso), 140
cópia física, 344

624 DPI (inspeção profunda de pacotes)
DPI (inspeção profunda de pacotes), 44 ETA (Análise de Tráfego Criptografado), 500

Soluções DRM (gerenciamento de ACLs EtherType, 34 gerenciamento de eventos.
direitos digitais), 351 empilhamento Consulte também resposta a incidentes; syslog
duplo, 425 e incidentes, 299–300 coleta, análise e
Duo Security, 239 descarte de log, 251–253
inspeção ARP dinâmica, 169
E Syslog, 253
SIEM (Security Information and Event
ECC (criptografia de curva elíptica), Management), 255–257 Syslog
186–187 facilities, 253–254 cabeçalho de
Elasticsearch, 384–385 mensagem, 254–255 códigos de
ELK (Elasticsearch, Logstash e gravidade, 254 evidências, 342,
Kibana) pilha 343. Consulte também análise
Elasticsearch, 384–385 forense digital
Kibana, 324-326
Logstash, criptografia analisando arquivos excluídos,

de e- mail 382–384, 489–490 346 analisando metadados, 345–
EMM (gerenciamento de 346 melhores, 343 cadeia de
mobilidade empresarial), custódia, 348–349, 351 circunstanciais,
criptografia 261–263, 507, 508 e 343 coletando de endpoints e servidores,
forense digital, 345 e-mail, 489–
490
IPsec, 196 344–345
protocolos de próxima geração, 195 de dispositivos móveis, 346 de

one-time pad, 187–188 e captura de dispositivos de infraestrutura de
rede, 346–348
pacotes, 415
PGP (Pretty Good Privacy), 188–189 e corroborando, 343
monitoramento de segurança, 500–501 escultura de dados, 344–
pontos finais. Consulte também 345 dados criptografados,
telemetria AMP (proteção avançada contra 345 manipulação, 343

malware), 50–53 imagens, 344 cópia física,
coleta de provas, 344-345 344 preservação, 77
Janelas, 454 engenharia reversa, 351–
inscrição com CA, 205-206 353 transporte, 347 exfiltração,
ESA (Email Security Appliance), 58 recursos, DNS tunneling, 502–504
58–59 ouvintes, 59
Explorar banco de dados, 14, 15

FlexVPN 625
exploits, 13–15, 99, 310–311 dark web, FIPS (Processamento de Informações Federais
14 Padrões), 9
POC (prova de conceito), 14 dias firewalls, 140, 378
zero, 13 proxies de aplicativos, 35–36
Ext4, 366 Registro ASDM, 379
ACLs estendidas, 34 registros em buffer, 379
vulnerabilidades encontradas clusters, 41, 42 registros de

externamente, 313–314 console, 378 no data center,
42 zonas desmilitarizadas,
F 38–39, 142
DPI (inspeção profunda de pacotes), 44

falsos negativos, 326 logs de e-mail, 379 de alta disponibilidade,
falsos positivos, 326 40 failover ativo-ativo, 41 failover ativo-
Gaiola de Faraday, 77-78, 351 standby, 41
FAT (tabela de alocação de arquivos), SSO
federado 360–361 (logon único), 246–247 Borda da Internet, 30–31

SAML (Marcação de Asserção de Segurança tráfego lateral, 42
Idioma), 247–249 hashes
NAT (Tradução de Endereço de Rede), 36–37
de arquivo, 320–321 sistemas
de arquivos próxima geração, 45

Linux
técnicas de filtragem de pacotes, 31–35
carregadores de inicialização,
PAT (Port Address Translation), 37 pessoais,
processo de inicialização 366, 367 31, 488–489 segmentação, 39 micro-, 40
Ext4, 366
journaling, 366
MBR (registro mestre de inicialização), 366 Registro de trap SNMP, 379
janelas
inspeção de estado, 38 tradução
área de dados e espaço livre, 360 estática, 37–38 registro de
EFI, 362
servidor syslog, 379 registro de
FAT (tabela de alocação de arquivos), terminal, 379 tradicional, 30–31
360–361
virtual, 44
MBR (registro mestre de inicialização),
359–360
FIRST (Fórum de Resposta a Incidentes e
MFT (tabela de arquivo mestre), 360, 361
Equipes de Segurança), 309
NTFS, 361
NetFlow Flexível, 400
atividades práticas de
FlexVPN, 224–225
preparação final , 574 planos
sugeridos para revisão e estudo final, 574–

575
626 FMC (Centro de Gerenciamento de Poder de Fogo)
FMC (Firepower Management Center), 50, 385, HeapAlloc, 356

388 políticas de controle de acesso, 385–392 análises baseadas em heurística,
49 de alta disponibilidade, 40
Janela Content Explorer, 387–388 criando failover ativo-ativo, 41 failover
incidentes personalizados, 391–393 painel, ativo-standby, 41
388 aplicativos de detecção, 453 resumo de HMAC (mensagem com hash
malware, 393–394 ambientes multidomínio, Código de autenticação), 191–192
388 honeynets, 571 honeypots, 571 perfis de

host, 441
página Lista de trajetórias de arquivos de rede,

394–395
identificação de aplicativos, 450–454
Painel de resumo, 386 Monitor de Atividade, 451–452
bifurcações, 471 ataques de
FMC (Gerenciamento de Poder de Fogo
fragmentação, 509–510 Centro), 453
NBAR, 452
G Gerenciador de Tarefas, 450–451
portas de escuta, 441–442

GETVPN, 224
identificação, 442–443
Repositório GitHub, 19, 174 segurança, 443–444
correlação global, 50 usuários/contas de serviço logadas, 445
Google Chromium, sandbox, 493 identificação, 445 em
GraphQL, 28 máquinas Linux, 446–448 no Windows,
Graylog, 381–382 445
comando grep, 327–330 processos em execução, 448–450
injeção de HTML, 22
H HTTPS (Protocolo de Transferência de Hipertexto
Seguro), 197, 198, 225, 226 ataques
hackers, 16, 17 de hipervisor, 98
éticos, 17
hacktivistas, 17
EU
escaneamento semi-aberto,
423 handles, 462–463 IaaS (Infraestrutura como Serviço), 85–86
manipulação de evidências,
343 hardware, vulnerabilidades, 11 IAM (gerenciamento de identidade e acesso),
235
hashes, 189–191
ciclo de vida, fase
IPsec, 217
de revisão de 235 acessos, fase
MD5, 191
de revogação de 236 acessos, 236
vulnerabilidades, 191
Endereços IP 627
fase de provisionamento de privilégios, 236 análise determinística, 527
desenvolvendo um segmento de atividade, 538

fase de registro e validação de gerenciamento de eventos, 299–300
identidade, 236 identificação e
identificando arquivos maliciosos, 526
autenticação, 107 certificado de identidade, 204
compartilhamento e coordenação de informações,
gerenciamento de identidade e criação de perfil, 140 304–305
mapeamento de inteligência de ameaças com DNS

IDSs (sistemas de detecção de intrusão), 46, 144– e outros artefatos, 527 MDR (detecção e resposta
145, 333 análises baseadas em anomalias, 49–50 gerenciadas), 316 atividade pós-incidente, 304 fase
eventos, 146 falsos negativos, 326 falsos positivos, de preparação, 302 análise probabilística, 527–
326 correlação global, 50 análise baseada em 528 vulnerabilidades de segurança do produto, 310
heurística, 49 correspondência de padrões, 47–48 PSIRT (Equipe de resposta a incidentes de segurança
protocolo análise, 48, 330-331 reconhecimento de do produto), 309 –310 análise retrospectiva, 525–
correspondência de padrões com estado, 526 serviços, 316 estrutura de equipe, 307 usando o
5-tuple, 523–525 VERIS (Vocabulary for Event

Recording and Incident Sharing), 305 segurança
da informação, vs. cibersegurança,
48
verdadeiros positivos, 326
imagens, 344 respostas a
incidentes, 299 elementos de
artefatos comuns, 316–317 fase de contenção,

8–9
erradicação e recuperação, 303
Perfil de risco inerente, 70
processos de inicialização, 470

CSIRT (Incidente de Segurança de Computadores
Equipe de Resposta), 307–308 vulnerabilidades baseadas em injeção, 20
definindo o eleitorado, 308 garantindo injeção de comando, 22 injeção de HTML, 22
gerenciamento e apoio executivo, 308 injeção de SQL, 21–22, 174 vulnerabilidades

políticas e procedimentos, 308–309 Insecure Direct Object Reference, 24–25
integridade. Veja vulnerabilidades encontradas

internamente na tríade da CIA, 313–314
CVSS (Pontuação de Vulnerabilidade Comum Investigate, 63 IoE (Internet of Everything),
System), 312
412–413 endereços IP
métricas ambientais, 312
Métricas de explorabilidade, 310–311
Métricas de impacto, 311
métricas temporais, 312

mapeado, 36
normalização de dados, 522 fase
intervalos de endereços privados,
de detecção e análise, 302-303
36 reais, 36
comando do servidor de nomes 628 ip
comando do servidor de nomes ip, 375 pares de chaves,
IPFIX (Fluxo de Protocolo de Internet 199 keyspace, 183

Exportação de informações), arquitetura Kubernetes, 95
402–403, 403 mediadores, 404 modelos, 404
eu
IPsec, 196, 216 LAN Turtle, tráfego lateral
atributos, 220 506–507, 42
hashes, 217 Segurança da camada 2, práticas

recomendadas, 169–170
IKEv1 fase 1, 217, 218–219
LDAP (Lightweight Directory Access Protocol),
IKEv1 fase 2, 220, 221-222
243 Linux. Veja também comandos
IKEv2, 222–223
chaves pré-compartilhadas,
carregadores de
218 protocolos de segurança,
inicialização, processo de
220 modo de transporte, 222
inicialização 366, daemons 367, 480–481
modo túnel, 222
Ext4, 366
IPSs (sistemas de prevenção de intrusão), 47,
permissões de arquivo, 472–478
145–146, 333. Consulte também IDSs
bifurcações, 471 sistemas de
(sistemas de detecção de intrusão)
normalização de dados, 522 eventos, 146 falsos arquivos com journaling, 366
negativos, 326 falsos positivos, 326 de próxima MBR (registro mestre de inicialização), 366
comando netstat, 442

geração, 50 análises de protocolo, 330–331
verdadeiros positivos, 326 passeios de ilha em NFdump, varredura 408–
ilha. Veja ataques de pivô ISO (International 411 nmap, 158 obtenção
Organization for Standardization), série ISO/ de informações do usuário, 446 testes de
IEC 27000, 10, 71 penetração, 322–323 processos, 468–469
filhos, 469, 470
calor, 470
órfãos, 471 links

ITL (Tecnologia da Informação simbólicos, 478–480
Laboratório) boletins, 10
syslog, 481, 483–484 ações,
482 facilidades, 481
JK prioridades de mensagem,
482 seletores, 482 logs de

sistemas de arquivos de registro no diário, 366
transações, 482 comandos de
Kanban, 90
usuários, 446–448 who command,
Kerberos, gerenciamento
446–448
de chaves 245–246, 183, 185
Metasploit 629
ouvintes, ESA (Email Security sistemas macOS

Appliance), Monitor de Atividade, 451–452
identificação de 59 identificando processos em execução,
segurança 442–443, 443–444 ator malicioso, 10

Cadeia de morte da Lockheed Martin, 512–513, Malloc, 356–357
539–540
malvertising, 160
analisador de log, malware, 16, 334, 486–487
467 usuários/contas de serviço logados, identificação de arquivos maliciosos,
identificação, 445 comando de trap
526 engenharia reversa, 353 endereços
de log, 376 logs. Veja também gestão
IP mapeados, 36 mapeamento de
de eventos; syslog; telemetria; Acesso
eventos de segurança para origem
ao Windows Apache, coleta, análise e
tecnologias, 333
descarte 484–485, 251–253
protocolo de hash MD5, 191
MDM (gerenciamento de dispositivos
móveis), 263–264
Baseado em Linux, 481, 483–484
Integração Cisco ISE, 266–267
ações, 482 instalações, 481
Mobilidade empresarial Cisco Meraki
prioridades de mensagem, Gerenciamento, 267
482 seletores, 482 logs de telemetria, 438 medição,
transações, 482 infraestrutura
taxa de transferência, 421–423
de rede, 373 firewall de gerenciamento de mídia, 260–261
próxima geração e IPS alocação
de memória , 457
sistemas, 385-395. Consulte também
e armazenamento em disco, 457
FMC (Firepower Management Center)
HeapAlloc, 356
criando incidentes personalizados, 391–
393 Malloc, 356-357
Novo, 357
resposta a incidentes, 390
NGINX, 485–486 NVRAM, 457
firewall tradicional, 378 processos, 457
Logstash, 382–384 RAM, 456–465
comando lsof-i, 442 pilhas, 356 estático,

356 espaço de
M endereço virtual, 457–458

VirtualAlloc, 356
MAC (controle de acesso obrigatório), voláteis, 357, 456

122-123
metadados, analisando, 345–346
Endereço MAC (controle de acesso à mídia), Metasploit, 543-544
136
630 MFA (autenticação multifator)
MFA (autenticação multifator), 23 Flexível, 400
MFT (tabela de arquivo mestre), fluxos, 399
361 mGRE (multiponto GRE), 223 ferramentas de código aberto, 408

microssegmentação, 40 NFdump, versões 408–
Ataques MITB (man-in-the-browser), 24, 165–166 411, 401 comando netstat,
442 network ACLs (listas de
Ataques MITM (man-in-the-middle), 24 controle de acesso),
MITRA 139
Estrutura ATT&CK, 536–537, 548–549, dispositivos de infraestrutura de rede

554 atividade-ataque grupo, 538– coleta de evidências, 346–348 logs,
539 adição de metadados, 537–538 e 373 perfis de rede, 418–419 espaços
busca de ameaças, 558–563 Programa de endereço de ativos críticos, 424–427
de Compatibilidade CVE, 12 dispositivos medidas de rendimento, 421–423 sessões de
móveis. Consulte também MDM duração, 424 rendimentos, 419–421 portas
(gerenciamento de dispositivos móveis), coleta usadas, 423 sistemas de segurança de rede.
de evidências, autenticação multifator 346,
Veja também
109, 239
Cisco NetFlow; soluções baseadas em nuvem

N de segurança
AMP (proteção avançada contra malware) para

NAT (Network Address Translation), 36–37,
endpoints, 50–53 para redes, 53–54
424 e monitoramento de segurança, 501
estático, 37–38
Cisco ISE (Mecanismo de Serviços de Identidade),
60–61
Costura NAT, 501
Cisco SMA (Gerenciamento de Segurança
CSIRTs e CERTs nacionais, 314–315 Aparelho), 60
NBAR (Aplicativo baseado em rede Cisco WSA (Segurança Web
Reconhecimento), 452 Aparelho), 54-57
NetFlow, 395–399, 401–402. Consulte também
ESA (Aparelho de Segurança de E-mail), 58
cache IPFIX (Internet Protocol Flow
recursos, 58–59
Information Export) , captura 400–401, solução
ouvintes, 59 firewalls,
Cisco Stealthwatch 422, costura NAT 404–405,
140
pesquisa avançada 405–406,
IDSs (sistemas de detecção de intrusão), 46
análises baseadas em anomalias, 49–50
eventos, 146 correlações globais, 50 análises
407–408 baseadas em heurísticas, 49
Painel de Insight de Segurança, 406

OSINT (inteligência de código aberto) 631
correspondência de padrões, 47-48 Força de trabalho de segurança cibernética da NICE

Estrutura, 116
análise de protocolo, 48
reconhecimento de correspondência de
varredura nmap, 158
padrões com estado, 48 ferramenta nmap, 442
IPSs (sistemas de prevenção de intrusão), Nômade, 95

47
normalizando dados. Ver
eventos, 146 normalização de dados
próxima geração, 50 NTFS
firewalls de próxima geração, 45 ADS (Fluxos de Dados Alternativos),

361–362
firewalls tradicionais, 30–31
proxies de aplicativos, 35–36 MACE (modificar, acessar, criar e entrada

modificada), 361
agrupamento, 41, 42
NTP (Network Time Protocol),
no centro de dados, 42
configuração, 374–376
zonas desmilitarizadas, 38-39
NVD (Banco de Dados Nacional de
alta disponibilidade, 40, 41 Vulnerabilidades), 12–14, 20, 173
tráfego lateral, 42 NVM (Monitor de Visibilidade de Rede), 437–
NAT, 36-37 438
segmentação de rede, 39–40
técnicas de filtragem de pacotes, 31– O

35
PAT, 37 OAuth, 249–250
inspeção com estado, 38 ataques de força bruta offline, 23

tradução estática, 37-38 one-time pad, 187–188
firewalls virtuais, 44 senhas de uso único, 238
Novo, 357 ataques de força bruta online, 23
protocolos de criptografia de última geração, OpenC2 (Abrir Comando e

Suíte B, 195 Controle), 19
firewalls de próxima geração, 45 OpenDNS, 63
IPS de próxima geração, 50 OpenID Connect, 251
NFdump, 408–411 OpenIOC (Indicadores Abertos de
Registros NGINX, 485–486 Compromisso), 19
NIST (Instituto Nacional de Padrões e OpenSOC (Operações de Segurança Aberta
Tecnologia) Centro), 411
estrutura de segurança cibernética, 9 software livre
documentos, 9-10 Análise de fluxo líquido, 408
SP 800–61, 299, 301, 302 correção de vulnerabilidade de segurança, 29–30
SP 800–37, 15 processos órfãos, 471
plano de resposta a incidentes, 301 OSINT (inteligência de código aberto), 156,

541
632 injeção de SQL fora de banda
injeção de SQL fora de banda, 22 PAT (Port Address Translation), 37, 501
OVAL (Vulnerabilidade Aberta e gerenciamento de patches, 29–30, 287–291
Idioma de Avaliação), 274–275 abordagens, 290–291 na nuvem, 86–88 modelos
OWASP (Aplicativo Web Aberto de implantação, 289
Projeto de Segurança), 29
correspondência de padrões,
P comunicação ponto a ponto 47–48, teste de
penetração 505–506, 277–278
PaaS (Plataforma como Serviço),
Distribuições Linx, 322–323
captura de 86 pacotes, 331–333, 334, 414 5
permissões, Linux, 472–478 firewalls
tuplas, 317–320 e criptografia, 415 sniffers,
pessoais, 31, 488–489
331, 414, 422 tcpdump, 415–417 Wireshark,
PGP (Pretty Good Privacy), 188–189 pharming,
331, 417–418 pacotes -técnicas de
160
filtragem, 31–35 ACLs (listas de
PHI (informações de saúde protegidas),
controle de acesso)
72–73
phishing, 160
controles físicos, 117
EtherType, 34
PII (informações de identificação
estendidos, 34 pessoal), 72
padrão, 33–34
varreduras de ping,
Webtype, 34 ataques 158 ataques de pivô, 512–
de senha, 171 senhas, 236– 514 defendendo contra, 514–516
237. Veja também autenticação Cadeia de matar Lockheed Martin, 512-513
PKI (infraestrutura de chave pública), 199.

criação, 237–238 Veja também pares de chaves de
padrão, 24 uma vez,
certificados digitais , 199
238 redefinição, 240 assinaturas digitais RSA, 199–200
topologias
SSO (logon único), 243–245 federado, CA hierárquica com subordinado
246–247 CAs, 208
Kerberos, 245-246 CAs de raiz única, 208
OAuth, 249–250 playbooks, 76
OpenID Connect, 251 de Explorações de POC (prova de conceito), 14
armazenamento e transmissão, 240 políticas de controle de acesso, 114
de sincronização, 240 gerados pelo
sistema, 238 dispositivos de token, CSIRT (Incidente de Segurança de Computadores
238 gerados pelo usuário, 238 Equipe de Resposta), segurança

308–309, 162
ataques XSS refletidos 633
scanners de porta, 157–160, segurança PSIRTs (Product Security Incident Response
de 452 portas, 135–136 controle de Teams), 71. Consulte também resposta a

incidentes Divulgação coordenada do
acesso baseado em porta, 135
processo Cisco PSIRT , 279–280 SCAP
802.1x, 136–138 portas
(Security Content Automation Protocol), 280–282
de segurança, 135–136 portas,
441 escutando, 441–445 usadas,
423 bem conhecidas, 441
tokens de sessão de previsão,

corrigindo vulnerabilidades teóricas, 313
24 pretexting, 161–162
vulnerabilidades encontradas internamente versus
controles preventivos, 118 princípio de vulnerabilidades encontradas externamente,
privilégio mínimo, 73 fluência de 313–314 vulnerabilidades de segurança do produto, 310
privilégio , 121 ataques de criptografia de chave pública, 185–186, 192–195,

199, 200 padrões, 206
escalonamento de privilégios, 162–163
pivotamento, 513-514 QR
PRNGs (geradores de números pseudo-
aleatórios), 189 análises probabilísticas, QoS (qualidade de serviço), 414, 422
527-528 processos, 355-356, 454-456, 457. criptografia quântica, 187 condições de
corrida, 27
Veja também serviços; daemons de RADIUS (Autenticação Remota
threads , 480–481 objetos de Serviço de Discagem ao Usuário), 130–131
ataques de ransomware, 533–535

trabalho, 353 Linux, 362–365, 468–
469 filhos, 469, 470 RBA (automação de runbook), 75
RBAC (controle de acesso baseado em função), 121,

123–125
calor, 470
RCE (execução de código remoto), 163
órfão, 471 pools
endereços IP reais, 36 ataques de
de threads, 353 espaço
reconhecimento, 154. Veja também Cyber Kill Chain
de endereço virtual, 457–458 Windows,
Model ativo, 156 passivo, 154–156 varreduras de
353–354 criação de perfil, 140. Consulte
ping, 158 técnicas de varredura de porta, 158–160
também análise de protocolo de criação de
scanners, 157–158 controles de recuperação ,
perfil de rede, 48, 330–331, 334–335
118 ataques DDoS refletidos, 167–168 ataques
XSS refletidos, 25
análise de cabeçalho de protocolo, 330–331
interpretação errônea em nível de protocolo,

510–511
634 expressões regulares
expressões regulares, 327–330 VPNs SCAP (Automação de Conteúdo de Segurança

de acesso remoto, 215, 216 Protocolo), 280–282
SSL, 225–227 SCEP (Inscrição de Certificado Simples

Protocolo), 206
considerações de design, 227–228 conjunto
Scrum, 89-90
de recursos do dispositivo, 228 escopo de
SDN (rede definida por software), 42, 68–69
implementação, 228–229 planejamento de
emissão segura, 107 soluções baseadas
infraestrutura, 228 conectividade de usuário,
em nuvem de segurança, 62
228 mídia removível, 261 esgotamento
de recursos, 508–509
Grade de ameaças do Cisco AMP, 62–63
Cisco CES (segurança de e-mail em nuvem), 62

REST (Transferência de Estado Representacional),
CloudLock, 64
28
OpenDNS, 63
ret2libc (return-to-libc), 164 ataques,
Stealthwatch Cloud, 63–64 ACLs
28–29
baseadas em grupos de segurança (acesso
engenharia reversa, tecnologia de
listas de controle), 139
proxy reverso 351–353, risco 226, 15,
incidentes de segurança, 530. Consulte
70–72 também monitoramento e criptografia
RMF (Estrutura de Gestão de Risco), de segurança de resposta a incidentes, 500–
15
501 e sincronização de tempo de
certificado raiz, 202–204 ataques
correlação de eventos, 502 e NAT
de manipulação de rotas, 171 roteadores, (Network Address Translation), 501
configuração de syslog, 376–378 e comunicação ponto a ponto, 505–506
Assinaturas digitais RSA, 199–200
controle de acesso baseado em regras,
126 runbooks, 75 processos em execução,

e Tor, 504-505
identificação, 448–450
gerenciamento de ativos de gerenciamento
de operações de segurança , 257–258
S políticas de uso e devolução

aceitáveis, 259–260
SaaS (Software como Serviço), 86 classificação, 260 e
SAML (Marcação de Asserção de Segurança manuseio de informações, 260 inventário,
Idioma), 247–249 258–259 rotulagem, 260 propriedade, 259
caixa de areia, 491–493 sistemas de gerenciamento de casos, 257
Google Chromium, 493 e gerenciamento de mudanças, 270–273
resposta a incidentes, scanners 493–494,
157–158. Veja também porta

scanners
comando show ntp associações 635
gerenciamento de configuração, 268–269 SSO (logon único), 243–245

configuração de linha de base, 268 federado, 246-247
controlando as alterações de Kerberos, 245-246
configuração, 270 OAuth, 249–250
identificando e implementando a OpenID Connect, 251
configuração, 270
gerenciamento de vulnerabilidades, 273
monitoramento, 270
análise e priorização,
planejamento, 269 282–286
gerenciamento de diretório, 241–242 encontrar informações sobre uma
DAP (Protocolo de Acesso ao Diretório), vulnerabilidade, 274–275
242
teste de penetração, 277-278
DIB (base de informações do produto, 278-282
diretório), 241, 242
remediação, 286-287
DIT (árvore de informações do diretório),
scanners, 276-277
241, 242
informações de vulnerabilidades
DSA (agente de serviço de diretório),
242 repositórios e agregadores,
275–276
LDAP (diretório leve
identificação de vulnerabilidade,
Protocolo de Acesso), 243
273-274
EMM (gerenciamento de
segmentação, 39, 141, 513. Veja também
mobilidade empresarial), 261–263
Cisco TrustSec
gerenciamento de eventos, 251
micro-, 40
coleta, análise e descarte de toras,
através de VLAN, 141
251–253
separação de funções, 73-74
SIEM (Informações de Segurança e
Gerenciamento de Eventos), 255–257 palavra da moda “sem servidor”, 92–93
Syslog, 253–255 servidores, coleta de provas, 344-345
IAM (gerenciamento de serviços, 463-464
identidade e acesso), 235, 236 Janelas, 354–355
MDM (gerenciamento de dispositivos móveis), seqüestro de sessão, 24, 97

263–264
sessão de equitação, 98
Integração Cisco ISE, 266–267 farejando sessão, 24
Cisco Meraki Enterprise Shodan, 154-156
Gerenciamento de Mobilidade, 267
comando show clock details, 376
gerenciamento de mídia, 260-261
comando show control-plan host open
gerenciamento de patches, 287–291 ports, 443
abordagens, 290-291 comando show interface, 422
modelos de implantação, 289 comando show log, 376–377
SOAR (orquestração de segurança, comando show ntp associações, 375
automação e resposta), 257
636 comando show ntp status
comando show ntp status, 375 Esquilo, 300

ataques de canal lateral, 98 SSH (Secure Shell), 198–199
SIEM (Informações de Segurança e Eventos LAN Tartaruga, 506–507
Management), 255–257, 436–437 SSL (Secure Sockets Layer), 196–197,
assinaturas, 47 VPNs site a site, 215, 216, 198
223 VPNs (redes privadas virtuais), 225–

227
Slowloris, 508-509
Phishing por SMS, 160–161 considerações de design, conjunto de
SMTP (Protocolo de Transferência de Correio Simples), recursos de 227–228 dispositivos, 228

59 escopo de implementação, 228–229
farejadores, 331, 414, 422 planejamento de infraestrutura, 228
tcpdump, 415–417 tecnologia de proxy reverso, 226
Wireshark, 331, 417-418 conectividade de usuário, 228
SNMP, registro de armadilhas, 379 SSO (logon único), 243–245
SOAP (Protocolo de Acesso a Objeto Simples), federado, 246–247
28
SAML (Declaração de Segurança
SOAR (orquestração de segurança, Linguagem de marcação), 247–249
automação e resposta), 257 Kerberos, 245-246
engenharia social, 160. Veja também OAuth, 249–250
ataques
OpenID Connect, 251
malvertising, 160
pilhas, 356 proteção contra
pharming, 160
quebra de pilha, 29, 164 ACLs padrão, 33–
phishing, 160
34 inspeção com estado, 38
pretexting, 161–162
reconhecimento de correspondência de
Phishing por SMS, 160–161
padrão com estado,
spear phishing, 160 vishing, 48
161 whaling, 161 mídias alocação de memória estática, 356
sociais, 541 tradução estática, 37–38 varredura
furtiva, 157
SOCs (centros de operações de Nuvem Stealthwatch, 63–64
segurança), 74–75
STIX (Expressão de Informações
SP (Publicações Especiais), 9 Estruturadas sobre Ameaças), 19, 570
SPAN (Switched Port Analyzer), 421 spear
phishing, 160 execução especulativa, 11 armazenamento e
memória, 457 senhas,
Splunk, 381 240 cifras de fluxo, 184
ataques de spoofing, 170 varreduras
Injeção SQL, 21–22, 174 estroboscópicas, 157 comandos sudo, 478
agente de ameaça 637
Suíte B, 195 implementação, 129

Swagger, 28 AAA, 130
switches, configuração syslog, 376– Diâmetro, 133-135

378 RAIO, 130-131
SXP (Protocolo de Troca SGT), 143– TACACS+, 131-133
144
telemetria, 435. Veja também Linux;
links simbólicos, 478– Histórico; janelas
480 algoritmos simétricos, 184–185 big data analytics, 411–413 e
syslog, 374 configurando em um Cisco ISE (Identity Services
roteador ou switch, 376–378 Motor), 438–439
perfil de host,
ELK (Elasticsearch, Logstash e identificação de aplicativos 441 ,
Kibana) pilha 450–454
Elasticsearch, 384–385
Logstash, 382–384 usuários/ contas de serviço logados,
instalações, 253–254 445–448
Graylog, 381-382 processos em execução, 448–450

Baseado em Linux, 481, 483–484 logs de servidores, baseados em Linux,
ações, 482 instalações, 481 440 logs de endpoints de usuários, 435–436
prioridades de mensagem, AnyConnect NVM, 437–438
482 seletores, 482 logs de Serviço de registro de eventos, 436
transação, 482 cabeçalho de dispositivos móveis, 438
mensagem, 254–255 códigos NetFlow, 395–399, 401–402 cache,

de gravidade, 254, 374 400–401
Solução Cisco Stealthwatch, 404–
405
Splunk, 381
Flexível, 400
atualizações do sistema,
288 senhas geradas pelo sistema, 238 fluxos, 399
versões, 401
T SIEM (Security Information and Event

Management), 436–437 endpoints
TACACS+, comando de Windows, 454 WMI (Windows
lista de tarefas 131–133, 448 Management Instrumentation), 460–462

terminal logging, 379. Consulte
TAXII (Troca Automatizada Confiável de
Informações de Indicadores), 19 também os logs de vulnerabilidades
Verificação TCP, teóricas, correção, 313 threads, 355–356,
157 tcpdump, 415–417 454–456 ameaça atores, 17 agentes de
controle técnico, 117. Consulte também ameaça, 10

controle(s) de acesso
638 caça a ameaças
caça a ameaças, 552, 554, 556–557 etapas de ataques de tempo de tráfego, 511, 512
alto nível, 567–570 honeypots, 571 níveis de conjuntos de transformação, 223
maturidade, 557–558 e estrutura ATT&CK verdadeiros positivos, 326
do MITRE, 558–563 TShark, 318
Manipulação TTL (tempo de vida), 510-511
e SOC camadas, 554 vs. tunelamento, 508. Veja também VPNs (redes
gerenciamento de vulnerabilidades, 555 privadas virtuais)
inteligência de ameaças, 17–18 disseminação LAN Tartaruga, 506–507
de informações, 19 ameaças, 10, 16.

DENTRO
Consulte também computação em nuvem de caça a
ameaças , 95–97 e risco, 15 tipos de, 16 medição

Varredura UDP, 157
de taxa de transferência, 421 –423 perfis, 419–421
APIs desprotegidas, 27–28
portas usadas, 423 senhas
geradas pelo usuário, 238 comandos de

usuários, 446–448
TIPs (plataformas de inteligência de ameaças),

DENTRO
19–20
TLS (Segurança da Camada de

Transporte), 196–197. Consulte também verificação, assinaturas digitais, 192–193
SSL (Secure Sockets Layer) SPRING (Vocabulário para Eventos
Ataques TOCTOU (tempo de verificação para tempo Gravação e Compartilhamento de

Incidentes), 305
de uso), 27 dispositivos de token, 238 Tor, 215
e monitoramento de segurança, 504–505 versões, NetFlow, 401 espaço
de endereço virtual, 457–458 firewalls

virtuais, 44
firewalls tradicionais, 30–31, 378. VirtualAlloc, 356 vírus,

Veja também firewalls 16 vishing, 161
Registro ASDM, 379
registros em buffer, 379 Mapas de VLAN, 139
registros de console, 378 VLANs, segmentação de rede, 141
DPI (inspeção profunda de pacotes), 44 Ataques de VM (máquina virtual), 98
registros de e-mail, 379 VPNs (redes privadas virtuais), 214 baseadas
Registro de trap SNMP, 379 em cliente, 216 sem cliente, 216
inspeção de estado, 38 registro
de servidor syslog, 379 registro de DMVPN, 224
terminal, 379 fragmentação de FlexVPN, 224–225
tráfego, 509–510 GETVPN, 224

WCCP (Protocolo de Comunicação de Cache da Web) 639
implementações, 214 injeção de HTML, 22

IPsec, 216 Injeção de SQL, 21–22
atributos, 220 encontrados internamente, 313–314
hash, 217 NVD (Vulnerabilidade Nacional
IKEv1 fase 1, 217, 218–219 IKEv1 Database), 12–14
fase 2, 220, 221–222 IKEv2, 222–223 patches, 29–30 princípio
chaves pré-compartilhadas, 218 de privilégio mínimo, 73 condições
protocolos de segurança, 220 modo de corrida, 27 e risco, 70–72 APIs
de transporte, 222 modo túnel, 222 desprotegidas, 27–28 aplicações web
mGRE (multiponto GRE), 223 acesso

remoto, 215, 216 site a site, 215, 216,
223 SSL, 225–227 considerações de Ataques CSRF (falsificação de solicitação

entre sites), 27
design, 227–228 conjunto de recursos do
Referência de objeto direto inseguro, 24–
dispositivo, 228 escopo de implementação,
25
228–229 planejamento de infraestrutura,
XSS (script entre sites), 25–27
228 conectividade de usuário, 228 e Tor,
gerenciamento de vulnerabilidades, 273
215 vulnerabilidades, 20, 172-173, 309,
análise e priorização, 282-286
456.
Divulgação coordenada
do processo Cisco PSIRT , 279–280
SCAP (Conteúdo de Segurança

Protocolo de Automação),
280–282
Veja também ataques; CVSS (Sistema encontrar informações sobre uma
de Pontuação de Vulnerabilidade vulnerabilidade, 274–275
Comum); façanhas; baseado em
identificação, 273–274 testes
autenticação de resposta a incidentes ,
de penetração, 277–278 produtos,
22 ataques de força bruta de credenciais,
278–282 remediação, 286–287
23 credenciais padrão, 24 seqüestro de
scanners, 276–277 repositórios e
sessão, 24 BYOD (bring-your-own-device),
agregadores de informações sobre
157 operadoras, 11 ataques de manipulação
vulnerabilidades, 275–276
de cookies, 27 identificadores CVE, 11–12
encontrados externamente , 313–314 fixação,

313 protocolos de hash, 191 baseados em Dentro
injeção, 20–21 injeção de comando, 22
WADL (Descrição do Aplicativo Web
Idioma), documentos, 28
modelo em cascata, 88-89
WCCP (Comunicação de Cache da Web
Protocolo), 55
640 vulnerabilidades de aplicativos da web
vulnerabilidades de aplicativos da web PowerShell, 445
CSRF (falsificação de solicitação entre sites), 27 processos e threads, 353–356, 454–457
Referência de objeto direto inseguro,

24-25 Registro, 357, 458–460
XSS (script entre sites), 24–25 colméias, 358
sites, Calculadora de Permissões, 475– Última hora de gravação, 359

476
Colmeia SAM, 359
Webtype ACLs, 34 portas Colmeia de segurança,
conhecidas, 441 baleeiros, 359 estrutura, 358
161 que comandam, 446–448 Colmeia do sistema,
359 serviços, 354–355, 463–464
Janelas, 454 Gerenciador de Tarefas, 450–451
Gerenciador de configuração, 358 VirtualAlloc, 356
Serviço de Log de Eventos, 436 ataques sem fio, 172
logs de eventos, 466–467 clusters Wireshark, 319, 331, 417-418
de sistema de arquivos, 360 áreas WMI (Gerenciamento do Windows
de dados e espaço livre, 360 Instrumentação), 460-462
WSA (Web Security Appliance), 452

EFI, 362 WSDL (Descrição de Serviços da Web
FAT (tabela de alocação de arquivos), Idioma), documentos, 28

360–361
MBR (registro mestre de inicialização),

359–360
XYZ
MFT (tabela de arquivo mestre), 360, 361 X.500 e X.509v3, 204 XSS (script
NTFS, 361 entre sites), 25–27, 97,
173
alças, 462–463
Ataques baseados em DOM,
HeapAlloc, 356
Malloc, alocação de 26 testes, 26–27
memória 356–357, comando netstat explorações de dia zero, 13, 49–50
456–458, 442

Cisco CyberOps Associate Guide-PT

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cisco CyberOps Associate Guide-PT

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Machine Translated by Google

ii Guia de certificação oficial do Cisco CyberOps Associate CBROPS 200-201

Associado Cisco CyberOps CBROPS

Direitos autorais © 2021 Cisco Systems, Inc.

Código de Impressão Automatizado Scout

Número de controle da Biblioteca do Congresso: 2020944691

Aviso e isenção de responsabilidade

Reconhecimentos de marca registrada

Para consultas de vendas governamentais, entre em contato com Governmentsales@pearsoned.com.

Agradecemos sua assistência.

Editor-chefe: Mark Taub Editor de texto: Chuck Hutchinson

Editor Executivo: James Manly Designer de capa: Chuti Prasertsith

Editor-chefe: Sandra Schroeder Composição: codeMantra

Editor de Desenvolvimento: Christopher A. Cleveland Indexador: Timothy Wright

Editora Sênior do Projeto: Tonya Simpson Revisor: Donna E. Mulder

Sede das Américas Sede da Ásia-Pacífico Sede da Europa

iv Guia de certificação oficial do Cisco CyberOps Associate CBROPS 200-201

Sobre o Revisor Técnico

vi Guia de certificação oficial do Cisco CyberOps Associate CBROPS 200-201

Gostaria de agradecer à equipe da Cisco Press, especialmente James Manly e Christopher

Por fim, gostaria de agradecer à Cisco e à Equipe de Resposta a Incidentes de Segurança de

Capítulo 1 Fundamentos de segurança cibernética 2

Capítulo 2 Introdução à computação em nuvem e segurança em nuvem 82

Capítulo 3 Modelos de Controle de Acesso 102

Capítulo 4 Tipos de Ataques e Vulnerabilidades 152

Capítulo 5 Fundamentos de Criptografia e Infraestrutura de Chave Pública (PKI) 178

Capítulo 6 Introdução às Redes Privadas Virtuais (VPNs) 212

Capítulo 7 Introdução ao Gerenciamento de Operações de Segurança 232

Capítulo 8 Fundamentos da Análise de Intrusão 294

Capítulo 9 Introdução à Forense Digital 338

Capítulo 10 Telemetria e Análise de Dispositivos de Infraestrutura de Rede 370

Capítulo 11 Telemetria e Análise de Endpoint 430

Capítulo 12 Desafios no Centro de Operações de Segurança (SOC) 496

Capítulo 13 A Arte da Análise de Dados e Eventos 520

Capítulo 14 Classificando Eventos de Intrusão em Categorias 530

Capítulo 15 Introdução à Caça a Ameaças 552

Capítulo 16 Preparação Final 574

Glossário de Termos Chave 577

Apêndice A Respostas à pergunta “Já sei disso?”

Apêndice C Planejador de Estudos

viii Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201

Capítulo 1 Fundamentos de segurança cibernética 2

“Eu já sei disso?” Questionário 3 Tópicos

Introdução à segurança cibernética 8

Segurança cibernética versus segurança da informação (Infosec)

8 A estrutura de segurança cibernética do NIST 9

A Organização Internacional para Padronização 10

Ameaças, vulnerabilidades e explorações 10

O que é uma vulnerabilidade? 11 O

que é uma exploração? 13

Risco, ativos, ameaças e vulnerabilidades 15

Plataforma de Inteligência de Ameaças 19

Vulnerabilidades, Exploits e Kits de Exploit 20

Ataques de força bruta de credenciais e quebra de senha 23

Vulnerabilidades de referência de objeto direto inseguro 24

Script entre sites 25

Falsificação de solicitação entre sites 27

Ataques de manipulação de cookies 27

Vulnerabilidades de segurança em software de código aberto 29

x Guia oficial de certificação do Cisco CyberOps Associate CBROPS 200-201

Sistemas de Segurança de Rede 30

Técnicas de Filtragem de Pacotes 31

Tradução de Endereço de Porta 37