Análise de vulnerabilidades e endpoint

● Análise de risco → analisar e verificar pontos críticos que podem trazer futuros
problemas para o projeto
○ ERM (Framework Risk Management),objetivo de integrar de ferramentas de
gestão, avaliar psi’s, e buscar conformidades com normas regulatórias
■ Analista de segurança da informação - identifica riscos
■ Gerente de riscos - toma as decisões
■ Analista de conformidades - verificam se as regulamentações estão
sendo cumpridas
● Avaliação de vulnerabilidades → visa encontrar vulnerabilidades, como infecções ou
softwares desatualizados
○ OpenVas (um framework com várias ferramentas de varredura e
gerenciamento de vulnerabilidades)
○ Nessus (programa de verificação de falhas e vulnerabilidades)
■ Analista de segurança de dados - infraestrutura de aplicações
■ Técnicos de rede - também podem encontrar vulnerabilidades
● Teste de penetração → ataques simulados que visam encontrar vulnerabilidades, ao
mesmo tempo que determina o impacto de uma invasão bem sucedida
○ Metasploit (framework que fornece informações sobre vulnerabilidades)
○ Core Impact (software que fornece um ambiente para o teste)
■ Hacker white hat
■ Especialista em teste de penetração - realiza as simulações
■ Analista de segurança ofensiva - cria a estratégia
■ Analista forense digital - investiga o acidente

Perfil de Rede e Servidor

Perfilamento de rede →
- Para detectar incidentes e vulnerabilidades de rede, é preciso ter conhecimento do
funcionamento da rede, sendo que todos os dispositivos exibem um comportamento
típico
- a criação de perfis pode servir como referência para o funcionamento,
necessitando de dados de linha de base

+ Os dados de linha de base devem ser atuais, e a linha de base da rede deve ser feita
num período prolongado
+ detecção de anomalias de janela deslizante → um meio para capturar apenas o
período certo para a medição de linha de base
Softwares comuns → Wireshark e Netflow

Elementos importantes →
● duração de sessão: duração do fluxo de dados
● taxa de transferência total: quantidade de dados em um determinado período de
tempo
● portas usadas: lista de processos udp disponíveis para acessar dados
● espaço de endereço de ativo crítico: endereços ip’s ou localização lógica de sistemas
ou dados
● portas de escuta: portas tcp e udp abertas
● usuários e contas logadas: nível de acesso
● contas de serviço: tipos de serviço que um aplicativo pode executar
● ambiente de software: tarefas que tem a permissão de serem executadas
→ comportamento de usuário também deve ser considerado

Comportamento de rede → grande quantidade de dados diversos

- NBA (análise de comportamento de rede): análise desses dados como detecção de
ataques
- comparação das linhas de base com o desempenho atual da rede

Programa CVE

CVE → sigla para Vulnerabilidades e Exposições comuns, sendo uma lista pública com
falhas de segurança, cada uma com o seu ID
- CNA → CVE Numbering Authority é responsável por receber informações sobre
vulnerabilidades de diversas fontes e atribuir identificadores às mesmas.
- ADP → Publicador de dados autorizados, entidade que tem a autorização para
disponibilizar dados pessoas a fim de pesquisas
- Lista CVE → registro de informações sobre vulnerabilidades de segurança, tanto de
hardware quanto de software, com os seus determinados identificadores
- Registro CVE → a forma como uma companhia deve publicar o seu anúncio de
vulnerabilidade, que deve incluir: Número CVE, descrição de vulnerabilidade,
severidade, referência a outros registros CVE, histórico de mudanças e data de
publicação
- ID → um número específico que serve como identificador

Fontes de informação

+ um técnico sempre deve se manter informado sobre as ameaças

Comunidades de inteligência de rede
● SANS
● Mitre - lista de vulnerabilidades
● FIRST - resposta de incidentes
● SecurityNewsWire - portal de notícias
● (ISC)² - produtos educacionais
● CIS - prevenção, proteção, resposta e recuperação de e-mails cibernéticos