CÓDIGO DA DISCIPLINA: DEE345

SEGURANÇA DIGITAL - Aula 6

Prof. Jéfer Benedett Dörr

Departamento de Engenharias e Exatas - UFPR/Palotina

Docente de Segurança da Informação

Aula 6: Gestão de Segurança

1. Introdução à Gestão de Segurança e Pilares Fundamentais

Nesta aula, vamos revisitar a importância de assegurar sistemas computacionais abrangendo desde hábitos dos usuários até hardening de hardware e software.

A gestão de segurança protege sistemas contra ameaças, abordando usuários, hardware e software, em conformidade com a LGPD e PNSI.

1.1 O “Elo Mais Fraco”

Reafirma-se que a segurança de um sistema é limitada pelo seu elemento mais vulnerável — frequentemente o próprio usuário. Por isso, abordagens multifacetadas são indispensáveis para mitigar riscos.

O usuário é frequentemente o ponto mais vulnerável, suscetível a phishing e erros. Treinamentos e ferramentas como KnowBe4 ou hackerrangers reduzem riscos.

Nota: Em 2024, o Relatório Verizon DBIR indicou que 74% dos incidentes no Brasil envolveram o fator humano, como cliques em links maliciosos.

Nota: Em 2025, o Relatório Fortinet apontou que 70% dos incidentes cibernéticos no Brasil envolveram erros humanos, como cliques em links maliciosos.

Prática: Teste o simulador de phishing da Phishing.org para identificar e-mails falsos. Discuta como evitar ataques de engenharia social.

Objetivo: Treinar a identificação de e-mails falsos.

Acesse Phishing.org
Use o simulador para analisar e-mails de exemplo.
Observe: erros de gramática, links suspeitos, remetentes desconhecidos.

2. Como Evitar Engenharia Social

Técnicas comuns de defesa:

Verifique a fonte: Confirme a identidade do remetente.
Não clique em links: Passe o mouse para ver o destino real.
Use autenticação em dois fatores (2FA): Proteja suas contas.
Desconfie de urgência: Mensagens alarmistas são suspeitas.

Exercício Prático

Teste o simulador com 5 e-mails falsos.
Anote os erros encontrados em cada um.
Discuta com outras pessoas como se proteger.

1.2 Hardening de Sistemas

Endurecer sistemas significa aplicar configurações e controles que reduzem superfícies de ataque e garantem conformidade com normas como a ISO 27001 e ISO 27002, melhorando:

Controle de Acesso: Restringir acesso a usuários autorizados.
Ocultação: Minimizar serviços e portas expostas desnecessariamente.
Privacidade: Proteger dados sensíveis em repouso e em trânsito.
Disponibilidade: Garantir operação contínua mesmo em incidentes.

Ansible: Automatiza hardening (ex.: ansible-playbook -i hosts disable-ssh-root.yml desativa login root em SSH). github.com/ansible/ansible
OpenSCAP: Audita conformidade com CIS Benchmarks (ex.: oscap xccdf eval --profile cis /usr/share/xml/scap/ssg/content/ssg-ubuntu2004-xccdf.xml). open-scap.org
ClamAV: Antivírus open-source para detectar malware (ex.: clamscan -r /var/www). clamav.net
Tripwire: Monitora integridade de arquivos (ex.: tripwire --check). github.com/Tripwire

Nota: O ataque ao Procon-SP (2024) expôs dados de 1 milhão de consumidores devido à ausência de hardening, mitigável com ClamAV.

Prática: Instale ClamAV em uma VM Ubuntu e escaneie um diretório com arquivos de teste. Configure Tripwire para monitorar /etc e analise relatórios.

1. Instalar e Usar ClamAV

Objetivo: Escanear arquivos em busca de malware.

Passo 1: Instale em uma VM Ubuntu:
sudo apt update && sudo apt install clamav clamav-daemon
Passo 2: Atualize as definições de vírus:
sudo freshclam
Passo 3: Escaneie um diretório de teste:
clamscan -r /caminho/do/diretorio

2. Configurar Tripwire

Objetivo: Monitorar alterações no diretório /etc.

Passo 1: Instale Tripwire:
sudo apt install tripwire
Passo 2: Configure durante a instalação (use senha segura).
Passo 3: Inicialize o banco de dados:
sudo tripwire --init
Passo 4: Gere relatório de alterações:
sudo tripwire --check

Dicas Importantes

Use less para ler relatórios longos (ex: less /var/lib/tripwire/report/*).
Para ignorar falsos positivos, atualize o banco de dados:
sudo tripwire --update --accept-all

Nota: O ataque à Copasa (2023) expôs 2 milhões de dados devido à falta de hardening, evitável com OpenSCAP.

OpenSCAP (Open Security Content Automation Protocol)

OpenSCAP: Framework open-source para automação de conformidade e avaliação de segurança baseado nos padrões NIST SCAP (Security Content Automation Protocol). Permite auditoria automatizada de sistemas Linux e Windows contra benchmarks de segurança estabelecidos, identificando vulnerabilidades, configurações incorretas e desvios de políticas de segurança organizacionais.

Componentes Principais: Inclui scanner de vulnerabilidades OVAL (Open Vulnerability Assessment Language), avaliador de configuração XCCDF (Extensible Configuration Checklist Description Format), identificador de software CPE (Common Platform Enumeration) e base de dados CVE (Common Vulnerabilities and Exposures). Trabalha com profiles pré-definidos como CIS Benchmarks, DISA STIG e PCI-DSS.

Funcionalidades: Execução de scans de conformidade automatizados, geração de relatórios detalhados em HTML/XML, remediation automática de falhas identificadas, integração com ferramentas de gestão de configuração como Ansible e Puppet. Suporta scanning offline e online, permitindo auditoria tanto de sistemas em produção quanto imagens de container.

Principais Comandos: oscap xccdf eval para avaliação de conformidade, oscap oval eval para verificação de vulnerabilidades, oscap info para listar profiles disponíveis, e opções como --remediate para correção automática e --report para geração de relatórios detalhados.

Aplicações: Auditoria de compliance regulatório, hardening de sistemas, avaliação contínua de postura de segurança, preparação para certificações de segurança, monitoramento de drift de configuração e integração em pipelines DevSecOps para automação de verificações de segurança.

Vantagem: Padronização baseada em frameworks reconhecidos mundialmente, permitindo comparabilidade e reprodutibilidade de avaliações de segurança entre diferentes organizações e ambientes.

Prática: Configure uma VM Ubuntu e use Ansible para desativar serviços desnecessários (ex.: Telnet). Audite com OpenSCAP e corrija falhas.

Configuração de VM Ubuntu com Hardening Automatizado

1. Preparação da VM Ubuntu: Instale uma VM Ubuntu Server (recomendado LTS), configure rede e SSH. Atualize o sistema com sudo apt update && sudo apt upgrade. Configure usuário com privilégios sudo e desabilite login root direto via SSH editando /etc/ssh/sshd_config com PermitRootLogin no.

2. Instalação do Ansible: No sistema de controle, instale Ansible com sudo apt install ansible ou pip install ansible. Configure o inventário em /etc/ansible/hosts adicionando o IP da VM Ubuntu. Teste conectividade com ansible all -m ping e configure chaves SSH para autenticação sem senha.

3. Playbook para Desativar Serviços: Crie um playbook Ansible que utilize o módulo systemd para desabilitar serviços desnecessários como Telnet, FTP, SNMP, e outros. Use state: stopped e enabled: no para parar e desabilitar permanentemente. Inclua verificações com service_facts para listar serviços ativos antes e depois da execução.

4. Instalação do OpenSCAP: Na VM Ubuntu, instale as ferramentas OpenSCAP com sudo apt install libopenscap8 ssg-debian ssg-applications. Baixe profiles de segurança apropriados como STIG ou CIS através do pacote scap-security-guide. Verifique profiles disponíveis com oscap info.

5. Auditoria com OpenSCAP: Execute escaneamento de baseline com sudo oscap xccdf eval --profile [profile-name] --results results.xml --report report.html [datastream.xml]. Analise o relatório HTML gerado para identificar falhas de conformidade, vulnerabilidades e configurações inadequadas do sistema.

6. Correção Automatizada: Use a opção --remediate do OpenSCAP para aplicar correções automáticas ou crie playbooks Ansible baseados nos achados. Implemente correções graduais testando cada mudança. Documente todas as modificações e mantenha backups de configurações originais.

7. Validação Final: Execute nova auditoria OpenSCAP após correções para verificar melhorias na pontuação de segurança. Configure monitoramento contínuo e automatize execução periódica de auditorias. Estabeleça processo de revisão e atualização regular dos profiles de segurança.

Dica: Sempre teste em ambiente de desenvolvimento antes de aplicar em produção. Mantenha documentação detalhada das mudanças e crie pontos de restauração antes de grandes modificações.

1.3 Pilares da Segurança da Informação

Os pilares CID (Confidencialidade, Integridade, Disponibilidade) são fundamentais:

Confidencialidade: Impede que dados sejam acessados por agentes não autorizados (ex.: criptografia de dados de cartão de crédito). Use openssl enc -aes-256-cbc -in dados.txt -out dados.enc para criptografar arquivos.
Integridade: Garante que informações não sejam alteradas sem permissão (ex.: uso de assinaturas digitais para validar transações). Verifique arquivos com sha256sum arquivo.txt


    Disponibilidade: Assegura que sistemas e dados estejam acessíveis quando necessário (ex.: clusters de alta disponibilidade).  Implemente load balancers com nginx (ex.: sudo systemctl enable nginx).


    
    Prática: Criptografe um arquivo com openssl e verifique sua integridade com sha256sum. Simule um cluster com duas VMs e nginx.
  

    

  Prática: Criptografia de Arquivos e Simulação de Cluster
  
  1. Criptografia com OpenSSL: Crie um arquivo de teste com echo "Dados confidenciais" > arquivo.txt. Criptografe usando AES-256-CBC com openssl enc -aes-256-cbc -salt -in arquivo.txt -out arquivo.enc -k minhasenha. Para descriptografar use openssl enc -aes-256-cbc -d -in arquivo.enc -out arquivo_desc.txt -k minhasenha.
  
  2. Verificação de Integridade: Gere hash SHA256 do arquivo original com sha256sum arquivo.txt > arquivo.sha256. Após descriptografar, verifique integridade com sha256sum -c arquivo.sha256. O comando confirmará se o arquivo mantém sua integridade comparando os hashes antes e depois da criptografia.
  
  3. Preparação das VMs: Configure duas VMs Ubuntu (VM1 e VM2) com endereços IP estáticos. Instale nginx em ambas com sudo apt update && sudo apt install nginx. Configure páginas diferentes em cada VM editando /var/www/html/index.html para identificar qual servidor está respondendo.
  
  4. Configuração do Load Balancer: Na VM1, configure nginx como load balancer editando /etc/nginx/sites-available/default. Adicione configuração upstream com upstream backend { server IP_VM1:80; server IP_VM2:80; } e proxy_pass para http://backend na seção location.
  
  5. Teste do Cluster: Reinicie nginx em ambas VMs com sudo systemctl restart nginx. Teste balanceamento acessando IP da VM1 múltiplas vezes e verificando se as respostas alternam entre os servidores. Use curl -I http://IP_VM1 para verificar headers de resposta.
  
  6. Monitoramento: Verifique logs de acesso com sudo tail -f /var/log/nginx/access.log em ambas VMs. Teste alta disponibilidade parando nginx em uma VM com sudo systemctl stop nginx e verificando se o cluster continua funcionando redirecionando tráfego apenas para a VM ativa.
  
  7. Validação Final: Documente IPs, configurações e resultados dos testes. Verifique se arquivo criptografado mantém integridade após múltiplas operações de encrypt/decrypt. Confirme que load balancer distribui requisições adequadamente e mantém disponibilidade mesmo com falha de um nó.
  
  Dica: Use algoritmos de balanceamento como round-robin, least_conn ou ip_hash dependendo da necessidade. Monitore performance com ferramentas como htop e iotop durante os testes.

    
    

  2. Conjuntos de Normas e Boas Práticas (Frameworks de Segurança)

  2.1 Principais Frameworks
  
    Basileia II: Norma da área financeira, focada em princípios de contabilidade e supervisão bancária.
    PCI-DSS (Payment Card Industry Data Security Standard): Padrão internacional que define requisitos para proteger dados de cartões de crédito e prevenir fraudes. Exige MFA e criptografia (ex.: openssl genrsa -out key.pem 2048 para gerar chaves).
    ITIL (Information Technology Infrastructure Library): Conjunto de boas práticas para gestão, operação e manutenção de serviços de TI, sempre guiado por valor ao cliente e processos padronizados.
    COBIT (Control Objectives for Information and related Technology): Framework para governança e gestão de TI, oferecendo objetivos de controle e métricas de desempenho.
    NIST 800 Series: Série de publicações do National Institute of Standards and Technology contendo guias, recomendações e padrões sobre segurança da informação (ex.: NIST SP 800-53 para controles de segurança e privacidade). Use Tenable.io para escanear vulnerabilidades (ex.: curl -X POST https://cloud.tenable.com/scans). tenable.com
    NIST SP 800-53: Use Security Onion para análise de tráfego (ex.: sudo so-analyzer-start). securityonion.net
     MITRE ATT&CK: Mapeia táticas de atacantes (ex.: T1566 - Phishing). attack.mitre.org
    CIS Benchmarks: Padrões para hardening (ex.: cis-cat -r /etc). cisecurity.org
  
  
    
       Caso Lojas Americanas (2023)
    
    
        Fatos Reais
        
            Fonte: G1 (20/09/2023) e Serasa
            Problema: Vazamento de dados de 2,3 milhões de clientes (números de CPF e endereços)
            Causa: Falha em APIs de integração com marketplaces terceiros
            Multas: R$ 3,7 milhões (PROCON-SP + ações judiciais)
        
    

    Lições Relevantes para PCI-DSS
    
        APIs não seguras: Dados trafegavam sem criptografia (violando Req. 4 do PCI-DSS)
        Falta de monitoramento: Vazamento detectado só após 3 meses (violando Req. 10)
    

    Fontes Confiáveis para Pesquisa
    
        Site Oficial PCI DSS
        Relatório de Vazamentos (PROCON-SP)
        Alertas de Fraude (Serasa)
    
      
  

  
  Tenable.io - Cyber Exposure Platform
  
  Tenable.io: Plataforma de gestão de vulnerabilidades baseada na nuvem que oferece visibilidade completa da superfície de ataque organizacional. Sucessor do Nessus Professional, fornece scanning contínuo de vulnerabilidades, avaliação de risco, monitoramento de conformidade e análise de exposição cibernética em tempo real para infraestruturas híbridas incluindo on-premises, nuvem e ambientes containerizados.
  
  Principais Recursos: Scanner de vulnerabilidades Nessus integrado, discovery automático de ativos, avaliação de configurações incorretas, detecção de malware, scanning de aplicações web, análise de conformidade regulatória (PCI-DSS, HIPAA, SOX), dashboards executivos e métricas de Cyber Exposure Score (CES) para quantificação do risco organizacional.
  
  Capacidades de Scanning: Suporte para mais de 47.000 plugins de vulnerabilidades, scanning credenciado e não-credenciado, detecção de sistemas operacionais e serviços, identificação de softwares instalados, análise de patches faltantes, descoberta de dispositivos IoT e avaliação de configurações de segurança em múltiplas plataformas.
  
  Integração e Automação: APIs RESTful para integração com SIEM, SOAR e ferramentas de ticketing, conectores pré-construídos para ServiceNow, Jira e Splunk, webhooks para notificações automáticas, integração com ferramentas de DevOps através de plugins Jenkins e containers Docker para scanning contínuo em pipelines CI/CD.
  
  Relatórios e Compliance: Templates de relatórios executivos e técnicos, relatórios de conformidade automatizados para frameworks como NIST, ISO 27001 e CIS Controls, trending de vulnerabilidades ao longo do tempo, métricas de remediação e dashboards customizáveis para diferentes stakeholders organizacionais.
  
  Diferencial: Foco na quantificação do risco cibernético através de métricas businessfriendly que traduzem achados técnicos em impacto financeiro e operacional para tomada de decisão estratégica.

  
  
  2.2 Norma ISO 27001: SGSI e Ciclo PDCA
  A ISO 27001 define um Sistema de Gestão de Segurança da Informação (SGSI) baseado no ciclo PDCA (Plan-Do-Check-Act):
  
    
      Plan (Planejar):
       Identifique riscos e planeje controles usando eramba, uma plataforma open-source para gestão de SGSI.
            Exemplo prático: eramba risk create --name "Vazamento de Dados" --likelihood 4 --impact 5
            Dica: Use a matriz de risco do eramba para priorizar ameaças.
      
        Estabelecer a política de segurança e objetivos do SGSI.
        Mapear e avaliar riscos de segurança da informação.
        Definir processos e procedimentos para mitigar riscos.
      
    
    
      Do (Fazer/Executar):
      Implemente controles de segurança de forma automatizada com Ansible.
            Exemplo prático: ansible-playbook secure_servers.yml --tags "firewall,updates"
            Arquivo YML típico: Configura regras de firewall, atualizações e hardening.
      
        Implementar controles, políticas e procedimentos definidos.
        Operar fluxos de trabalho com requisitos de segurança.
      
    
    
      Check (Checar/Verificar):
       Monitore a eficácia dos controles com a stack ELK (Elasticsearch, Logstash, Kibana).
            Exemplo prático: sudo systemctl start kibana && sudo journalctl -u kibana -f
            Dica: Crie dashboards no Kibana para visualizar tentativas de acesso não autorizado.
      
        Monitorar métricas de desempenho do SGSI.
        Realizar auditorias internas e revisões gerenciais.
      
    
    
      Act (Agir):
      Corrija não conformidades através de auditorias manuais e revisão de políticas.
            Exemplo: Realize pentests trimestrais e atualize documentos do SGSI.
      
        Executar ações corretivas e preventivas para não conformidades.
        Aplicar melhorias contínuas ao SGSI.
      
    
  
  
  
    Splunk: Monitora logs para auditorias (ex.: index=main sourcetype=syslog | stats count by host). splunk.com
  
  
  
    Prática: Crie uma política de segurança fictícia e simule um ciclo PDCA em sala. Use Splunk Free para analisar logs de uma VM.
  
  
  

  Splunk Free - Plataforma de Análise de Logs
  
  Splunk Free: Versão gratuita da plataforma Splunk que permite ingestão e análise de até 500MB de dados por dia. Oferece funcionalidades essenciais de SIEM (Security Information Event Management) incluindo coleta de logs, pesquisa avançada, visualizações básicas e dashboards para monitoramento de segurança e troubleshooting de sistemas em tempo real.
  
  Capacidades de Coleta: Suporte a múltiplas fontes de dados incluindo logs de sistema (syslog, Windows Event Logs), logs de aplicação, logs de rede (firewalls, roteadores, switches), logs de servidores web (Apache, Nginx), logs de banco de dados e APIs REST. Utiliza Universal Forwarders para coleta distribuída e Heavy Forwarders para parsing avançado.
  
  Search Processing Language (SPL): Linguagem de query proprietária que permite pesquisas complexas usando comandos como search, stats, eval, where, sort e timechart. Suporte a regex, operações matemáticas, correlação de eventos, análise temporal e agregações estatísticas para investigação forense e detecção de anomalias.
  
  Detecção de Ameaças: Identificação de padrões suspeitos como tentativas de brute force, logins anômalos, escalação de privilégios, transferências de dados incomuns e comportamentos maliciosos. Criação de alertas baseados em thresholds, correlação de eventos de segurança e timeline de incidentes para resposta rápida.
  
  Visualizações e Dashboards: Criação de gráficos, tabelas, mapas de calor, gauges e visualizações geográficas. Dashboards interativos para monitoramento em tempo real de KPIs de segurança, métricas de performance de sistemas, análise de tendências e relatórios executivos com drill-down capabilities.
  
  Limitações da Versão Free: Restrição de 500MB/dia de indexação, ausência de alerting automático, clustering limitado, sem autenticação LDAP/SAML, relatórios PDF restritos e sem suporte técnico oficial. Adequada para laboratórios, pequenas empresas e aprendizado da plataforma.
  
  Aplicação: Ideal para análise forense, monitoramento de segurança básico, troubleshooting de aplicações, compliance logging e desenvolvimento de habilidades em análise de logs antes da migração para versões empresariais.


  
    
        Fluxo do PDCA com Ferramentas
        Plan → Do → Check → Act
        
            Eramba (Riscos) → 
            Ansible (Automação) → 
            ELK Stack (Monitoramento) → 
            Auditorias (Melhoria)
        
        Dica: Documente cada fase em um repositório Git para rastreabilidade.
    

    
        Atividade Prática
        
            Crie uma VM Ubuntu (use VirtualBox ou AWS Free Tier)
            Instale o ELK Stack seguindo o guia oficial
            Simule um ciclo PDCA completo:
                
                    Planeje: Identifique 3 riscos fictícios
                    Execute: Configure um playbook Ansible básico
                    Verifique: Analise logs no Kibana
                    Aja: Documente lições aprendidas
                
            
        
        Recursos extras: GitHub do eramba, Ansible Galaxy para playbooks prontos.
    
  
  2.3 Norma ISO 27002: Boas Práticas de Controles
  A ISO 27002 complementa a ISO 27001, detalhando controles recomendados em várias áreas:
  
    
      Política de Segurança da Informação:
      
        Documento formal contendo conceitos, comprometimento da alta direção e requisitos de conformidade.
      
    
    
      Organizando a Segurança da Informação:
      
        Definir responsabilidades claras para gestores, equipes de TI e usuários.
        Estabelecer comitê ou representante multifuncional para coordenar a SI.
      
    
    
      Gestão de Ativos:
      
        Identificar e classificar ativos de TI (hardware, software, dados).
        Designar proprietários de cada ativo.
        Exemplo de ferramenta: 
          Use OCS-NG para inventário OCS-NG (Open Computer and Software Inventory Next Generation) 
          — inventaria hardware e software, facilitando gestão de patches e licenças.
        
      
    
    
      Segurança em Recursos Humanos:
      
        Treinar novos funcionários e fornecedores sobre políticas de segurança.
        Definir cláusulas contratuais de confidencialidade e desligamento seguro.
      
    
    
      Controle de Acesso:
      
        Autenticação: Confirmar identidade usando SYK (Something You Know), SYH (Something You Have) e/SYA (Something You Are). Exemplo: combinação de senha + token (MFA).
        Autorização: Definir permissões após a autenticação, usando modelos como RBAC (Role-Based Access Control) e ACLs.
        Classificação da Informação: Categorizar dados em 
          Pública, 
          Sensível, 
          Privada ou 
          Confidencial 
          para aplicar controles adequados.
        
      
    
    
      Análise e Gerenciamento de Riscos:
      
        Identificar eventos de risco à Confidencialidade, Integridade e Disponibilidade (CID).
        Usar metodologias como ISO 31000, OCTAVE ou FAIR para priorizar riscos críticos.
        Riscos: Aplique ISO 31000 com risky (ex.: risky analyze -f risks.csv). github.com/risky/risky
      
    
  


    
  OCS-NG - Open Computer and Software Inventory
  
  OCS-NG (Open Computer and Software Inventory Next Generation): Solução open source de gestão de ativos que permite escanear e inventariar todos os dispositivos do departamento de TI. Coleta informações sobre hardware e software de máquinas em rede executando o programa cliente OCS (OCS Inventory Agent). Oferece interface web para visualização do inventário, capacidade de deploy de aplicações baseado em critérios de busca e descoberta de rede via IpDiscover e scanning SNMP.
  
  Arquitetura: Baseada no modelo cliente-servidor, onde o programa cliente é chamado de agente de rede e o servidor de gerenciamento é composto por quatro funções: servidor de banco de dados, servidor de comunicação, servidor de deployment e console de administração. Suporta múltiplos sistemas operacionais e utiliza protocolos HTTP padronizados para comunicação entre agentes e servidor via XML.
  
  Funcionalidades: Scans SNMP para recuperar informações de dispositivos de rede como copiadoras, switches, roteadores e computadores sem agente instalado. Disponibiliza Web Service via REST API desde a versão 2.4, permite integração com ferramentas ITSM, suporte a plugins extensivos e capacidade de deployment de pacotes superiores a 4GB em sistemas 64-bit.
  
  GitHub Risky - Análise de Riscos em Repositórios
  
  GitHub Risky: Ferramenta de análise de segurança que identifica riscos potenciais em repositórios GitHub. Examina configurações de segurança inadequadas, vazamento de credenciais, malware em repositórios e vulnerabilidades que podem comprometer a integridade dos projetos. Ajuda desenvolvedores a identificar e mitigar ameaças de segurança em código fonte e dependências.
  
  Recursos de Detecção: Identifica secrets hardcoded, tokens de API expostos, chaves privadas, senhas em texto claro, configurações inseguras de CI/CD, permissões excessivas e dependências vulneráveis. Oferece análise automatizada de repositórios públicos e privados com relatórios detalhados sobre achados de segurança.
  
  Aplicação: OCS-NG é ideal para organizações que necessitam de inventário automatizado de ativos de TI, enquanto GitHub Risky é essencial para desenvolvimento seguro e proteção contra vazamento de informações sensíveis em repositórios de código.

    
    

  3. CSIRT (Centro de Atendimento a Incidentes de Segurança)
  O CSIRT é o núcleo responsável por coordenar respostas a incidentes de segurança, como phishing e ransomware, em conformidade com a LGPD e PNSI. 
    
    
      

        🔒 Conformidade Legal
        Os CSIRTs (Computer Security Incident Response Teams) atuam alinhados a:
        
            LGPD (Lei 13.709/2018): Artigo 46 exige medidas de segurança para proteção de dados
            PNSI (Política Nacional de Segurança da Informação): Decreto 10.222/2020 prevê estruturação de CSIRTs governamentais
            Marco Civil da Internet (Lei 12.965/2014): Artigo 7º sobre tratamento de registros
        
    
    
    No Brasil, destacamos:
  
    cert.br: mantido pelo Comitê Gestor da Internet do Brasil (cgi.br), produz guias, relatórios e ferramentas para tratamento de incidentes.
    Funções do CSIRT:
      
        Receber e registrar incidentes reportados por usuários ou empresas.
        Diagnosticar ameaças (vulnerabilidades, malwares, ataques DDoS).
        Fornecer orientações de mitigação e boletins de alerta.
      
    
    Atividades Chave:
      
        Publicar boletins técnicos (ex.: alertas de CVEs críticas).
        Organizar campanhas de conscientização (ex.: Dia do Surf Seguro).
        Coordenar exercícios de simulação de incidentes para melhoria contínua.
      
    
  
  
  
    TheHive: Gerencia incidentes (ex.: curl -X POST http://thehive:9000/api/case -d '{"title":"Ataque DDoS"}'). thehive-project.org
    MISP: Compartilha IoCs (ex.: mispcli.py --add-event --title "Phishing" --threat_level_id 2). misp-project.org
  
  
    Nota: A resposta lenta do CSIRT no ataque ao Ministério da Justiça (2023) resultou em vazamento de dados, mitigável com TheHive.
  
  
    Prática: Configure TheHive em uma VM e simule um incidente de phishing. Consulte alertas do cert.br e integre IoCs em um MISP local.
  
  
  

  TheHive - Security Incident Response Platform
  
  TheHive: Plataforma open source de resposta a incidentes de segurança que permite às equipes de segurança colaborar e investigar casos de forma estruturada. Oferece gestão de casos, análise de observáveis (IPs, domains, hashes), templates customizáveis, sistema de tasks colaborativo e timeline de eventos para documentar investigações de segurança.
  
  Principais Recursos: Criação de casos com classificação por severidade, análise automatizada através de Cortex analyzers (VirusTotal, Shodan, etc.), dashboards de métricas, alerting integrado e capacidade de correlacionar incidentes similares. Interface web intuitiva facilita colaboração entre analistas e documentação completa de investigações.
  
  MISP - Malware Information Sharing Platform
  
  MISP: Plataforma open source para compartilhamento de threat intelligence que permite armazenar, correlacionar e distribuir indicadores de comprometimento (IOCs). Facilita troca estruturada de informações sobre ameaças entre organizações através de feeds automatizados, taxonomias padronizadas e controle granular de distribuição.
  
  Funcionalidades: Organização de dados em eventos contendo atributos categorizados (IPs, hashes, domínios), sincronização automática entre instâncias MISP, exportação em múltiplos formatos (STIX, JSON, CSV), feeds de threat intelligence automatizados e warninglists para filtragem de falsos positivos. Suporte a galaxies para contextualização de grupos APT e campanhas.
  
  Aplicação: TheHive é ideal para SOCs que precisam gerenciar investigações de incidentes, enquanto MISP é essencial para organizações que compartilham e consomem threat intelligence colaborativa.



   

        🛠️ RTIR (Request Tracker for Incident Response)
        Ferramenta open-source para gestão de incidentes:
        
            Comando real: rtir create -t 'incidente' -s 'alto' -m 'Vazamento de dados detectado'
            Fluxo típico:
                
                    Criação do ticket
                    Classificação (SLA conforme Guia CERT.br)
                    Escalonamento para equipes especializadas
                
            
        
        
            ⚠️ A versão RTIR 5.0+ requer Perl 5.26+ e MySQL 8.0+ (ver documentação oficial)
        
    

    
        🔍 Cuckoo Sandbox
        Ambiente isolado para análise dinâmica de malware:
        
            Comando completo: cuckoo submit --timeout 120 --package exe --options "priority=1" arquivo.exe
            Saída típica:
                
                    Relatório JSON com IOC (Indicadores de Comprometimento)
                    Capturas de tráfego de rede (PCAP)
                    Dump de memória para análise forense
                
            
        
        📌 Dica: Integre com MISP para compartilhamento de IOC entre CSIRTs
    

    📊 Fluxo de Trabalho Recomendado
    
        Detecção: SIEM (ex: Wazuh, Splunk) gera alerta
        Triagem: RTIR classifica o incidente
        Análise: Cuckoo Sandbox para amostras desconhecidas
        Resposta: Playbooks baseados no NIST CSF
    

    
        📝 Modelo de Relatório Pós-Incidente (Conforme LGPD)
        
            Natureza do incidente
            Dados pessoais afetados
            Medidas de contenção aplicadas
            Ações preventivas (ART. 48 da LGPD)
        
    
    
  
  

  4. Plano de Continuidade de Negócio (PCN)
  O PCN garante que processos críticos continuem em operação mesmo após incidentes, alinhados à LGPD e PNSI.

  4.1 Importância dos Backups
  
    Tipos de Backup:
      
        Completo: cópia de todos os dados.
        Incremental: cópia apenas dos dados alterados desde o último backup (economiza espaço).
        Diferencial: cópia dos dados alterados desde o último backup completo.
      
    
    Armazenamento Seguro:
      
        Criptografar backups (ex.: gpg -c arquivo.tar.gz).
        Manter cópias em local geograficamente separado (ex.: nuvem ou outro datacenter).
      
    
    Testar o Restore:  
      “O maior problema de backups é não testar o restore.” Realizar simulações periódicas de recuperação de dados para validar eficácia.
    
  
  
    Veeam Backup: Cria backups criptografados (ex.: veeamconfig backup create --name daily). veeam.com
    Vuls: Escaneia vulnerabilidades antes de incidentes (ex.: vuls scan -config vuls.conf). vuls.io
  
  
  
  
    Prática: Crie um backup criptografado com gpg -c dados.tar.gz e teste o restore. Use Vuls para escanear uma VM e corrija falhas.
  
  
   4.2 Ferramentas de Backups
  
    Bacula: Gerencia backups corporativos (ex.: bacula-dir start). bacula.org
    Chkrootkit: Detecta rootkits (ex.: chkrootkit). chkrootkit.org
  

   
        💾 Por que Backups Off-site São Cruciais?
        O caso hipotético ilustra um risco real. Melhores práticas comprovadas:
        
            Regra 3-2-1:
                
                    3 cópias dos dados
                    2 mídias diferentes (ex: HD + fita)
                    1 cópia off-site (ex: AWS S3 Glacier)
                
            
            Testes Mensais: Valide a restauração com sha256sum backup.tar.gz
            Criptografia: Use gpg --encrypt antes do armazenamento
        
    
  
  
        📝 Atividade Prática (Baseada em Cenário Hipotético)
        Simule uma estratégia de backup para proteger uma rede varejista:
        
            Configure o Bacula para backups automáticos
            Armazene cópias no AWS Glacier
            Teste a restauração com: bacula-restore --jobid=1234 --where=/tmp/restore
        
    
  
  
  
  GPG - GNU Privacy Guard
  
  GPG: Ferramenta de criptografia de arquivos e comunicações que implementa o padrão OpenPGP. Permite criptografia simétrica (com senha) e assimétrica (com pares de chaves). O comando gpg -c realiza criptografia simétrica rápida para proteção local de arquivos sensíveis.
  
  Principais Recursos: Criptografia AES-256, assinatura digital de arquivos, gerenciamento de chaves PGP, integração com e-mail. Ideal para proteger backups, documentos confidenciais e comunicações antes do envio.
  
  Veeam Backup & Replication
  
  Veeam: Solução corporativa para backup, recuperação e replicação de dados em ambientes virtuais, físicos e cloud. Oferece criptografia nativa, compactação e deduplicação para otimizar armazenamento.
  
  Funcionalidades: Backup incremental, replicação em tempo real, restauração granular, relatórios de conformidade, proteção contra ransomware com immutable backups. Suporta políticas 3-2-1 (3 cópias, 2 mídias, 1 off-site).
  
  VULS - Vulnerability Scanner
  
  VULS: Scanner open source de vulnerabilidades que monitora sistemas em busca de CVE conhecidas. Diferencia-se por não requerer agentes nos sistemas alvo, usando apenas acesso SSH para coletar informações.
  
  Capacidades: Detecção automática de pacotes instalados, priorização por CVSS score, relatórios em múltiplos formatos (JSON, HTML), integração com OWASP Top 10. Ideal para equipes que precisam manter inventário atualizado de vulnerabilidades.
  
  Aplicação: GPG protege dados em repouso, Veeam garante disponibilidade através de backups seguros, enquanto VULS identifica vulnerabilidades que poderiam comprometer esses sistemas.

  
  4.2 Exemplos e Estudos de Caso
  
    
      Notebook VENDIDO no eBay (2022):  
      Ex-funcionário vendeu laptop sem apagar HD, expondo dados de 1 milhão de correntistas.  
      
        Esse caso mostra como a falta de procedimentos de Hardening e PCN (limpeza segura de equipamentos) pode levar a vazamentos graves.
      
    
    
      Vazamentos por Falta de Backup:  
      Empresas que não tinham cópias externas perderam informações críticas em ataques de ransomware, atrasando retomada das operações em semanas.
    
    Vivo (2023): Equipamentos descartados sem limpeza expuseram dados, evitável com PCN robusto.
  



  5. Conexão com Vazamentos de Dados e Impactos Legislativos
  Mesmo com PCN e hardening, vulnerabilidades ou negligência podem resultar em vazamentos de dados.

  5.1 Impacto da LGPD
  
    A LGPD (Lei nº 13.709/2018) exige notificação de incidentes em até 72 horas e aplicação de medidas para proteger dados pessoais.
    Empresas devem documentar evidências de boas práticas (ex.: políticas ISO 27001, PCN testado) para demonstrar conformidade e evitar multas.
     PhishTank: Verifica URLs de phishing (ex.: curl -X POST https://checkurl.phishtank.com/checkurl/). phishtank.com
    vt-cli: Analisa arquivos e URLs (ex.: vt url https://site-suspeito.com). github.com/VirusTotal/vt-cli
  
  

  Nota: O vazamento da Netshoes (ocorrido em 2017/2018) resultou em uma indenização de R$ 500 mil, acordada com o Ministério Público antes da vigência das sanções da LGPD.

  
  
    Prática: Use PhishTank e vt-cli para verificar URLs fictícias de phishing. Elabore um plano de resposta a vazamentos com base na LGPD.
  
  
  
    DeHashed: Busca credenciais vazadas (ex.: curl -X POST https://api.dehashed.com/search -d '{"email":"user@exemplo.com"}'). dehashed.com
    YARA: Identifica malware (ex.: yara -r regras.yar /diretorio). virustotal.github.io/yara
  
  
   
    Prática: Use DeHashed para verificar e-mails fictícios vazados. Crie uma regra YARA para detectar um arquivo de teste malicioso.
     
     

        Guia Rápido: Criar uma Regra YARA
        Aprenda a criar uma regra YARA para detectar um arquivo com base em seu conteúdo. Siga os três passos abaixo.

        
        
            Passo 1: Crie o Arquivo Alvo
            Primeiro, crie um arquivo de texto chamado arquivo_malicioso_teste.txt. Este será o nosso "malware" de exemplo.
            # Script de teste para deteccao YARA
MALWARE_SIGNATURE_KALI_LINUX
# O texto em hexa abaixo corresponde a "DOWNLOAD_EXEC"
echo "444f574e4c4f41445f45584543" > comando.hex
payload_id=PID-98765-B
        

        
        
            Passo 2: Escreva a Regra YARA
            Agora, crie o arquivo com a regra, chamado minha_regra.yar. A regra buscará por trechos de texto específicos dentro do arquivo alvo.
            rule Detecta_Malware_De_Teste {
    meta:
        descricao = "Detecta um arquivo de teste com assinaturas específicas."
    strings:
        $txt = "MALWARE_SIGNATURE_KALI_LINUX"
        $hex = { 44 4F 57 4E 4C 4F 41 44 5F 45 58 45 43 } // "DOWNLOAD_EXEC"
        $regex = /payload_id=PID-\d{5}-[A-Z]/
    condition:
        2 of them // Aciona se encontrar 2 das 3 assinaturas
}
        

        
        
            Passo 3: Execute e Detecte
            No terminal, na pasta onde salvou os arquivos, execute o YARA. Ele usará a regra para analisar o arquivo de teste.
            yara minha_regra.yar arquivo_malicioso_teste.txt
            O resultado esperado é o nome da regra seguido do arquivo detectado, confirmando o sucesso:
            Detecta_Malware_De_Teste arquivo_malicioso_teste.txt
        

    
     
  
  
  
  5.2 Boas Práticas Complementares
  
    Inventário de Ativos: Atualizar continuamente a base de dados de hardware e software, utilizando OCS-NG.
    Treinamento Contínuo: Realizar campanhas de conscientização para reforçar o “elo mais fraco” — o usuário, evitando ataques de phishing e engenharia social.
    Auditorias Periódicas: Verificar conformidade com frameworks e normativas (ISO 27001, PCI-DSS, NIST). Auditorias trimestrais ou semestrais são recomendadas.  Use lynis para auditorias de sistema (ex.: lynis audit system). cisofy.com/lynis
     Treinamento: Simule phishing com GoPhish.
  
   
    Nota: O ataque ao INSS (2024) violou a PNSI por falta de auditorias, expondo 30 milhões de dados.
  
  
  
  Lynis - Auditoria de Segurança em Sistemas
  
  Lynis: Ferramenta open source de auditoria de segurança para sistemas Unix/Linux que realiza verificações automatizadas de hardening. Escaneia o sistema em busca de configurações inseguras, vulnerabilidades conhecidas e desvios das melhores práticas de segurança.
  
  Principais Recursos: Verificação de permissões de arquivos, configurações de kernel, atualizações pendentes, políticas de senha e serviços desnecessários. Gera relatórios detalhados com recomendações específicas para cada item verificado, classificadas por nível de risco (alto, médio, baixo).

  Uso Básico:

  sudo lynis audit system (verificação completa)

  sudo lynis show groups (lista categorias de testes)

  GoPhish - Framework de Simulação de Phishing
  
  GoPhish: Plataforma open source para conduzir campanhas simuladas de phishing com fins educacionais e de conscientização. Permite criar páginas de login falsas realistas e enviar e-mails personalizados para testar a resistência dos usuários a ataques reais.
  
  Funcionalidades: Editor de templates de e-mail, criação de landing pages, rastreamento de cliques e submissões de credenciais, relatórios detalhados de engajamento. Interface web intuitiva para gerenciamento completo das campanhas.

  Uso Básico:

  ./gophish (inicia o servidor web na porta 3333)

  Acesse http://localhost:3333 para configurar campanhas

  Integração Prática
  Lynis identifica vulnerabilidades no servidor que poderiam ser exploradas por ataques reais, enquanto GoPhish testa o fator humano - a combinação perfeita para avaliar tanto aspectos técnicos quanto comportamentais da segurança organizacional.

  
    Auditorias: Use lynis audit system para verificações regulares.
    Treinamento: Simule phishing com king-phisher (ex.: king-phisher server). github.com/securestate/king-phisher
  


    

  6. Estruturas de Segurança Essenciais
  Além dos frameworks já abordados, existem conjuntos de controles e guias complementares que ajudam a priorizar ações e medir maturidade:
  
    
      CIS Controls  
      Conjunto de 18 controles críticos publicados pelo Center for Internet Security.  
      
        Exemplo: “Inventory and Control of Hardware Assets” (Controle 1) e “Continuous Vulnerability Management” (Controle 3).
      
    
    
      NIST Cybersecurity Framework (CSF)  
      Estrutura baseada em cinco funções:  
      
        Identify (Identificar): mapeamento de ativos e riscos.
        Protect (Proteger): controles de acesso e proteção de dados.
        Detect (Detectar): monitoramento e detecção de anomalias.
        Respond (Responder): planos e processos de resposta a incidentes.
        Recover (Recuperar): continuidade de negócio e restauração de serviços.
      
      Use o CSF para alinhar processos internos a boas práticas reconhecidas internacionalmente.
    
  





Quiz de Avaliação – Aula 6



  1. Qual dos seguintes NÃO é um dos três pilares da segurança da informação?
  
    
    Confidencialidade
  
  
    
    Integridade
  
  
    
    Disponibilidade
  
  
    
    Autenticação
  

  
    
    CORRETO! Autenticação não faz parte dos três pilares (CID); ela é um controle de acesso.
  
  
    
    INCORRETO. Os pilares são Confidencialidade, Integridade e Disponibilidade. Autenticação é um mecanismo de controle, não um pilar.
  




  2. No ciclo PDCA do SGSI da ISO 27001, qual etapa corresponde a “monitorar e analisar criticamente”?
  
    
    Plan (Planejar)
  
  
    
    Do (Fazer)
  
  
    
    Check (Checar)
  
  
    
    Act (Agir)
  

  
    
    CORRETO! A fase “Check” envolve monitorar, medir e analisar criticamente o SGSI.
  
  
    
    INCORRETO. “Check” é a etapa de avaliação e monitoramento. “Act” é para ações corretivas e melhorias.
  




  3. Qual framework define boas práticas para gestão de serviços de TI com foco no cliente?
  
    
    ITIL
  
  
    
    PCI-DSS
  
  
    
    COBIT
  
  
    
    NIST 800
  

  
    
    CORRETO! ITIL é o conjunto de boas práticas para gestão de serviços de TI orientado ao cliente.
  
  
    
    INCORRETO. ITIL é o framework de gestão de serviços; PCI-DSS e COBIT têm outros focos, e NIST 800 é uma série de publicações.
  




  4. Qual norma impõe requisitos para proteger dados de cartões de crédito e prevenir fraudes?
  
    
    ISO 27001
  
  
    
    PCI-DSS
  
  
    
    Basileia II
  
  
    
    ITIL
  

  
    
    CORRETO! PCI-DSS define requisitos de segurança para dados de cartão de crédito.
  
  
    
    INCORRETO. A norma para cartões de crédito é PCI-DSS; ISO 27001 é para SGSI e Basileia II é para supervisão bancária.
  




  5. Qual ferramenta pode ser usada para inventariar hardware e software em conformidade com ISO 27002?
  
    
    Snort
  
  
    
    OCS-NG
  
  
    
    Hydra
  
  
    
    Metasploit
  

  
    
    CORRETO! OCS-NG é usado para inventariar ativos conforme boas práticas de gestão de ativos.
  
  
    
    INCORRETO. OCS-NG inventaria hardware e software; Snort é IDS, Hydra e Metasploit servem a outros propósitos.
  




  6. Qual entidade brasileira é um exemplo de CSIRT responsável por incidentes de segurança?
  
    
    cert.br
  
  
    
    ANPD
  
  
    
    Banco Central
  
  
    
    CNPq
  

  
    
    CORRETO! O cert.br é o CSIRT mantido pelo Comitê Gestor da Internet no Brasil.
  
  
    
    INCORRETO. O cert.br é o CSIRT; ANPD regula dados, e Banco Central e CNPq têm funções diferentes.
  




  7. Em um Plano de Continuidade de Negócio, qual tipo de backup copia apenas dados alterados desde o último backup completo?
  
    
    Backup completo
  
  
    
    Backup incremental
  
  
    
    Backup diferencial
  
  
    
    Backup espelhado
  

  
    
    CORRETO! O backup incremental copia apenas os dados modificados desde o último backup completo.
  
  
    
    INCORRETO. Incremental é o único que copia somente alterações; diferencial copia desde o último completo, e completo copia tudo.
  




  8. Qual lei brasileira exige notificação de incidentes de segurança em até 72 horas?
  
    
    Marco Civil da Internet
  
  
    
    Lei Carolina Dieckmann
  
  
    
    LGPD (Lei nº 13.709/2018)
  
  
    
    SOx (Sarbanes-Oxley)
  

  
    
    CORRETO! A LGPD exige notificação de vazamentos em até 72 horas.
  
  
    
    INCORRETO. A LGPD (Lei 13.709/2018) define esse prazo; as demais leis tratam de outros temas.