CompTIA Security+
SY0-701

Controles de segurança são os mecanismos implementados para proteger ativos contra ameaças. A CompTIA classifica os controles em duas dimensões simultâneas: categoria (como o controle é implementado) e tipo (qual o seu propósito).

Categorias de controles:

• Técnico (Technical/Logical): implementado via hardware ou software — firewall, antivírus, criptografia, IDS/IPS, MFA
• Administrativo (Managerial): baseado em políticas, procedimentos, treinamento — política de senhas, treinamento de phishing, NDAs
• Físico: proteção tangível — cercas, fechaduras, câmeras CFTV, guardas, biometria de porta, mantraps
• Operacional: atividades executadas por pessoas no dia-a-dia — revisão de logs, troca de turno, rondas de segurança

Tipos de controles (propósito):

• Preventivo: impede o incidente de acontecer (firewall, MFA, fechadura)
• Detetivo: descobre o incidente em andamento ou já ocorrido (IDS, câmera, SIEM, log review)
• Corretivo: remedia o dano após o incidente (restore de backup, patch emergencial, quarentena)
• Dissuasório (Deterrent): desencoraja o atacante antes que tente (placa "área monitorada", banner de aviso de login)
• Compensatório: substitui um controle primário ausente (segmentação de rede quando patch é impossível em sistema legado)
• Diretivo: orienta comportamento esperado (políticas escritas, treinamento, regulamentos)

Os conceitos fundamentais que sustentam toda a disciplina de segurança da informação. A prova SY0-701 cobra esses conceitos em quase todos os domínios.

CIA Triad — os três pilares:

• Confidentiality (Confidencialidade): apenas pessoas autorizadas podem acessar a informação. Implementado com criptografia, ACLs, classificação de dados.
• Integrity (Integridade): a informação não foi alterada ou corrompida. Implementado com hashes, assinaturas digitais, controle de versão.
• Availability (Disponibilidade): sistemas e dados estão disponíveis quando necessários. Implementado com HA, redundância, backups, DDoS protection.

AAA Framework:

• Authentication: "Quem é você?" — provar identidade
• Authorization: "O que você pode fazer?" — definir permissões
• Accounting (ou Auditing): "O que você fez?" — registrar ações em logs

Non-repudiation (Não-repúdio): garantia de que uma parte não pode negar ter realizado uma ação. Implementado via assinatura digital com a chave privada — apenas o dono daquela chave poderia ter assinado.

Zero Trust: modelo onde nenhuma entidade é confiável por padrão, mesmo dentro do perímetro corporativo. Lema: Never trust, always verify. Pilares: identidade, dispositivo, rede, aplicação, dado, visibilidade/analytics. Cada acesso requer verificação contínua de contexto (quem, o quê, onde, quando, como).

Gap Analysis: comparação entre o estado atual de segurança e o desejado, identificando lacunas a serem preenchidas.

Criptografia transforma dados legíveis (plaintext) em ilegíveis (ciphertext) usando algoritmos e chaves. É o coração da segurança moderna.

Criptografia Simétrica: mesma chave para criptografar e descriptografar.

• Vantagens: rápida, eficiente para grandes volumes de dados
• Desvantagem: distribuição segura da chave é problemática
• Algoritmos: AES (128/192/256 bits) — padrão atual; 3DES (legado, descontinuado); RC4 (quebrado, não usar)

Criptografia Assimétrica: par de chaves matematicamente relacionadas — pública (compartilhada) e privada (secreta).

• Lenta, mas resolve o problema da troca de chaves
• Algoritmos: RSA (clássico, requer chaves grandes); ECC (Elliptic Curve — mais eficiente, chaves menores); Diffie-Hellman (troca de chaves)

Hashing: função unidirecional. Mesmo input produz sempre o mesmo output (hash), mas é computacionalmente inviável reverter. Garante integridade.

• Recomendados: SHA-256, SHA-3
• Quebrados/obsoletos: MD5, SHA-1

PKI (Public Key Infrastructure): ecossistema que gerencia certificados digitais. Componentes: CA (Certificate Authority — emite e assina certificados), RA (Registration Authority — valida pedidos), CRL (Certificate Revocation List — lista de certificados revogados), OCSP (Online Certificate Status Protocol — verificação em tempo real).

Conceitos extras importantes:

• Salt/Pepper: valores aleatórios adicionados antes do hash de uma senha para impedir rainbow tables
• Key Stretching: algoritmos propositalmente lentos para hash de senha (bcrypt, scrypt, PBKDF2, Argon2)
• Forward Secrecy (PFS): garante que mesmo se a chave privada vazar no futuro, sessões antigas não poderão ser descriptografadas
• HSM (Hardware Security Module): dispositivo físico que armazena chaves criptográficas
• TPM: chip na placa-mãe que armazena chaves localmente

Autenticação é o processo de provar a identidade de um usuário ou sistema. A SY0-701 cobra fortemente os fatores de autenticação e os protocolos de federação.

Fatores de autenticação:

• Algo que você SABE: senha, PIN, resposta de pergunta secreta — fator de conhecimento
• Algo que você TEM: token TOTP, smart card, smartphone, chave FIDO2/YubiKey — fator de posse
• Algo que você É: biometria (impressão digital, íris, face, voz) — fator de inerência
• Algo que você FAZ: padrão de digitação, assinatura, voz — fator comportamental
• Algum lugar onde você ESTÁ: geolocalização, IP corporativo — fator de localização

MFA real exige fatores de categorias diferentes. Senha + PIN não é MFA (ambos são "algo que você sabe"). Senha + token móvel é MFA legítimo.

SSO (Single Sign-On): uma autenticação dá acesso a múltiplos sistemas. Reduz fadiga de senhas mas concentra risco — se a credencial principal vazar, todos os sistemas ficam expostos. Por isso SSO sempre deve ser combinado com MFA.

Protocolos de federação e autenticação:

• SAML 2.0: tokens XML, padrão para SSO empresarial e SaaS (Salesforce, Workday)
• OAuth 2.0: autorização — delegação de acesso ("Login com Google" para apps third-party)
• OpenID Connect (OIDC): camada de autenticação sobre OAuth 2.0, usa JWT
• Kerberos: autenticação de rede Windows AD usando tickets (TGT/ST), sistema baseado em chaves simétricas
• RADIUS / TACACS+: autenticação centralizada para acesso a rede (VPN, Wi-Fi 802.1X, switches/roteadores). RADIUS usa UDP, TACACS+ usa TCP e separa AAA
• LDAP: protocolo de diretório, frequentemente Active Directory

Tendências modernas: Passwordless (FIDO2/WebAuthn, Passkeys, Windows Hello), Adaptive Authentication (avalia risco do contexto e exige fatores adicionais quando suspeito).

Threat actors são as entidades que executam ataques cibernéticos. Entender quem ataca, com que recursos e com que motivação, é essencial para projetar defesas adequadas. A CompTIA classifica os atores por capacidade, recursos e motivação.

Tipos principais:

• Nation-State / APT (Advanced Persistent Threat): patrocinados por governos. Recursos quase ilimitados, sofisticação máxima, persistência por meses/anos. Motivação: espionagem geopolítica, sabotagem. Exemplos: APT29 (Cozy Bear, Rússia), Lazarus (Coreia do Norte)
• Cybercriminal / Organized Crime: motivação financeira. Operam como negócios — Ransomware-as-a-Service (RaaS), kits de exploits comerciais. Exemplos: LockBit, Conti, REvil
• Hacktivist: motivação ideológica/política. Atacam para protestar ou expor informações. Exemplo: Anonymous
• Insider Threat: ameaça interna. Pode ser malicious (intencional, ex: funcionário insatisfeito) ou unintentional (acidental, ex: clique em phishing)
• Script Kiddie: baixa sofisticação, usa ferramentas prontas sem entender como funcionam. Motivação: fama, diversão
• Shadow IT: funcionários que usam serviços de TI não aprovados (Dropbox pessoal, ChatGPT corporativo) — não maliciosos, mas criam riscos por desvio de governança
• Competitor (Espionagem industrial): empresa rival visando segredos comerciais

Atributos dos atores: internal vs external, level of sophistication/capability, resources/funding, intent/motivation (data exfiltration, espionage, financial gain, blackmail, service disruption, philosophical, ethical).

Vetor de ataque é o caminho ou meio pelo qual o atacante alcança o alvo. A maior parte dos ataques bem-sucedidos começa com engenharia social — explorando o elo humano em vez de vulnerabilidades técnicas.

Tipos de phishing:

• Phishing: ataque genérico em massa via email
• Spear Phishing: direcionado a indivíduo específico, personalizado
• Whaling: spear phishing direcionado a executivos C-Level (CEO, CFO)
• Vishing: phishing por voz (telefone) — ex: "sou do banco, sua conta foi invadida"
• Smishing: phishing via SMS
• Business Email Compromise (BEC): atacante se passa por executivo solicitando transferências urgentes

Técnicas de engenharia social:

• Pretexting: criar cenário fictício convincente ("sou do suporte de TI")
• Baiting: deixar USB infectado em estacionamento esperando que alguém conecte
• Tailgating / Piggybacking: seguir alguém autorizado por porta de acesso
• Shoulder Surfing: espiar tela ou teclado do alvo
• Dumpster Diving: vasculhar lixo em busca de informações descartadas
• Watering Hole: comprometer site frequentado pelo alvo
• Typosquatting: registrar domínios similares (g00gle.com) esperando erros de digitação
• Pharming: redirecionamento via DNS poisoning para site falso

Outros vetores técnicos: Supply Chain (comprometer fornecedor), Removable Media (USB malicioso), Wireless (Wi-Fi público comprometido), Cloud (configuração errada), Default Credentials (senhas padrão), Open Service Ports.

Princípios psicológicos explorados: Authority (autoridade), Urgency (urgência), Scarcity (escassez), Social Proof (prova social), Familiarity (familiaridade), Trust (confiança), Intimidation (intimidação).

Vulnerabilidade é uma fraqueza explorável em um sistema. Diferente de ameaça (potencial dano) ou risco (probabilidade × impacto). A SY0-701 cobre vulnerabilidades em múltiplas camadas.

Categorias de vulnerabilidades:

• Application: SQL Injection, XSS (Cross-Site Scripting), CSRF, Buffer Overflow, Race Condition, Memory Injection
• Operating System: elevation of privilege, kernel exploits, LSASS dumping
• Hardware: Firmware desatualizado, End-of-Life hardware, falhas em chips (Spectre, Meltdown), backdoors
• Web-based: OWASP Top 10 (Injection, Broken Auth, XSS, IDOR, Security Misconfig)
• Cryptographic: algoritmos fracos (MD5, RC4), implementação errada (Heartbleed)
• Misconfiguration: bucket S3 público, security group permissivo, credenciais default
• Supply Chain: dependências open-source comprometidas, fornecedor de software invadido
• Mobile: sideloading, jailbreak/root, apps maliciosos
• Zero-day: desconhecida pelo fabricante, sem patch disponível

CVE (Common Vulnerabilities and Exposures): identificador único padronizado para cada vulnerabilidade pública. Formato: CVE-YYYY-NNNNN (ex: CVE-2021-44228 = Log4Shell).

CVSS (Common Vulnerability Scoring System): escala 0.0–10.0 que mede severidade.

• 0.0 — Nenhuma · 0.1–3.9 — Baixa · 4.0–6.9 — Média
• 7.0–8.9 — Alta · 9.0–10.0 — Crítica

Considera vetor de ataque, complexidade, privilégios necessários, interação do usuário e impacto em CIA.

Bug Bounty: programas onde empresas pagam pesquisadores externos para encontrar vulnerabilidades de forma ética.

Responsible Disclosure: pesquisador reporta a vulnerabilidade ao fabricante e dá tempo (geralmente 90 dias) para correção antes da divulgação pública.

Malware (MALicious softWARE) é qualquer software desenvolvido para causar dano. Conhecer cada tipo e como se diferencia é cobrado intensamente na SY0-701.

Tipos principais:

• Vírus: precisa de arquivo hospedeiro e ação do usuário para se propagar (executar arquivo infectado)
• Worm: autônomo, se propaga pela rede sem interação. Ex: WannaCry usou EternalBlue/SMB para infectar 200k+ máquinas em horas
• Trojan: se disfarça de software legítimo. Ex: jogo pirata que instala backdoor
• RAT (Remote Access Trojan): trojan que dá controle remoto total ao atacante. Ex: NJRat, DarkComet
• Ransomware: criptografa arquivos e exige resgate. Variações: locker (bloqueia tela) e crypto (criptografa). Double extortion: rouba E criptografa, ameaçando vazar
• Spyware: monitora silenciosamente atividades do usuário
• Keylogger: registra digitação para roubar senhas
• Adware: exibe anúncios indesejados, pode rastrear navegação
• Rootkit: opera no kernel/ring 0, invisível ao SO. Detecção exige boot externo
• Bootkit: infecta o setor de boot, executa antes do SO carregar
• Logic Bomb: código malicioso que ativa em condição específica (data, evento)
• Backdoor: acesso não autorizado deixado deliberadamente
• Botnet: rede de máquinas infectadas (bots/zombies) controladas remotamente para DDoS, spam, mineração
• Cryptojacking: minera criptomoedas usando recursos da vítima
• Fileless Malware: opera apenas em memória, sem arquivos no disco. Difícil de detectar. Usa PowerShell, WMI
• Living off the Land (LOLBins): usa ferramentas legítimas do SO (PsExec, certutil, mshta) para evitar detecção

Ataques que exploram protocolos, infraestrutura ou tráfego de rede. Conheça a camada OSI onde cada um opera.

Ataques de Disponibilidade (DoS/DDoS):

• DoS (Denial of Service): uma fonte ataca um alvo
• DDoS (Distributed DoS): múltiplas fontes (botnet) atacam simultaneamente
• Volumetric: sobrecarrega bandwidth (UDP/ICMP flood)
• Protocol: esgota recursos (SYN flood, Ping of Death)
• Application Layer: exaure aplicação (HTTP slowloris, GET flood)
• Amplification: usa protocolos UDP (DNS, NTP, Memcached) para amplificar tráfego

Ataques On-Path / MitM:

• On-path attack (MitM): atacante se posiciona entre comunicação cliente-servidor, podendo ler ou modificar tráfego
• ARP Poisoning / Spoofing: envenena cache ARP da LAN, fazendo tráfego passar pelo atacante (camada 2)
• DNS Poisoning / Cache Poisoning: insere registros DNS falsos no resolver. Mitigação: DNSSEC
• SSL Stripping: força conexão de HTTPS para HTTP
• Replay Attack: captura tráfego válido e reenvia. Mitigação: timestamps, nonces, sequence numbers
• Session Hijacking: rouba session cookie/token e impersona o usuário

Ataques contra Wi-Fi:

• Evil Twin: AP malicioso que imita rede legítima
• Rogue AP: ponto de acesso não autorizado conectado à rede corporativa
• Deauthentication Attack: envia frames de desautenticação para forçar reconexão (e captura handshake)
• Bluejacking / Bluesnarfing: via Bluetooth — envio de mensagens não solicitadas / acesso a dados
• WPS Attack: brute force do PIN WPS

Ataques contra protocolos:

• VLAN Hopping: acessa VLAN não autorizada via double tagging ou switch spoofing
• MAC Flooding: sobrecarrega tabela CAM do switch, forçando comportamento de hub
• BGP Hijacking: anuncia rotas BGP falsas, redirecionando tráfego internet
• Credential Replay: Pass-the-Hash, Pass-the-Ticket (Kerberos)

Ataques de aplicação web: SQL Injection, XSS (Stored, Reflected, DOM-based), CSRF, Directory Traversal (../../etc/passwd), LDAP Injection, XML External Entity (XXE).

Técnicas e tecnologias para reduzir risco. Para cada ameaça, há um conjunto de mitigações em camadas (defense in depth).

Mitigações principais:

• Segmentação: dividir a rede em zonas isoladas (VLANs, micro-segmentação) — limita movimento lateral
• Access Control: aplicar princípio do menor privilégio (PoLP), separation of duties, need-to-know
• Application Allow List (Whitelisting): apenas softwares aprovados podem executar — extremamente eficaz contra malware desconhecido
• Application Block List (Blacklisting): bloqueia softwares conhecidos como maliciosos
• Isolation / Containment: isolar sistema infectado da rede
• Patching / Patch Management: aplicar atualizações regularmente — corrige vulnerabilidades conhecidas. Use ciclos: Patch Tuesday (Microsoft), patch emergencial para críticas
• Encryption: dados em trânsito (TLS) e em repouso (BitLocker, LUKS, EFS)
• Monitoring: SIEM, EDR, NDR detectam comportamento anômalo
• Least Privilege: usuários e processos têm apenas o acesso mínimo necessário
• Configuration Enforcement: impor configuração padrão segura (CIS Benchmarks, GPO)
• Decommissioning: desativar sistemas legados não suportados
• Hardening Techniques: remover serviços desnecessários, fechar portas, desabilitar contas padrão, aplicar baselines

Hardening específico:

• Servidores: CIS Benchmarks, desabilitar SMBv1/Telnet, EDR
• Workstations: AppLocker, restrições GPO, DLP, antimalware
• Mobile (MDM): criptografia obrigatória, remote wipe, container corporativo
• Cloud: CSPM (Cloud Security Posture Management), least privilege em IAM, logging
• IoT/ICS: air gap, segmentação industrial, monitoramento passivo
• Servidores Web: WAF, HTTPS forçado, headers de segurança (CSP, HSTS, X-Frame-Options)

Threat Intelligence: uso de feeds (STIX/TAXII), Indicadores de Compromisso (IoCs), TTPs (Tactics, Techniques, Procedures) do MITRE ATT&CK para informar defesas proativamente.

Arquitetura de redes seguras envolve segmentação, controle de tráfego e múltiplas camadas de defesa. A SY0-701 cobra fortemente firewalls modernos, segmentação e arquitetura defensiva.

Tipos de Firewall:

• Packet Filter (Stateless): avalia cabeçalhos isoladamente — IP origem/destino, porta, protocolo. Rápido mas limitado
• Stateful Inspection: mantém estado das conexões (tabela de conexões ativas) — aceita resposta apenas se request foi feito de dentro
• Application Layer / Proxy Firewall: entende protocolos da camada 7 (HTTP, FTP), inspeciona conteúdo
• NGFW (Next-Generation Firewall): stateful + IPS + application awareness + threat intelligence + decryption (Palo Alto, Fortinet, Check Point)
• UTM (Unified Threat Management): firewall + AV + IDS + filtro web + VPN em um appliance — comum em SMB
• WAF (Web Application Firewall): protege aplicações web contra OWASP Top 10 (SQLi, XSS) na camada 7

Segmentação de Rede:

• VLAN: segmentação lógica em um switch — Layer 2
• Subnetting: segmentação por sub-rede IP — Layer 3
• DMZ (Screened Subnet): zona semi-confiável que hospeda serviços públicos (web, mail) entre a internet e a rede interna
• Micro-segmentação: isola até cargas de trabalho individuais (em ambientes virtualizados/cloud)
• Air Gap: isolamento físico total — sem conexão à rede externa (usado em sistemas críticos militares/ICS)

Outros componentes essenciais:

• NAC (Network Access Control): verifica postura do dispositivo antes de permitir acesso (patch atualizado? AV ativo? membro do domínio?)
• IDS / IPS: Detecção (passivo, alerta) vs Prevenção (inline, bloqueia). Métodos: signature-based, anomaly-based, heuristic
• Jump Server / Bastion Host: único ponto de acesso administrativo a redes isoladas, com logging completo
• Proxy Server: intermediário para tráfego web — Forward (clientes acessando internet) ou Reverse (clientes acessando servidores internos)
• Load Balancer: distribui tráfego entre servidores, com health checks
• VPN: Site-to-Site (entre redes), Remote Access, SSL VPN, IPsec VPN, Always-On VPN
• Port Security: limita MACs por porta de switch para prevenir MAC flooding e dispositivos não autorizados
• 802.1X: autenticação de porta — dispositivo precisa autenticar antes de receber acesso à rede

A nuvem mudou os modelos tradicionais de segurança. Entender o shared responsibility model e os controles cloud-native é fundamental.

Modelos de Serviço Cloud:

• IaaS (Infrastructure as a Service): CSP fornece infra (VMs, storage, rede). Cliente gerencia OS, runtime, app, dados. Ex: AWS EC2, Azure VM
• PaaS (Platform as a Service): CSP fornece plataforma de desenvolvimento. Cliente gerencia apenas o app e dados. Ex: Azure App Service, AWS Elastic Beanstalk
• SaaS (Software as a Service): CSP fornece aplicação completa. Cliente gerencia apenas dados e identidades. Ex: Office 365, Salesforce, Gmail
• FaaS / Serverless: executa código sob demanda sem gerenciar servidores. Ex: AWS Lambda, Azure Functions

Modelos de Implantação:

• Public Cloud: infraestrutura compartilhada, via internet (AWS, Azure, GCP)
• Private Cloud: infraestrutura dedicada, on-prem ou hospedada (VMware, OpenStack)
• Hybrid Cloud: combinação de pública + privada com workloads movendo entre elas
• Community Cloud: compartilhada por organizações com requisitos comuns (ex: governo)
• Multi-cloud: uso simultâneo de múltiplos CSPs

Shared Responsibility Model:

• SEMPRE responsabilidade do cliente: dados, classificação, identidade/IAM, controles de acesso
• SEMPRE responsabilidade do CSP: hardware físico, data center, virtualização base, rede física
• Varia conforme modelo: OS, runtime, aplicação

Tecnologias de Segurança Cloud:

• CASB (Cloud Access Security Broker): ponto de controle entre usuários e CSPs, fornecendo visibilidade, DLP, controle de acesso. Inline ou API-based
• SASE (Secure Access Service Edge): converge SD-WAN + segurança (CASB, SWG, ZTNA, FWaaS) em plataforma cloud
• SSE (Security Service Edge): componente de segurança do SASE
• CSPM (Cloud Security Posture Management): identifica configurações inseguras (S3 público, SG aberto)
• CWPP (Cloud Workload Protection Platform): protege workloads cloud (containers, VMs, serverless)
• SWG (Secure Web Gateway): filtra tráfego web de saída
• ZTNA (Zero Trust Network Access): substitui VPN com acesso aplicação-específico baseado em identidade

Infraestrutura moderna usa virtualização, containers e infraestrutura como código. Cada uma tem suas considerações de segurança.

Virtualização:

• Hypervisor Type 1 (Bare Metal): roda direto no hardware (ESXi, Hyper-V, KVM). Mais seguro, melhor performance
• Hypervisor Type 2 (Hosted): roda sobre OS (VirtualBox, VMware Workstation). Maior superfície de ataque
• VM Escape: ataque que escapa da VM para o host hipervisor — extremamente crítico
• VM Sprawl: proliferação descontrolada de VMs, gerando risco operacional

Containers (Docker, Kubernetes):

• Compartilham kernel do host — leves mas com isolamento menor que VMs
• Riscos: imagens com vulnerabilidades, secrets expostos, container escape, Kubernetes mal configurado (RBAC frouxo)
• Segurança: scan de imagens (Trivy, Clair), secrets management (Vault), runtime protection (Falco), Pod Security Standards

Microservices: aplicações decompostas em serviços independentes que se comunicam via API. Aumenta agilidade mas amplia superfície de ataque (cada API é um vetor). Segurança: API gateway, mTLS entre serviços, service mesh (Istio).

Serverless / FaaS: funções sob demanda. Riscos: dependências comprometidas, secrets em código, permissões IAM excessivas. Cliente foca em código seguro; CSP cuida do resto.

Software Defined Networking (SDN): separa o data plane do control plane, gerenciando rede via software. Permite micro-segmentação dinâmica e network as code.

Infrastructure as Code (IaC): provisionar infraestrutura via código declarativo (Terraform, CloudFormation, Ansible). Benefícios: reprodutibilidade, versionamento, auditoria. Riscos: secrets hardcoded, módulos vulneráveis, drift de configuração. Use ferramentas como Checkov, tfsec, Snyk IaC.

Outros conceitos:

• Edge Computing: processamento próximo da origem dos dados (IoT, CDN), reduzindo latência
• Centralized vs Decentralized: controle centralizado é mais fácil de gerenciar; descentralizado é mais resiliente

Proteger dados ao longo de todo seu ciclo de vida — em repouso, em trânsito e em uso.

Estados dos dados:

• Data at Rest: armazenado (disco, banco, backup) — proteger com encryption (BitLocker, LUKS, TDE)
• Data in Transit: em movimento na rede — proteger com TLS, IPsec, VPN
• Data in Use: sendo processado em memória — proteger com Confidential Computing (Intel SGX, AMD SEV), enclaves seguros

Classificação de Dados: categorizar dados por sensibilidade para aplicar controles proporcionais.

• Public: sem restrição (catálogos públicos, marketing)
• Internal/Private: uso interno (organogramas, comunicados)
• Confidential: dados de negócio (contratos, estratégia)
• Restricted/Critical/Highly Sensitive: dados críticos (PII, PHI, segredos comerciais)

Tipos de dados regulados: PII (Personally Identifiable Information), PHI (Protected Health Information — HIPAA), PCI Data (cartões — PCI-DSS), Financial Data, Trade Secrets, Intellectual Property.

Técnicas de Proteção:

• Encryption: torna dados ilegíveis sem chave
• Hashing: garante integridade (não confidencialidade)
• Tokenization: substitui dado sensível por token aleatório com mapeamento em vault. Comum em PCI-DSS
• Masking: oculta parte do dado (4532-XXXX-XXXX-1234) — usado em telas e logs
• Anonymization: remove ou altera dados de forma irreversível, impossibilitando reidentificação
• Pseudonymization: substitui identificadores por pseudônimos (reversível com chave separada). Conceito-chave da LGPD/GDPR
• Obfuscation: torna dados difíceis de entender (não é segurança real, apenas dificulta)

DLP (Data Loss Prevention): tecnologia que detecta e bloqueia exfiltração de dados sensíveis. Modos:

• Network DLP: monitora tráfego (email, upload web)
• Endpoint DLP: agente no dispositivo bloqueia copiar para USB, imprimir
• Cloud DLP / CASB: monitora SaaS

Outros conceitos: Data Sovereignty (dados sujeitos à lei do país onde residem), Geolocation Restrictions, Data Lifecycle (criação, armazenamento, uso, compartilhamento, arquivo, destruição), Right to be Forgotten (LGPD/GDPR), DRM (Digital Rights Management).

Garantir que a organização sobreviva a falhas e desastres. Combina alta disponibilidade, redundância, backups e planos formais.

Conceitos fundamentais:

• High Availability (HA): sistemas que minimizam downtime (target: 99.9% / 99.99% / 99.999% — "três/quatro/cinco noves")
• Fault Tolerance: sistema continua operando mesmo com falha de componente (failover automático)
• Redundância: duplicação de componentes críticos (N+1, N+2, 2N)
• Load Balancing: distribui carga entre múltiplos servidores
• Clustering: múltiplos servidores trabalham como um sistema único

RAID (Redundant Array of Independent Disks):

• RAID 0: striping — performance, sem redundância (não usar para dados críticos)
• RAID 1: mirroring — espelha em 2 discos, 50% capacidade útil
• RAID 5: striping com paridade distribuída — tolera 1 falha, mín 3 discos
• RAID 6: dupla paridade — tolera 2 falhas, mín 4 discos
• RAID 10 (1+0): mirror + stripe — alta performance + redundância, mín 4 discos

Métricas de Recuperação:

• RTO (Recovery Time Objective): tempo máximo aceitável para restaurar serviço após desastre
• RPO (Recovery Point Objective): quantidade máxima de dados que pode ser perdida (define frequência de backup)
• MTTR (Mean Time To Repair): tempo médio para reparar
• MTBF (Mean Time Between Failures): tempo médio entre falhas
• MTTF (Mean Time To Failure): tempo médio até primeira falha (componentes não reparáveis)

Estratégias de Backup:

• Full Backup: copia tudo. Rápido para restaurar, lento para fazer
• Incremental: apenas o que mudou desde o último backup (qualquer tipo). Rápido para fazer, lento para restaurar (precisa do full + todos os incrementais)
• Differential: tudo que mudou desde o último full. Meio-termo
• Snapshot: ponto-no-tempo de um sistema (comum em VMs, storage)
• Regra 3-2-1: 3 cópias dos dados, em 2 mídias diferentes, 1 cópia offsite
• Air Gapped Backup: backup desconectado da rede — proteção contra ransomware
• Immutable Backup: backup que não pode ser alterado/deletado por período definido

Sites de Recuperação:

• Hot Site: totalmente operacional, dados em tempo real — mais caro, RTO mínimo
• Warm Site: infraestrutura pronta, dados precisam ser carregados — RTO médio
• Cold Site: apenas espaço físico — barato, RTO alto (dias)

Planos Formais:

• BCP (Business Continuity Plan): mantém o negócio operando durante crise
• DRP (Disaster Recovery Plan): recupera TI após desastre — subset do BCP
• BIA (Business Impact Analysis): identifica processos críticos e seus RTOs/RPOs
• Tabletop / Walkthrough Exercises: testar planos sem impacto real

Sistemas embarcados, IoT e tecnologia operacional (OT) trazem desafios únicos: muitas vezes não podem receber patches, têm vida útil de 20+ anos e usam protocolos legados sem segurança.

Tipos de Sistemas:

• IoT (Internet of Things): dispositivos conectados — câmeras, smart locks, eletrodomésticos, wearables
• IIoT (Industrial IoT): sensores e atuadores em ambientes industriais
• ICS (Industrial Control Systems): controle de processos físicos (fábricas, refinarias)
• SCADA (Supervisory Control and Data Acquisition): sistemas que monitoram e controlam infraestrutura crítica (energia, água, gás)
• OT (Operational Technology): termo guarda-chuva para tecnologia que controla sistemas físicos
• RTOS (Real-Time Operating System): SOs com requisitos de timing determinístico
• SoC (System on Chip): integração de componentes em um único chip

Componentes de ICS/SCADA:

• PLC (Programmable Logic Controller): "cérebro" que executa lógica de controle
• HMI (Human-Machine Interface): interface gráfica para operadores
• RTU (Remote Terminal Unit): coleta dados de sensores remotos
• Historian: banco que armazena dados de telemetria

Desafios de Segurança:

• Vida útil longa (20-30 anos) — hardware/SO obsoletos sem suporte
• Patches difíceis ou impossíveis (downtime caro, certificação de fornecedor)
• Protocolos legados sem autenticação/criptografia (Modbus, DNP3, OPC)
• Disponibilidade prevalece sobre confidencialidade (oposto da TI tradicional)
• Convergência IT/OT — antigamente air-gapped, hoje cada vez mais conectados
• Ataques físicos têm consequências reais (Stuxnet destruiu centrífugas de urânio)

Mitigações:

• Network Segmentation (Purdue Model): separar rigidamente IT de OT em zonas (Levels 0–5)
• Air Gapping: isolamento físico completo
• Industrial Firewalls / Data Diodes: permitem fluxo unidirecional de dados
• Passive Monitoring: ferramentas como Claroty, Dragos, Nozomi monitoram sem interferir
• Asset Inventory: conhecer cada dispositivo OT
• Compensating Controls: quando patch é impossível

Frameworks específicos: NERC CIP (energia elétrica), ISA/IEC 62443 (cybersecurity industrial), Purdue Reference Model (arquitetura).

Práticas operacionais diárias que mantêm a postura de segurança. A SY0-701 cobra muito as técnicas específicas por tipo de dispositivo.

Hardening (Endurecimento): processo de reduzir a superfície de ataque eliminando recursos, serviços e configurações desnecessárias.

• Server Hardening: remover serviços não usados, aplicar CIS Benchmarks, desabilitar protocolos legados (SMBv1, Telnet, FTP), renomear/desabilitar conta Administrator, EDR ativo
• Workstation Hardening: AppLocker/SRP, GPO restritivas, BitLocker, restringir USB, padrões de senha
• Network Device Hardening: mudar credenciais default, desabilitar HTTP/Telnet (use HTTPS/SSH), atualizar firmware, fechar portas não usadas, ACLs management
• Mobile Device Hardening: MDM, criptografia obrigatória, screen lock, remote wipe, restringir sideloading
• IoT Hardening: mudar senha padrão, desabilitar UPnP, atualizar firmware, isolar em rede separada
• Cloud Hardening: least privilege em IAM, MFA para conta root, CloudTrail/audit logs, security groups específicos, encryption habilitada

Secure Baselines: configurações de referência seguras documentadas e aplicadas via GPO, Ansible, Puppet, Chef. Frameworks: CIS Benchmarks, DISA STIGs, Microsoft Security Baseline.

Patch Management: processo formal de avaliar, testar, aprovar e implantar atualizações.

• Ciclo: identificar → testar em DEV → aprovar (CAB) → implantar em PROD → verificar
• Patch Tuesday: Microsoft libera patches na 2ª terça-feira do mês
• Out-of-band patches: emergenciais para vulnerabilidades críticas
• Virtual Patching: WAF/IPS bloqueia exploit enquanto patch real não está disponível

Sandboxing: executar código suspeito em ambiente isolado para análise.

• Email security gateway detona anexos em sandbox antes de entregar
• EDR moderno tem sandbox local para análise comportamental
• Cuckoo Sandbox, Joe Sandbox, ANY.RUN — ferramentas de análise

Monitoring: SIEM (correlaciona eventos), EDR (proteção de endpoint), NDR (network detection), UEBA (analítica comportamental).

Outras técnicas: Configuration Management (CM database — CMDB), Change Management, Decommissioning seguro (sanitização de mídia: degaussing, shredding, crypto erase).

Processo contínuo de identificar, avaliar, priorizar e remediar vulnerabilidades. É um programa, não uma atividade pontual.

Ciclo de Vida da Gestão de Vulnerabilidades:

• 1. Identificação: descobrir vulnerabilidades
• 2. Análise/Validação: confirmar que é real e aplicável
• 3. Priorização: ordenar por risco (CVSS + contexto)
• 4. Remediação: corrigir, mitigar ou aceitar
• 5. Verificação: reescanear para confirmar correção
• 6. Reporte: métricas para gestão

Métodos de Identificação:

• Vulnerability Scanning: automatizado, ferramentas como Nessus, Qualys, OpenVAS, Rapid7
• Credentialed vs Non-credentialed: com credenciais detecta mais profundamente; sem credenciais simula visão externa
• Static Application Security Testing (SAST): analisa código-fonte sem executar
• Dynamic Application Security Testing (DAST): testa aplicação rodando
• Interactive AST (IAST): combina SAST + DAST em runtime
• Software Composition Analysis (SCA): identifica dependências/bibliotecas vulneráveis
• Penetration Testing: simulação manual de ataque
• Bug Bounty: pesquisadores externos recompensados por achados
• Threat Hunting: busca proativa por ameaças latentes

Análise e Priorização:

• CVSS: base score (severidade técnica)
• Environmental Score: ajusta CVSS pelo seu ambiente
• Exploitability: existe exploit público? está sendo ativamente explorado? (CISA KEV — Known Exploited Vulnerabilities)
• Asset Criticality: servidor com PHI > workstation de impressora
• False Positives: alertas que não são vulnerabilidades reais
• False Negatives: vulnerabilidades não detectadas pelo scanner

Estratégias de Remediação:

• Patching: aplicar atualização do fabricante
• Insurance: transferir risco
• Segmentation: isolar sistema vulnerável
• Compensating Controls: WAF, IPS para bloquear exploit
• Exception (Risk Acceptance): aceitar e documentar formalmente

SLA de Remediação típico: Critical (9.0+) = 24-48h · High = 7 dias · Medium = 30 dias · Low = 90 dias.

Processo estruturado para responder a incidentes de segurança. Frameworks principais: NIST SP 800-61 e SANS PICERL.

NIST SP 800-61 — IR Lifecycle (4 fases):

• 1. Preparation: políticas, playbooks, ferramentas, treinamento, contatos
• 2. Detection & Analysis: identificar e classificar o incidente, triagem, escopo
• 3. Containment, Eradication & Recovery: contenção (curta e longa duração), erradicação da ameaça, restauração
• 4. Post-Incident Activity: lessons learned, atualização de playbooks, métricas

SANS PICERL (6 fases): Preparation → Identification → Containment → Eradication → Recovery → Lessons Learned. Mesmo conceito, organizado diferente.

Equipes envolvidas:

• CSIRT (Computer Security Incident Response Team): equipe dedicada à resposta
• SOC (Security Operations Center): monitoramento contínuo, primeiro contato com alertas
• CERT (Computer Emergency Response Team): termo equivalente, mais comum em governo

Conceitos importantes:

• Playbook / Runbook: procedimento documentado para tipo específico de incidente (ransomware, phishing, DDoS)
• IoC (Indicators of Compromise): evidências de comprometimento — hashes, IPs, domínios
• IoA (Indicators of Attack): comportamentos em curso (não pós-evento)
• TTPs (Tactics, Techniques, Procedures): como o adversário opera (mapeado no MITRE ATT&CK)
• RACI Matrix: Responsible, Accountable, Consulted, Informed — define papéis
• Tabletop Exercise: simulação em mesa, sem impacto real, valida o plano
• Communication Plan: quem notifica quem (interno, externo, regulador, cliente, mídia)

Tipos de Contenção:

• Short-term: ações imediatas (isolar máquina, bloquear IP) para parar o sangramento
• Long-term: mudanças permanentes para impedir recorrência

Threat Intelligence Feeds: STIX (formato), TAXII (transporte), MISP, AlienVault OTX, ISACs setoriais.

Forense digital coleta, preserva e analisa evidências digitais de forma que sejam admissíveis em processos legais. A integridade da cadeia de custódia é tudo.

Princípios Fundamentais:

• Chain of Custody (Cadeia de Custódia): documentação rigorosa de quem teve a evidência, quando, onde, por quê. Qualquer quebra pode invalidar a evidência em juízo
• Order of Volatility (RFC 3227): coletar primeiro o mais volátil
• Preservation: trabalhar em cópias, nunca no original
• Hashing para integridade: calcular hash antes E depois para provar não-alteração

Ordem de Volatilidade (do mais volátil ao mais persistente):

• 1. Cache CPU / Registradores (perde em nanossegundos)
• 2. RAM (Memória) (perde ao desligar)
• 3. Estado da rede / Tabelas de roteamento
• 4. Processos em execução
• 5. Arquivos temporários e Swap/Page File
• 6. Disco rígido (não-volátil mas pode ser sobrescrito)
• 7. Logs em servidores remotos (SIEM, Syslog)
• 8. Mídias arquivadas / Backups

Etapas do Processo Forense:

• Acquisition (Aquisição): coletar evidência. Use write-blockers para discos. Ferramentas: dd, FTK Imager, EnCase, Volatility (memória), WinPmem, LiME
• Preservation: calcular hash MD5/SHA-256 e armazenar em local seguro
• Analysis: análise de timeline, file system, registros, memória, malware, network
• Reporting: documentação técnica e executiva

Conceitos legais importantes:

• Legal Hold (Litigation Hold): obrigação de preservar todos os dados relevantes; suspende políticas de retenção/destruição automática
• E-Discovery: processo legal de identificação e produção de evidências eletrônicas
• Admissibility: evidência só é aceita em juízo se obtida legalmente, com cadeia de custódia íntegra
• Right of Privacy: empresas precisam de políticas claras informando que monitoramento existe
• Jurisdiction: dados em diferentes países podem ter implicações legais distintas

Documentação obrigatória: Quem coletou, quando, onde foi coletado, qual ferramenta foi usada, hashes, fotos da cena, condições do dispositivo, lacre da evidência, registro de transferências.

Logs são a memória da infraestrutura — sem eles, é impossível detectar ou investigar incidentes. SIEM centraliza, correlaciona e alerta.

Fontes de Log Críticas:

• Sistema Operacional: Windows Event Logs (Security, System, Application), syslog (Linux/Unix)
• Firewall: aceitos, negados, conexões anômalas
• IDS/IPS: alertas de assinatura e anomalia
• Endpoint (EDR): processos, conexões de rede, modificações de arquivo
• Aplicação: autenticação, transações, erros
• Web Server: Apache/nginx access log e error log
• DNS: queries — útil para detectar C2, exfiltração via DNS tunneling
• DHCP: mapeamento IP↔MAC↔hostname em pontos no tempo
• VPN / Acesso Remoto: autenticações, sessões
• Cloud: AWS CloudTrail, Azure Monitor, GCP Audit Logs
• Identity Provider: Azure AD sign-ins, Okta logs

Windows Event IDs Cruciais:

• 4624 — Logon bem-sucedido (importante: tipo de logon: 2=interativo, 3=rede, 10=RDP)
• 4625 — Falha de logon (brute force se em massa)
• 4648 — Logon com credenciais explícitas (potencial pass-the-hash)
• 4672 — Privilégios especiais atribuídos (admin login)
• 4688 — Processo criado (rastreamento de execução)
• 4720 — Conta de usuário criada
• 1102 — Log de auditoria limpo (alerta máximo!)

Protocolos e Formatos:

• Syslog: protocolo padrão para envio de logs (RFC 5424). Porta 514 UDP (insegura), 6514 TCP/TLS
• NetFlow/sFlow/IPFIX: metadados de tráfego de rede — quem falou com quem, quanto, quando
• JSON / CEF / LEEF: formatos estruturados para logs

SIEM (Security Information and Event Management):

• Coleta logs de múltiplas fontes
• Normaliza para formato comum
• Correlaciona eventos (ex: 5 logon falhos + 1 sucesso = brute force)
• Gera alertas baseados em regras
• Armazena para investigação histórica
• Exemplos: Splunk, Microsoft Sentinel, IBM QRadar, Elastic Security, Wazuh (open-source)

SOAR (Security Orchestration, Automation and Response): automatiza respostas — recebe alerta do SIEM e executa playbook (bloqueia IP, cria ticket, notifica analista).

UEBA (User and Entity Behavior Analytics): usa machine learning para estabelecer baseline de comportamento normal e detectar anomalias (ex: usuário acessando arquivos que nunca acessou, em horário não usual).

Conceitos: Log retention (retenção, frequentemente 1 ano para segurança, 7+ para regulatório), Log Tampering (proteção: append-only, hash, sistema centralizado), Time Synchronization (NTP — logs sem timestamp sincronizado são inúteis para correlação).

IAM gerencia o ciclo de vida das identidades e seus acessos. PAM (Privileged Access Management) é uma especialização para contas privilegiadas — alvo prioritário de atacantes.

Ciclo de Vida da Identidade (Identity Lifecycle):

• Provisioning (Joiner): criar conta, atribuir acessos baseado em função (RBAC). Ideal: automação via HRIS → IdP
• Modification (Mover): ajustar acessos quando usuário muda de função. Privilege creep ocorre quando acessos antigos não são revogados
• Deprovisioning (Leaver): revogar TODOS os acessos imediatamente no offboarding. Crítico para mitigar insider threat

Modelos de Controle de Acesso:

• DAC (Discretionary): dono do recurso decide quem acessa (Linux file permissions, Windows ACLs)
• MAC (Mandatory): sistema impõe baseado em classificação de segurança (governo, militar — Top Secret, Secret, etc)
• RBAC (Role-Based): acessos atribuídos por função/papel (mais comum em corporações)
• ABAC (Attribute-Based): políticas baseadas em atributos (cargo + departamento + horário + localização) — mais granular e dinâmico
• Rule-Based: regras condicionais (se IP corporativo, então acesso)

Princípios fundamentais:

• Least Privilege (PoLP): usuários têm apenas o mínimo necessário
• Need-to-Know: acesso apenas a informações necessárias para a função
• Separation of Duties (SoD): nenhuma pessoa sozinha pode executar processo crítico completo
• Job Rotation: rotacionar funções para detectar fraudes
• Mandatory Vacation: férias obrigatórias para detectar atividades suspeitas durante ausência
• Time-of-day / Location restrictions: limitar quando/onde acessos são permitidos

PAM (Privileged Access Management): gestão especializada para contas com privilégios elevados (Domain Admin, root, service accounts).

• Password Vaulting: senhas armazenadas em cofre, rotacionadas automaticamente após uso
• Session Recording: grava sessões privilegiadas (vídeo + comandos)
• Just-in-Time (JIT) Access: privilégios concedidos temporariamente, expiram após uso
• Approval Workflows: uso de admin requer aprovação prévia
• Soluções: CyberArk, BeyondTrust, Delinea (Thycotic), Azure PIM

Service Accounts: contas usadas por serviços/aplicações. Riscos: senhas raramente rotacionadas, privilégios excessivos. Mitigação: managed service accounts (gMSA no AD), rotação automática via PAM.

Federation: permitir que identidades de uma organização sejam aceitas em outra (SAML, OIDC). Federated trust entre IdPs (ex: Azure AD federado com AWS).

Directory Services: Active Directory, Azure AD/Entra ID, OpenLDAP, FreeIPA. Estrutura: Forest → Domain → OU → Object.

Governança define como a segurança é gerenciada na organização — políticas, papéis, frameworks e tomada de decisão. Sem governança, a segurança é reativa e fragmentada.

Hierarquia de Documentos:

• Policy (Política): documento de alto nível, obrigatório, define o "o quê". Aprovado por executivos. Ex: "Toda informação confidencial deve ser criptografada"
• Standard (Padrão): especificação técnica obrigatória. Define o "como medir". Ex: "Criptografia deve usar AES-256 ou superior"
• Procedure (Procedimento): passos detalhados para executar uma tarefa. Ex: "Como configurar BitLocker em laptops"
• Guideline (Diretriz): recomendações flexíveis, não obrigatórias. Ex: "Recomenda-se uso de gerenciadores de senha"
• Baseline: configuração mínima aceitável (CIS Benchmarks, STIGs)

Políticas Comuns:

• AUP (Acceptable Use Policy): uso aceitável de recursos corporativos
• Information Security Policy (ISP): política guarda-chuva de segurança
• Password Policy: requisitos de complexidade, rotação, MFA
• Data Classification Policy: categorização e tratamento por sensibilidade
• Incident Response Policy: como responder a incidentes
• BYOD (Bring Your Own Device): uso de dispositivos pessoais
• Remote Work Policy: diretrizes de trabalho remoto
• Change Management Policy: aprovação e implantação de mudanças
• Disposal Policy: descarte seguro de mídia/hardware

Frameworks de Governança:

• NIST CSF (Cybersecurity Framework): Identify → Protect → Detect → Respond → Recover (+ Govern na v2.0)
• NIST RMF (Risk Management Framework): SP 800-37 — usado por agências federais americanas
• ISO/IEC 27001: ISMS internacional certificável
• ISO/IEC 27002: código de práticas para controles
• COBIT: governança e gestão de TI corporativa
• CIS Controls: 18 controles priorizados
• MITRE ATT&CK: base de conhecimento de TTPs adversariais
• Cloud Security Alliance (CSA) CCM: matriz de controles cloud

Estruturas e Papéis:

• Board of Directors: supervisão estratégica
• CISO (Chief Information Security Officer): liderança executiva de segurança
• Security Steering Committee: comitê multidisciplinar
• Data Owner: responsável pela classificação e proteção de dados específicos
• Data Custodian: implementa controles técnicos
• Data Steward: garante qualidade e conformidade dos dados
• DPO (Data Protection Officer): exigido por LGPD/GDPR para grandes processadores
• Data Subject: a pessoa cujos dados são tratados

Centralized vs Decentralized Governance: centralizado tem padronização forte; descentralizado é flexível mas pode gerar inconsistências.

Risco é a possibilidade de perda decorrente da exploração de uma vulnerabilidade por uma ameaça. Gestão de risco é o processo de identificar, avaliar e tratar riscos.

Equação fundamental: Risk = Threat × Vulnerability × Impact ou Risk = Likelihood × Impact.

Tipos de Risk Assessment:

• Qualitative: escalas subjetivas (Alto/Médio/Baixo). Rápido, mas subjetivo. Usa matriz de risco (likelihood × impact)
• Quantitative: valores monetários precisos. Requer dados históricos. Usado para justificar investimentos
• Semi-Quantitative: híbrido — escalas numéricas com pesos
• Ad-hoc: avaliação pontual reativa
• Recurring: avaliações em intervalos regulares
• One-time: avaliação única para projeto específico
• Continuous: monitoramento contínuo (CSPM, vuln scanning)

Cálculos Quantitativos (memorize!):

• AV (Asset Value): valor monetário do ativo
• EF (Exposure Factor): percentual do ativo perdido em um único evento (0.0 a 1.0)
• SLE = AV × EF — Single Loss Expectancy (perda em UM incidente)
• ARO (Annual Rate of Occurrence): quantas vezes por ano espera-se que ocorra (0.5 = uma vez a cada 2 anos)
• ALE = SLE × ARO — Annual Loss Expectancy (perda esperada por ano)
• ROSI (Return on Security Investment): ALE_pre - ALE_pos - Custo_controle

Estratégias de Tratamento (4 As):

• Avoid (Evitar): eliminar a atividade que gera o risco
• Transfer (Transferir): seguro cibernético, terceirizar (mas accountability nunca transfere)
• Mitigate (Mitigar): implementar controles para reduzir likelihood ou impacto
• Accept (Aceitar): reconhecer formalmente que risco está dentro do apetite

Conceitos importantes:

• Inherent Risk: risco antes de qualquer controle
• Residual Risk: risco que permanece após controles
• Risk Appetite: nível de risco que a organização está disposta a aceitar
• Risk Tolerance: variação aceitável em torno do apetite
• Risk Threshold: limite acima do qual ação é exigida
• KRI (Key Risk Indicator): métrica que sinaliza aumento de risco
• Risk Register: repositório formal de riscos identificados, com responsável, status, plano
• Risk Owner: pessoa responsável por gerenciar um risco específico

Análise de Impacto no Negócio (BIA):

• Identifica processos de negócio críticos
• Define MTD (Maximum Tolerable Downtime), RTO, RPO
• Quantifica impacto financeiro e reputacional
• Insumo para BCP e DRP

Conformidade com leis, regulamentos e padrões. A SY0-701 cobra os principais regulamentos por escopo — saiba a quem cada um se aplica.

Regulamentos por Setor/Tipo:

• PCI-DSS: empresas que armazenam, processam ou transmitem dados de cartão de pagamento. 12 requisitos. Exige segmentação de rede, encryption, vulnerability management, logging
• HIPAA (EUA): dados de saúde (PHI). Aplica-se a Covered Entities (hospitais, planos) e Business Associates. Exige BAA com fornecedores
• HITECH: emenda à HIPAA, fortalece notificação de breach
• GDPR (UE): proteção de dados pessoais de residentes da UE. Multa até 4% da receita global anual ou €20M
• LGPD (Brasil): espelho brasileiro da GDPR. Multa até 2% do faturamento Brasil ou R$50M por infração
• CCPA / CPRA (Califórnia): proteção de dados de californianos
• SOX (Sarbanes-Oxley): integridade de relatórios financeiros de empresas listadas em bolsa
• FERPA: dados educacionais de estudantes (EUA)
• GLBA: instituições financeiras (EUA)
• FISMA: agências federais americanas
• FedRAMP: provedores cloud que vendem para governo americano
• NERC CIP: infraestrutura crítica de energia elétrica
• NIS2 (UE): sucessor da diretiva NIS, expande para mais setores
• DORA (UE): resiliência digital do setor financeiro europeu

Princípios da LGPD/GDPR:

• Lawfulness: base legal para tratamento
• Purpose Limitation: uso apenas para finalidade declarada
• Data Minimization: coletar o mínimo necessário
• Accuracy: manter dados precisos
• Storage Limitation: reter apenas pelo tempo necessário
• Integrity & Confidentiality: segurança apropriada
• Accountability: demonstrar conformidade

Direitos do Titular (LGPD/GDPR): Acesso, Retificação, Eliminação (Right to be Forgotten), Portabilidade, Oposição, Revogação de Consentimento.

Frameworks de Atestação:

• SOC 1: controles financeiros (relevante para SOX)
• SOC 2: Trust Service Criteria — Security, Availability, Confidentiality, Processing Integrity, Privacy
• SOC 2 Type I: design dos controles em ponto no tempo
• SOC 2 Type II: efetividade operacional ao longo de 6-12 meses (preferido por enterprise)
• SOC 3: versão pública/marketing do SOC 2
• ISO 27001 Certification: certificação internacional do ISMS

Notificação de Breach:

• GDPR: 72 horas para autoridade supervisora
• LGPD: "prazo razoável" para ANPD (na prática, 2-3 dias)
• HIPAA: 60 dias para indivíduos afetados (e mídia se >500 pessoas)
• PCI-DSS: notificação imediata à bandeira/adquirente

Consequências de Não-conformidade: multas administrativas, sanções, perda de licenças, processos civis, danos reputacionais, perda de contratos.

Fornecedores são vetores cada vez mais comuns de ataque (supply chain). Gerenciar esse risco requer processos formais e contratos bem desenhados.

Vendor Risk Lifecycle:

• 1. Due Diligence: avaliação prévia (questionários SIG, CAIQ, certificações ISO/SOC, financial health)
• 2. Contracting: acordos formais com cláusulas de segurança
• 3. Onboarding: provisionar acessos com PoLP, configurar monitoramento
• 4. Ongoing Monitoring: avaliações periódicas, monitoramento contínuo
• 5. Offboarding: revogar acessos, devolver dados, atestação de destruição

Tipos de Acordos (memorize!):

• NDA (Non-Disclosure Agreement): acordo de confidencialidade. Define o que é informação confidencial e penalidades por divulgação
• MOU (Memorandum of Understanding): intenção de cooperação. Geralmente NÃO vinculante legalmente
• MOA (Memorandum of Agreement): mais formal que MOU, pode ser vinculante
• SLA (Service Level Agreement): compromissos mensuráveis de serviço (uptime, response time, resolution time) com penalidades
• MSA (Master Service Agreement): contrato master que define termos gerais entre as partes; SOWs específicos referem-se ao MSA
• SOW (Statement of Work): escopo específico de um projeto/trabalho dentro do MSA
• BPA (Business Partnership Agreement): termos de parceria de negócios, divisão de responsabilidades, lucros, perdas
• BAA (Business Associate Agreement): exigido pelo HIPAA para fornecedores que tratam PHI
• DPA (Data Processing Agreement): exigido pelo GDPR/LGPD entre Controller e Processor
• ISA (Interconnection Security Agreement): controles de segurança para interconexão de redes entre organizações

Cláusulas de Segurança Críticas em Contratos:

• Direito de auditoria (right to audit)
• Notificação de breach em prazo definido
• Padrões mínimos de segurança (encryption, MFA)
• Subcontratação requer aprovação prévia
• Localização dos dados (data residency)
• Devolução/destruição de dados ao término
• Indenização em caso de incidente
• Seguro cibernético do fornecedor

Avaliações Comuns:

• SIG (Standardized Information Gathering): questionário Shared Assessments
• CAIQ (Consensus Assessment Initiative Questionnaire): CSA, focado em cloud
• Vendor Security Reviews: análise interna baseada em respostas + evidências
• Certifications Review: ISO 27001, SOC 2 Type II, PCI-DSS AOC
• On-site Audits: visita ao fornecedor (raro mas possível para relacionamentos críticos)

Supply Chain Risk: riscos de dependências de software/hardware. Mitigações: SBOM (Software Bill of Materials), code signing, fornecedor avaliado, monitoring de CVEs em dependências (Dependabot, Snyk).

Privacidade é o direito de pessoas controlarem seus dados pessoais. Diferente de segurança (que protege contra acessos não autorizados), privacidade trata de uso apropriado mesmo com acesso autorizado.

Tipos de Dados Pessoais:

• PII (Personally Identifiable Information): identifica indivíduo (nome, CPF, RG, email, telefone, endereço, IP em alguns contextos)
• PHI (Protected Health Information): dados de saúde regulados pelo HIPAA
• Sensitive PII: dados que podem causar dano se vazarem (SSN, CPF, dados financeiros, biométricos, raça, religião, orientação sexual, dados de menores)
• PCI Data: dados de cartão de pagamento (PAN, CVV, dados do titular)
• Customer Data: dados de relacionamento comercial
• Trade Secrets / IP: propriedade intelectual da empresa

Papéis (LGPD/GDPR):

• Data Subject (Titular): a pessoa cujos dados são tratados
• Controller (Controlador): decide o "porquê" e "como" do tratamento
• Processor (Operador): trata dados em nome do Controller
• DPO (Data Protection Officer / Encarregado): ponto focal entre organização, titulares e ANPD/Autoridade

Princípios de Proteção:

• Privacy by Design: privacidade considerada desde o início do projeto, não posteriormente
• Privacy by Default: configurações mais privadas como padrão
• Data Minimization: coletar apenas o necessário
• Purpose Limitation: usar apenas para o propósito declarado
• Storage Limitation: reter apenas pelo tempo necessário
• Transparency: informar claramente sobre o tratamento

Conceitos importantes:

• Consent: consentimento livre, informado, específico, granular e revogável
• Legitimate Interest: base legal alternativa ao consentimento (mas exige avaliação de impacto)
• Data Sovereignty: dados sujeitos à lei do país onde fisicamente residem
• Cross-Border Transfer: transferência internacional — exige salvaguardas (SCCs, adequacy decisions, BCRs)
• DPIA / RIPD (Data Protection Impact Assessment): avaliação obrigatória para tratamentos de alto risco
• Records of Processing Activities (ROPA): registro obrigatório de operações de tratamento
• Right to be Forgotten: titular pode exigir eliminação dos seus dados
• Data Portability: titular pode requisitar seus dados em formato estruturado

Técnicas de Proteção da Privacidade:

• Pseudonymization: substituição reversível de identificadores
• Anonymization: remoção irreversível de identificadores (não é mais "dado pessoal")
• Aggregation: dados em agregado estatístico sem identificação
• Differential Privacy: ruído matemático adicionado a queries para impedir reidentificação
• Tokenization & Masking: reduz exposição em telas, logs e DBs não críticos

Notificação de Breach (refresher): GDPR — 72h, LGPD — prazo razoável (~2-3 dias), HIPAA — até 60 dias para indivíduos. Notificação geralmente exige: natureza dos dados, volume, mitigações, contato do DPO.

Auditorias e avaliações verificam se controles existem, funcionam e atendem requisitos. Combinam abordagens internas e externas.

Tipos de Auditoria:

• Internal Audit: conduzida pela própria organização (Internal Audit Department). Identifica gaps antes que externos vejam
• External Audit: auditor independente. Maior credibilidade, exigida para certificações
• Regulatory Audit: conduzida por reguladores (ANPD, Banco Central, SOX)
• Compliance Audit: verifica conformidade com regulamentos específicos
• Operational Audit: avalia eficiência operacional
• Financial Audit: SOX, controles sobre relatórios financeiros

Penetration Testing — Tipos por Conhecimento:

• Black Box (Unknown Environment): testador não tem informação prévia — simula atacante externo
• White Box (Known Environment): conhecimento total — código, arquitetura, credenciais. Mais profundo
• Gray Box (Partially Known): conhecimento parcial — ex: usuário autenticado normal

Pentest — Tipos por Origem:

• External Test: simula atacante da internet
• Internal Test: simula atacante já dentro (insider, máquina comprometida)
• Physical Test: tentativa de invasão física (tailgating, lock picking)

Exercícios Adversariais (Team Colors):

• Red Team: simula atacante real, ataque adversarial completo, geralmente sem aviso à defesa
• Blue Team: defensores — SOC, IR team. Detectam e respondem
• Purple Team: colaboração entre Red e Blue para melhorar defesas iterativamente
• White Team: árbitros que coordenam o exercício

Pentest — Etapas (PTES — Penetration Testing Execution Standard):

• 1. Pre-engagement (Rules of Engagement, escopo, ROE)
• 2. Reconnaissance (passive + active)
• 3. Threat Modeling
• 4. Vulnerability Analysis
• 5. Exploitation
• 6. Post-Exploitation (privilege escalation, lateral movement, persistence)
• 7. Reporting

Documentos importantes em Pentest:

• ROE (Rules of Engagement): escopo, horários permitidos, alvos in/out of scope, métodos proibidos
• Authorization Letter ("get out of jail card"): autorização escrita formal — sem isso, pentest é crime
• Final Report: achados, severidade, evidências, recomendações

Outros tipos de Avaliação:

• Vulnerability Assessment: identifica vulnerabilidades, sem explorar
• Security Audit: verifica conformidade com padrões/políticas
• Risk Assessment: avalia probabilidade × impacto
• Bug Bounty: programa contínuo onde pesquisadores externos são recompensados
• Threat Hunting: busca proativa por ameaças latentes
• Tabletop Exercise: simulação em mesa, valida procedimentos
• Attestation: declaração formal de conformidade (SOC 2, PCI AOC)

Continuous Monitoring: além de avaliações pontuais — CSPM, EDR, SIEM, vuln scanning automático garantem postura contínua.