Comentários do Quizz - CISCO NETACADEMY

Prévia do material em texto

Capitulo 12:
A finalidade de um firewall é filtrar o tráfego que está se movendo para dentro e para fora do PC. Um firewall de computador não pode negar todo o tráfego ilegal de um computador ou aumentar a velocidade de qualquer conexão. Também não é capaz de proteger o hardware contra riscos de incêndio.
Um IPS é implantado no modo inline e não permitirá que o tráfego mal-intencionado entre na rede interna sem primeiro analisá-lo. Uma vantagem disso é que ele pode parar um ataque imediatamente. Um IDS é implantado no modo promíscuo. Ele copia os padrões de tráfego e os analisa off-line, portanto, não pode parar o ataque imediatamente e depende de outro dispositivo para tomar outras ações uma vez que ele detecta um ataque. Sendo implantado no modo inline, um IPS pode afetar negativamente o fluxo de tráfego. Tanto o IDS quanto o IPS podem usar tecnologia baseada em assinaturas para detectar pacotes mal-intencionados. Um IPS não pode substituir outros dispositivos de segurança, como firewalls, porque eles executam tarefas diferentes.
O identificador da interface e o tipo de conexão devem ser incluídos em um diagrama de topologia lógico, pois indicam qual interface está conectada a outros dispositivos na rede com um tipo específico, como LAN, WAN, ponto a ponto, etc. A versão do OS / IOS, tipo de dispositivo, tipo e identificador de cabo e especificação de cabo são normalmente incluídos em um diagrama de topologia física.
Uma WAN (rede de longa distância) é usada para conectar redes geograficamente separadas e normalmente pertencentes a um provedor de serviços. O provedor de serviços terceiriza os serviços de WAN para indivíduos e empresas.
Quando ativado em um switch, o espelhamento de porta copia os quadros enviados e recebidos pelo switch e os encaminha para outra porta, que tem um dispositivo de análise conectado.
Os firewalls de proxy filtram o tráfego através da camada de aplicativo do modelo TPC/IP e protegem as informações do cliente conectando-se a servidores remotos em nome dos clientes.
O Cisco AMP usa inteligência contra ameaças juntamente com assinaturas de arquivos conhecidas para identificar e bloquear tipos de arquivos e explorações que violam políticas.
 O único filtro que pode ser aplicado com uma ACL padrão é o endereço IP de origem. Uma ACL estendida é usada para filtrar tráfego como endereço IP de origem, endereço IP de destino, tipo de tráfego e tipo de mensagem.
 O Cisco Cloud Web Security (CWS) é um serviço de segurança baseado na nuvem que usa proxies da Web no ambiente de nuvem da Cisco para verificar o tráfego em busca de malware e imposição de políticas. Não é uma solução de firewall ou servidor web. O Cisco Web Security Appliance (WSA) combina várias soluções de segurança para fornecer uma solução tudo-em-um em uma única plataforma para enfrentar os desafios de proteger e controlar o tráfego da Web.
Uma zona desmilitarizada ou DMZ é uma área de rede protegida por um ou mais firewalls. A DMZ geralmente contém servidores que são comumente acessados por usuários externos. Um servidor Web é comumente contido em uma DMZ.
O SNMP é um protocolo de camada de aplicativo que permite aos administradores gerenciar e monitorar dispositivos na rede, como roteadores, switches e servidores.
Os serviços IPsec permitem autenticação, integridade, controle de acesso e confidencialidade. Com o IPsec, as informações trocadas entre sites remotos podem ser criptografadas e verificadas. As VPNs de acesso remoto e site-to-site podem ser implantadas usando IPsec.
TACACS+ apresenta as seguintes características:
separa autenticação e autorização
criptografa todas as comunicações
usa a porta TCP 49
As três camadas de design do mais baixo para o mais alto são acesso, distribuição e núcleo. A camada de distribuição geralmente fornece conectividade baseada em políticas que permite ou nega tráfego com base em parâmetros predefinidos. A camada de distribuição também atua como um limite de controle entre as camadas de acesso e núcleo.
Capitulo 13:
Hacktivismo é um termo usado para descrever ataques cibernéticos realizados por pessoas consideradas extremistas políticos ou ideológicos. Os hacktivistas atacam pessoas ou organizações que acreditam serem inimigas da agenda hacktivista.
Cibersegurança é o esforço contínuo para proteger os sistemas de rede conectados à Internet e todos os dados associados aos sistemas contra o uso não autorizado ou danos.
 Indicadores de ataque (IOA) se concentram mais na motivação por trás de um ataque e nos potenciais meios pelos quais os atores da ameaça têm, ou irão, comprometer vulnerabilidades para obter acesso a ativos. As IOAs estão preocupadas com as estratégias usadas pelos invasores e podem ajudar a gerar uma abordagem de segurança proativa.
 Atacantes White hat invadem redes ou sistemas de computador para descobrir fraquezas com o objetivo de melhorar a segurança desses sistemas. Essas invasões são feitas com permissão do proprietário ou da empresa. Todos os resultados são relatados de volta ao proprietário ou à empresa.
Durante uma avaliação de risco, pode-se determinar que uma atividade envolve mais risco do que benefício. Em tal situação, uma organização pode decidir evitar completamente o risco, interrompendo a atividade. Isso é conhecido como prevenção de riscos.
Os ataques de reconhecimento de rede envolvem a descoberta e o mapeamento não autorizados da rede e dos sistemas de rede. Ataques de acesso e exploração de confiança envolvem a manipulação não autorizada de dados, do acesso ao sistema ou de privilégios do usuário. DoS, ou ataques de negação de serviço, destinam-se a impedir que usuários e dispositivos legítimos acessem os recursos da rede.
Aircrack-ng, Kismet, InSSIDer, KisMac, Firesheep e NetStumbler são exemplos de ferramentas usadas para hackear uma rede sem fio.
Uma superfície de ataque é a soma total das vulnerabilidades em um sistema acessível a um invasor. A superfície de ataque pode consistir em portas abertas em servidores ou hosts, software executado em servidores voltados para a Internet, protocolos de rede sem fio e até mesmo usuários.
Estratégia de redução de risco reduz a exposição ao risco ou reduz o impacto do risco, tomando medidas para diminuir o risco. É a estratégia de mitigação de riscos mais utilizada. Essa estratégia requer uma avaliação cuidadosa dos custos de perda, da estratégia de mitigação e dos benefícios obtidos com a operação ou atividade que está em risco.
Script kiddies refere-se a adolescentes ou agentes de ameaças inexperientes executando scripts, ferramentas e explorações existentes para causar danos, mas normalmente sem fins lucrativos.
Os hackers gray hat são indivíduos que cometem crimes e fazem coisas de ética discutível, mas não para ganho pessoal ou para causar danos
Hacking ético envolve o uso de muitos tipos diferentes de ferramentas para testar a rede e os dispositivos finais. Para validar a segurança de uma rede e seus sistemas, muitas ferramentas de teste de penetração de rede foram desenvolvidas. Essas ferramentas são usadas para testar a vulnerabilidade e a susceptibilidade das redes a serem quebradas, sondados, hackeados, capturados e sequestrados. Muitas das ferramentas são baseadas em Linux ou Linux e podem ser usadas por White hat e Black hat
Hacking ético envolve o uso de muitos tipos diferentes de ferramentas para testar a rede e os dispositivos finais. As ferramentas de verificação de rede são usadas para investigar dispositivos, servidores e hosts de rede em busca de portas TCP ou UDP abertas. Exemplos de ferramentas de digitalização incluem Nmap, SuperScan, Angry IP Scanner e NetScanTools.
Um engenheiro social tenta ganhar a confiança de um funcionário e convencer essa pessoa a divulgar informações confidenciais e sensíveis, como nomes de usuário e senhas. Os ataques DDoS, pop-ups e vírus são exemplos de ameaças à segurança baseadas em software, não em engenharia social.
Um vírus é um código malicioso anexado a um programa legítimo ou arquivo executável e requer ativação específica,que pode incluir ações do usuário ou um evento baseado em tempo. Quando ativado, um vírus pode infectar os arquivos que ainda não infectou, mas não se propaga automaticamente para outros sistemas. A auto-propagação é um recurso dos worms. Além de serem distribuídos pela Internet, os vírus também são disseminados por cartões de memória USB, CDs e DVDs.
Um ataque de acesso tenta afectar os serviços que afectam a entrada em contas, bases de dados e outras informações confidenciais. Os ataques de acesso geralmente envolvem um dicionário que é usado para adivinhar uma senha de usuário específica. Um ataque de acesso de força bruta tentaria acessar uma conta através de tentativas repetidas.
Impedir que os usuários acessem recursos de rede é um ataque de negação de serviço. Ser capaz de roubar dados dos servidores de rede pode ser o objetivo após um ataque de reconhecimento reunir informações sobre a rede de destino e o sistema. Redirecionar o tráfego de dados para que possa ser monitorado é um ataque intermediário.
Com um ataque man-in-the-middle, um agente de ameaça é posicionado entre duas entidades legítimas para ler, modificar ou redirecionar os dados que passam entre as duas partes.
Phishing é usado por partes mal-intencionadas que criam mensagens fraudulentas que tentam induzir um usuário a compartilhar informações confidenciais ou instalar malware.
Um ataque de negação de serviço (DoS) tenta sobrecarregar um sistema ou processo enviando grandes quantidades de dados ou solicitações para o destino. O objetivo é manter o sistema tão sobrecarregado lidar com solicitações falsas que ele é incapaz de responder aos legítimos.
A melhor descrição do malware cavalo de Tróia, e o que o distingue dos vírus e worms, é que ele aparece como um software útil, mas oculta códigos maliciosos. Um malware cavalo de Troia pode causar problemas irritantes em um computador, mas também causar problemas fatais. Alguns cavalos de Troia podem ser distribuídos na Internet, mas também podem ser distribuídos por pen drives e outros meios. Um malware cavalo de Troia especificamente direcionado pode ser um dos tipos mais difíceis de detectar.
 A ferramenta Nmap é um scanner de porta usado para determinar quais portas estão abertas em um determinado dispositivo de rede. Um scanner de porta é usado antes de iniciar um ataque.
Malware pode ser classificado da seguinte forma:
Vírus (auto-replica anexando a outro programa ou arquivo)
Worm (replica independentemente de outro programa)
Cavalo de Tróia (mascarado como um arquivo ou programa legítimo)
Rootkit (ganha acesso privilegiado a uma máquina enquanto se esconde)
Spyware (coleta informações de um sistema de destino)
Adware (entrega anúncios com ou sem consentimento)
Bot (aguarda comandos do hacker)
Ransomware (mantém um sistema de computador ou dados cativos até que o pagamento seja recebido)
Muitos atores de ameaças usam técnicas de evasão furtiva para disfarçar uma carga útil de ataque porque o malware e os métodos de ataque são mais eficazes se não forem detectados. O objetivo é evitar a detecção por defesas de rede e host.
 Malware pode ser classificado da seguinte forma:
Vírus (auto-replica anexando a outro programa ou arquivo)
Worm (replica independentemente de outro programa)
Cavalo de Tróia (mascarado como um arquivo ou programa legítimo)
Rootkit (ganha acesso privilegiado a uma máquina enquanto se esconde)
Spyware (coleta informações de um sistema de destino)
Adware (entrega anúncios com ou sem consentimento)
Bot (aguarda comandos do hacker)
Ransomware (mantém um sistema de computador ou dados cativos até que o pagamento seja recebido)
 Zumbis são computadores infectados que formam um botnet. Eles são usados para implantar um ataque de negação de serviço distribuída (DDoS).
O recurso Cisco Switched Port Analyzer (SPAN) permite que o tráfego que entra ou sai de uma porta seja copiado para uma porta diferente para que possa ser coletado e analisado.
O NetFlow é uma tecnologia Cisco IOS que fornece estatísticas sobre fluxos TCP/IP na rede. Alguns dos recursos do NetFlow incluem o seguinte: monitoramento de rede e segurança, planejamento de rede, análise de tráfego, identificação de gargalos de rede e contabilidade de IP para fins de faturamento.
Uma torneira de rede é uma tecnologia comum usada para capturar tráfego para monitorar a rede. Normalmente, a torneira é um dispositivo de divisão passiva implementado em linha na rede e que encaminha todo o tráfego, incluindo erros de camada física, para um dispositivo de análise.
NetFlow é uma tecnologia Cisco que fornece estatísticas sobre pacotes que fluem por um roteador Cisco ou switch multicamadas.
NetFlow é usado por algumas empresas para monitorar a rede e capturar estatísticas de tráfego para determinar se a rede está funcionando corretamente.
A função de agregação do SIEM reduz o volume de dados de eventos consolidando registros de eventos duplicados.
 O SIEM fornece relatórios e análises em tempo real de eventos de segurança. O SIEM fornece aos administradores detalhes sobre fontes de atividades suspeitas, como informações do usuário, localização do dispositivo e conformidade com políticas de segurança
O SIEM fornece aos administradores detalhes sobre as fontes de atividades suspeitas, como informações do usuário, localização do dispositivo e conformidade com as políticas de segurança. Uma das funções essenciais do SIEM é a correlação de logs e eventos de diferentes sistemas, a fim de acelerar a detecção e reação a eventos de segurança.
Quando ativado em um switch, SPAN ou espelhamento de porta, copia quadros enviados e recebidos pelo switch e os encaminha para outra porta, conhecida como porta do Switch Port Analyzer, que tem um dispositivo de análise conectado.
O SOAR funciona com sistemas SiEMs, onde o SIEM pode detectar uma atividade maliciosa e o SOAR ajuda a responder à ameaça. SOAR tem muitas funções e benefícios, incluindo estas habilidades:
O uso de playbooks predefinidos para permitir a resposta automática a ameaças específicas
O uso de inteligência artificial para detectar incidentes e auxiliar na análise e resposta a incidentes
O Wireshark captura o tráfego de rede em tempo real. A captura permite que todo o conteúdo dos pacotes seja analisado, incluindo o quadro, a interface, as informações do pacote e os carimbos de data/hora.
Há muitos sistemas SIEM disponíveis para administradores de rede. A suíte ELK é uma opção de código aberto.
Módulo 16: Atacar a Fundação
 O ataque de inundação TCP SYN explora o handshake TCP de três vias. O ator da ameaça envia continuamente pacotes de solicitação de sessão TCP SYN com um endereço IP de origem falsificado aleatoriamente para um destino pretendido.
Os ataques de reconhecimento de rede envolvem a descoberta e o mapeamento não autorizados da rede e dos sistemas de rede. Ataques de acesso e exploração de confiança envolvem a manipulação não autorizada de dados, do acesso ao sistema ou de privilégios do usuário. DoS, ou ataques de negação de serviço, destinam-se a impedir que usuários e dispositivos legítimos acessem os recursos da rede.
Em um ataque de inundação TCP SYN, o invasor envia ao host de destino uma inundação contínua de solicitações de sessão TCP SYN com um endereço IP de origem falsificado. O host de destino responde com um TCP-SYN-ACK a cada uma das solicitações de sessão SYN e aguarda um TCP ACK que nunca chegará. Eventualmente, o destino está sobrecarregado com conexões TCP semi-abertas.
As mensagens ICMP comuns de interesse para atores de ameaças incluem as seguintes:
Solicitação de eco ICMP e resposta de eco: usado para executar verificação de host e ataques DoS
ICMP inacessível: usado para realizar o reconhecimento de rede e ataques de digitalização
Resposta de máscara ICMP: usada para mapear uma rede IP interna
Redirecionamentos ICMP: usado para atrair um host alvo para enviar todo o tráfego através de um dispositivo comprometido e criar um ataque man-in-the-middle
Descoberta de roteador ICMP: usado para injetar entradas de rotasfalsas na tabela de roteamento de um host de destino
 Em um ataque de falsificação de endereço IP, o endereço IP de um host de rede legítimo é sequestrado e usado por um nó não autorizado. Isso permite que o nó não autorizado seja um nó válido na rede.
 IPv6 usa cabeçalhos de extensão para transportar informações opcionais da camada de rede. Cabeçalhos de extensão não fazem parte do cabeçalho IPv6 principal, mas são cabeçalhos separados colocados entre o cabeçalho IPv6 e a carga útil.
Um ataque de acesso tenta obter acesso a um recurso usando uma conta seqüestrada ou outros meios. Os cinco tipos de ataques de acesso incluem o seguinte:
senha - um dicionário é usado para tentativas repetidas de login
exploração de confiança - usa privilégios concedidos para acessar material não autorizado
redirecionamento de porta - usa um host interno comprometido para passar o tráfego através de um firewall
man-in-the-middle - um dispositivo não autorizado posicionado entre dois dispositivos legítimos para redirecionar ou capturar tráfego
buffer overflow - muitos dados enviados para um local de memória que já contém dados
Um ataque de reconhecimento é a descoberta e documentação não autorizada de várias redes de computação, sistemas de rede, recursos, aplicativos, serviços ou vulnerabilidades.
 A soma de verificação do cabeçalho é usada para determinar se quaisquer erros foram introduzidos durante a transmissão.
 O valor do campo Time-to-Live (TTL) no cabeçalho IPv4 é usado para limitar a vida útil de um pacote. O host emissor define um valor inicial de TTL, que diminui um ponto toda vez que o pacote é processado por um roteador. Se o campo TTL diminuir até chegar a zero, o roteador descarta o pacote e envia uma mensagem ICMP de tempo excedido (Time Exceeded) para o endereço IP origem. O campo Serviços Diferenciados (DS) é usado para determinar a prioridade de cada pacote. Número de Sequência e Número de Confirmação são dois campos do cabeçalho TCP.
ICMPv6, como IPv4, envia uma mensagem Time Exceeded se o roteador não puder encaminhar um pacote IPv6 porque o pacote expirou. No entanto, o pacote IPv6 não tem um campo TTL. Em vez disso, ele usa o campo Limite de Hop para determinar se o pacote expirou.
Um ator ameaça pode usar uma ferramenta como UDP Unicorn ou Low Orbit Ion Cannon para enviar uma inundação de pacotes UDP para iniciar um ataque de inundação UDP que faz com que todos os recursos em uma rede sejam consumidos. Esses tipos de programas irão varrer todas as portas conhecidas tentando encontrar portas fechadas. Isso faz com que o servidor responda com uma mensagem de porta ICMP inacessível. Devido às muitas portas fechadas no servidor, há tanto tráfego no segmento que quase toda a largura de banda é usada. O resultado final é muito semelhante a um ataque DoS.
 Um ataque de redefinição de TCP pode ser usado para encerrar as comunicações TCP entre dois hosts enviando um pacote RST TCP falsificado. Uma conexão TCP é interrompida quando recebe um bit RST.
Módulo 18: Compreender o questionário de defesa
Parte superior do formulário
Tópico 18.2.0 - Um ambiente BYOD exige que uma organização acomode uma variedade de dispositivos e métodos de acesso. Dispositivos pessoais, que não estão sob o controle da empresa, podem ser aceitos e, portanto, segurança é um fator essencial. Os custos de hardware no local serão reduzidos, permitindo que a empresa priorize a disponibilização de ferramentas de colaboração e outros softwares para usuários BYOD.
Tópico 18.1.0 - O roteador de borda conecta uma organização a um provedor de serviços. O roteador de borda tem um conjunto de regras que especificam qual tráfego é permitido ou negado.
Tópico 18.1.0 - A alcachofra agora é usada para fornecer uma analogia visual para descrever uma abordagem de segurança de defesa em profundidade. A cebola costumava ser descritiva porque o invasor “descascaria” cada camada dos mecanismos de defesa de rede. Agora, a alcachofra é usada porque uma única pétala ou folha pode ser movida ou removida para revelar informações sensíveis.
Tópico 18.2.0 - As políticas de negócios definem uma linha de base de uso aceitável. As políticas da empresa estabelecem as regras e a conduta e as responsabilidades dos funcionários e do empregador. As políticas da empresa protegem os direitos dos trabalhadores, bem como os interesses comerciais da empresa.
Tópico 18.2.0 - A política de uso aceitável (AUP) identifica quais aplicativos de rede e usos são aceitáveis para uma organização.
Tópico 18.2.0 - As políticas de segurança especificam requisitos e fornecem uma linha de base para organizações. As políticas de segurança podem incluir o seguinte:
Políticas de identificação e autenticação que especificam indivíduos autorizados que têm acesso aos recursos de rede e procedimentos de verificação
Políticas de senha que garantem que os requisitos mínimos sejam atendidos e métodos de autenticação estão sendo aplicados e atualizados
Políticas de acesso remoto que identificam como os usuários remotos podem acessar uma rede e ao que eles têm permissão para se conectar
Políticas de uso aceitáveis que identificam aplicativos de rede e uso de rede que são permitidos na organização
Tópico 18.1.0 - Em uma abordagem de defesa em profundidade, o roteador de borda formaria a primeira linha de defesa. O firewall seria a segunda linha de defesa seguida pelo roteador interno que compõem a terceira linha de defesa.
Tópico 18.2.0 - A seção de política de acesso remoto de uma política de segurança corporativa identifica como usuários remotos podem acessar uma rede e o que é acessível por meio de conectividade remota.
Tópico 18.1.0 - Na abordagem de segurança em camadas de defesa em profundidade, as diferentes camadas trabalham juntas para criar uma arquitetura de segurança na qual a falha de uma salvaguarda não afeta a eficácia das outras salvaguardas.
Tópico 18.2.0 - Uma das melhores práticas para dispositivos BYOD é assinar um serviço de localizador de dispositivos com recurso de apagamento remoto no caso de o dispositivo ser perdido ou roubado.
Tópico 18.2.0 - Os regulamentos de conformidade definem o que as organizações são responsáveis pelo fornecimento e o incumprimento de responsabilidade. Os regulamentos de conformidade que uma organização é obrigada a seguir serão diferentes de uma organização para a próxima, pois os regulamentos dependem do tipo de organização e dos dados que a organização manipula.
Tópico 18.1.0 - Em uma abordagem de defesa em profundidade, o roteador de borda formaria a primeira linha de defesa. O firewall seria a segunda linha de defesa seguida pelo roteador interno que compõem a terceira linha de defesa.
Tópico 18.1.0 - Para identificar vulnerabilidades de segurança, um especialista em segurança cibernética deve compreender os aplicativos que estão sendo usados e suas vulnerabilidades associadas, bem como o hardware usado.
Módulo 19: Teste de controle de acesso
Parte superior do formulário
Qual componente do AAA é usado para determinar quais recursos um usuário pode acessar e quais operações o usuário tem permissão para executar?
Tópico 19.2.0 - Um dos componentes no AAA é a autorização. Depois que um usuário é autenticado por meio do AAA, os serviços de autorização determinam quais recursos o usuário pode acessar e quais operações o usuário tem permissão para executar.
Tópico 19.2.0 - Uma das finalidades do AAA é fornecer autenticação segura para dispositivos de rede. A implementação local não usa servidores RADIUS ou TACACS+. Ele depende de um banco de dados local para autenticar todos os usuários. Isso pode ser um problema em uma rede que tem muitos dispositivos com centenas de usuários ou mais. ​
Tópico 19.1.0 - Disponibilidade garante que os serviços de rede sejam acessíveis e tenham um bom desempenho em todas as condições. Ao fazer o balanceamento de carga do tráfego destinado ao servidor Web principal, em ocasiões de um enorme volume de acessos, os sistemas terão gerenciamento e manutenção excelentes.
Tópico 19.1.0 - Com a exploração de escalonamentode privilégios, vulnerabilidades em servidores ou sistemas de controle de acesso são exploradas para conceder a um usuário não autorizado, ou processo de software, níveis de privilégio mais altos do que qualquer um deles deveria ter. Depois que o privilégio superior é concedido, o agente de ameaça pode acessar informações confidenciais ou assumir o controle de um sistema.
Tópico 19.1.0 - O princípio do privilégio mínimo é um modelo de controle de acesso que especifica uma abordagem limitada e conforme necessário para o acesso do usuário aos dados.
Tópico 19.2.0 - Contabilidade registra o que os usuários fazem e quando o fazem, incluindo o que é acessado, a quantidade de tempo que o recurso é acessado e quaisquer alterações que foram feitas. O accounting rastreia como os recursos de rede são usados.
Tópico 19.1.0 - Quando os dados são criptografados, eles são embaralhados para manter os dados privados e confidenciais, para que somente os destinatários autorizados possam ler a mensagem. Uma função de hash é outra maneira de fornecer confidencialidade.
Tópico 19.2.0 - Esta questão se refere à autenticação, autorização e responsabilidade (accontability) AAA.
Tópico 19.1.0 - No modelo de controle de acesso discricionário (DAC), os usuários podem controlar o acesso aos dados como proprietários dos dados.
Tópico 19.2.0 - A autenticação AAA baseada em servidor usa um servidor de autenticação TACACS ou RADIUS externo para manter um banco de dados de nome de usuário e senha. Quando um cliente estabelece uma conexão com um dispositivo habilitado para AAA, o dispositivo autentica o cliente consultando os servidores de autenticação.
Tópico 19.1.0 - A tríade da CIA contém três componentes: confidencialidade, integridade e disponibilidade. É uma orientação para segurança da informação de uma empresa.
Tópico 19.1.0 - Os modelos de controle de acesso são usados para definir os controles de acesso implementados para proteger os recursos de TI corporativos. Os diferentes tipos de modelos de controle de acesso são os seguintes:
Controle de acesso obrigatório (MAC) — O controle de acesso mais rigoroso que é normalmente usado em aplicações militares ou de missão crítica.
Controle de acesso discricionário (DAC) — Permite que os usuários controlem o acesso aos seus dados como proprietários desses dados. Listas de controle de acesso (ACLs) ou outras medidas de segurança podem ser usadas para especificar quem mais pode ter acesso às informações.
Controle de acesso não discricionário — Também conhecido como controle de acesso baseado em função (RBAC). Permite o acesso com base na função e nas responsabilidades do indivíduo dentro da organização.
Controle de acesso baseado em atributos (ABAC) — Permite o acesso com base nos atributos do recurso a ser acessado, o usuário acessando o recurso e os fatores ambientais, como a hora do dia.
Módulo 20: Inteligência Contra Ameaças
Parte superior do formulário
Tópico 20.2.0 - O grupo Cisco Talos coleta informações sobre ameaças ativas, existentes e emergentes que podem ser usadas pelos produtos Cisco Security em tempo real para fornecer soluções de segurança rápidas e eficazes.
Tópico 20.2.0 - A MITER Corporation cria e mantém um catálogo de ameaças de segurança conhecidas, chamado Common Vulnerabilities and Exposures (CVE). O CVE serve como um dicionário de nomes comuns (ou seja, identificadores CVE) para vulnerabilidades de segurança cibernética publicamente conhecidas.
Tópico 20.1.0 - Consórcio Internacional de Certificação de Segurança de Sistemas de Informação (ISC2) é uma organização de segurança de rede que fornece produtos educacionais e serviços profissionais independentes de fornecedores.
Tópico 20.2.0 - Structured Threat Information Expression (STIX) é um conjunto de especificações para a troca de informações sobre ameaças cibernéticas entre organizações. Cyber Observable Expression (CyBox) é um conjunto de esquema padronizado que especifica, captura, caracteriza e comunica eventos e propriedades de operações de rede e que suporta muitas funções de segurança cibernética. O Trusted Automated Exchange of Indicator Information (TAXII) é uma especificação para um protocolo de camada de aplicação que permite a comunicação da CTI através de HTTPS e é projetado para suportar STIX.
Tópico 20.2.0 - A MITER Corporation cria e mantém um dicionário de nomes comuns (ou seja, Identificadores CVE) para vulnerabilidades de segurança cibernética publicamente conhecidas como Vulnerabilidades e Exposições Comuns (CVE).
Tópico 20.2.0 - O Departamento de Segurança Interna dos EUA (DHS) oferece um serviço gratuito chamado Compartilhamento Automatizado de Indicador (AIS), que permite a troca em tempo real de indicadores de ameaças cibernéticas (por exemplo, endereços IP maliciosos, o endereço do remetente de um e-mail de phishing, etc.) entre o Governo Federal dos EUA e o setor privado.
Tópico 20.1.0 - Uma das funções principais do Instituto SyAdmin, Auditoria, Rede e Segurança (SANS) é a manutenção do sistema de alerta precoce do Internet Storm Center.
Tópico 20.2.0 - Várias organizações de rede, profissionais e agências de inteligência usam padrões abertos compartilhados para permitir a troca de inteligência contra ameaças cibernéticas (CTI) em um formato automatizado, consistente e legível por máquina.
Tópico 20.1.0 - O objetivo principal do Fórum de Equipes de Resposta a Incidentes e Segurança (FIRST) é permitir que uma variedade de equipes de resposta a incidentes de segurança de computador colaborem, cooperem e coordenem o compartilhamento de informações, prevenção de incidentes e reação rápida entre as equipes .
Tópico 20.1.0 - O Cisco Talos Group fornece blogs e podcasts sobre tópicos relacionados à segurança de vários especialistas do setor. Esses blogs e podcasts fornecem conselhos, pesquisas e técnicas de mitigação recomendadas.