Security+ SY0-701 // CHEAT SHEET

DOMÍNIO 01

CONCEITOS GERAIS DE SEGURANÇA

12%

1.1 CONTROLES DE SEGURANÇA

CATEGORIAS DE CONTROLE

TÉCNICO Firewalls, IDS/IPS, criptografia, MFA, ACLs — implementados por tecnologia

GERENCIAL Políticas, avaliações de risco, due diligence — implementados por gestão

OPERACIONAL Treinamentos, revisão manual, IR, guarda física — implementados por pessoas

FÍSICO Cercas, catracas, CCTV, crachás, sensores, iluminação

TIPOS DE CONTROLE

PREVENTIVO Evita incidente. Ex: firewall, patch, controle de acesso

DISSUADOR Desencoraja ataque. Ex: câmera visível, política de penalidade

DETECTIVO Identifica quando ocorreu. Ex: IDS, SIEM, log de auditoria

CORRETIVO Restaura estado normal. Ex: restore de backup, reimaging

COMPENSATÓRIO Alternativa quando controle primário não viável

DIRETIVO Orienta comportamento. Ex: política de uso aceitável, AUP

1.2 CONCEITOS FUNDAMENTAIS

TRÍADE CIA + AAA

CONFIDENCIALIDADE Dados acessíveis só a quem autorizado. Criptografia, ACL, MFA

INTEGRIDADE Dados não alterados sem autorização. Hashing, assinatura digital, FIM

DISPONIBILIDADE Sistemas acessíveis quando necessário. HA, backup, DDoS mitigation

NÃO-REPÚDIO Impossibilidade de negar ação. Assinatura digital (chave privada única)

AUTENTICAÇÃO Verificar quem você é. Algo que sabe, tem, é, onde está

AUTORIZAÇÃO O que você pode fazer. RBAC, DAC, MAC, ABAC

AUDITORIA Registro do que foi feito. Logs, trilhas de auditoria

ZERO TRUST

Princípio: "Never trust, always verify" — nenhuma entidade é confiável por padrão, nem dentro da rede

Plano de Controle: Identidade adaptativa, redução do escopo da ameaça, controle de acesso orientado por política, administrador de políticas, mecanismo de política

Plano de Dados: Zonas de confiança implícitas, assunto/sistema, ponto de aplicação de políticas (PEP)

EXAM TIP: Zero Trust ≠ VPN. ZT verifica continuamente, mesmo dentro da rede. Microsegmentação + identity-aware proxy + least privilege são pilares.

DECEPTION TECHNOLOGY

HONEYPOT Sistema falso que atrai e detecta atacantes. Qualquer toque = alerta

HONEYNET Rede inteira de honeypots. Simula ambiente real para observar TTPs

HONEYFILE Arquivo isca. Dispara alerta se acessado/copiado

HONEYTOKEN Credencial ou dado falso. Se usado, indica comprometimento

⚠ Deception ≠ Entrapment. A isca atrai, não força. Detecta intenção maliciosa de quem já está explorando.

SEGURANÇA FÍSICA

Barreiras: Cercas (deterrent), bollards, mantrap/airlock — controla quem entra fisicamente

Acesso: Catracas, leitores de crachá, biometria na porta — controle de entry points

Vigilância: CCTV, iluminação, guardas — detecção e dissuasão

Sensores: Infravermelho (PIR), pressão, microondas, ultrassônico — detectam presença/movimento

Datacenters: cercas + segurança por camadas + acesso por biometria + câmeras 24/7 + sensores ambientais (fumaça, água)

1.3 GESTÃO DE MUDANÇAS

PROCESSO DE MUDANÇA

Aprovação: CAB (Change Advisory Board) autoriza mudanças — evita alterações não planejadas

Análise de Impacto: O que pode quebrar? Dependências, downtime esperado, rollback plan

Janela de Manutenção: Período aprovado para mudanças. Fora = emergência = aprovação extra

Controle de Versões: Git, repositórios — rastreia quem alterou o quê e quando

Blacklist/Whitelist: Lista de negação vs lista de permissão. Apps permitidas vs bloqueadas

GESTÃO DE MUDANÇAS — EXAM TIPS

RISCO Legados e dependências — patches podem quebrar aplicações antigas

ROLLBACK Sempre ter plano de reversão documentado antes de implementar

DOCS Atualizar diagramas de rede e políticas/procedimentos após cada mudança

SOP Procedimentos Operacionais Padrão — consistência e auditabilidade

1.4 CRIPTOGRAFIA E PKI

SIMÉTRICO vs ASSIMÉTRICO

SIMÉTRICO	1 chave para cifrar e decifrar. Rápido, volume grande. AES-256, ChaCha20. Problema: distribuição segura da chave
ASSIMÉTRICO	Par chave pública + privada. Lento, mas resolve distribuição. RSA, ECC, Diffie-Hellman. Permite não-repúdio
HÍBRIDO	Assimétrico troca chave de sessão → simétrico criptografa os dados. É como o TLS funciona
AES	128 bits de bloco. Chaves: 128/192/256 bits. Padrão ouro. GCM = autenticado (confidencialidade + integridade)
RSA	Baseado em fatoração. ≥2048 bits recomendado. Ameaçado por computação quântica
ECC	Curvas elípticas. Chave 256 bits ≈ RSA 3072. Mais eficiente. ECDHE, ECDSA
DH/ECDHE	Troca de chave. ECDHE = efêmero → Perfect Forward Secrecy (PFS)

HASHING & CONCEITOS

MD5 128 bits. QUEBRADO. Rainbow tables, colisões. Não usar para segurança

SHA-1 160 bits. Colisões demonstradas (SHAttered 2017). DEPRECIADO

SHA-256 256 bits. Padrão atual seguro. SHA-2 family. Sem colisões conhecidas

SHA-3 Família mais recente. Algoritmo Keccak. Alternativa ao SHA-2

SALTING: Valor aleatório único adicionado à senha antes do hash. Derrota rainbow tables. Armazenado junto ao hash

KEY STRETCHING: Iterações de hash para tornar cada tentativa lenta. PBKDF2, bcrypt, Argon2, scrypt

HMAC: Hash + chave secreta = autenticidade + integridade da mensagem

ALE = SLE × ARO
SLE = Valor do Ativo × Fator de Exposição
PBKDF2: senha + salt → N iterações de hash → chave derivada

PKI — INFRAESTRUTURA DE CHAVE PÚBLICA

CA (Cert Authority): Assina certificados. Root CA → Intermediate CA → End-entity. Root offline

RA (Registration Auth): Valida identidade do solicitante antes da CA emitir. "Cartório digital"

CSR: Certificate Signing Request — solicitante gera par de chaves e envia chave pública para assinar

CRL: Lista de certificados revogados. Publicada periodicamente pela CA. Pode ter atraso

OCSP: Consulta online em tempo real do status do certificado. OCSP Stapling = servidor anexa resposta ao handshake

Wildcard: *.exemplo.com — cobre todos os subdomínios de primeiro nível

Self-Signed: Sem CA confiável. Bom para labs/interno. Browsers alertam

Key Escrow: Cópia da chave privada em custódia segura para recuperação de emergência

CRIPTOGRAFIA AVANÇADA

TPM Trusted Platform Module — chip de hardware que armazena chaves. BitLocker usa. Não exporta chave

HSM Hardware Security Module — versão enterprise do TPM. CAs usam para proteger chave raiz

ESTEGANOGRAFIA Esconde existência da mensagem em imagem/áudio/vídeo. LSB de pixels. Diferente de criptografia

TOKENIZAÇÃO Substitui dado sensível por token sem valor intrínseco. PCI DSS — número de cartão → token

MASCARAMENTO Oculta parte do dado. Ex: **** *** 1234 no número de cartão

BLOCKCHAIN Ledger distribuído imutável. Cada bloco contém hash do anterior. Sem autoridade central

HOMOMÓRFICA Computa em dados cifrados sem decifrar. "Santo graal" da privacidade na nuvem. Ainda lento

MODOS DE CIFRA DE BLOCO

ECB	Blocos independentes. RUIM — padrões visíveis. Não usar
CBC	XOR com bloco anterior + IV. Mais seguro. Não paralelizável
CTR	Modo contador. Paralelizável. Transforma bloco em stream
GCM	CTR + autenticação Galois. AEAD = confidencialidade + integridade. Padrão TLS 1.3
XTS	Full disk encryption (BitLocker, LUKS). Tweak único por setor

⚠ IV deve ser único e aleatório. Nunca reutilizar IV com mesma chave em CTR/GCM — quebra total da segurança.

DOMÍNIO 02

AMEAÇAS, VULNERABILIDADES E MITIGAÇÕES

22%

2.1 ATORES DE AMEAÇA

THREAT ACTORS

ESTADO-NAÇÃO	APT, recursos ilimitados, espionagem/sabotagem. APT28, Lazarus, Volt Typhoon. Zero-days, furtivos
CRIME ORG	Lucro financeiro. Ransomware, BEC, fraude bancária. Conti, REvil, FIN7. Alta sofisticação
HACKTIVISTA	Ideologia política/social. DDoS, defacement. Anonymous. Reputação como dano principal
INSIDER	Colaborador com acesso legítimo. Intencional (vingança, venda) ou Não-intencional (erro humano)
SCRIPT KIDDIE	Baixa habilidade, usa tools prontas. Alvos oportunistas. Vence com higiene básica
SHADOW IT	Tecnologia não autorizada dentro da empresa. Risco inadvertido. Cloud pessoal com dados corporativos

MOTIVAÇÕES DE ATAQUE

ESPIONAGEM Roubo de propriedade intelectual, segredos estratégicos. Estado-nação + concorrentes

EXFILTRAÇÃO Venda ou uso de dados roubados. PII, credenciais, código-fonte

CHANTAGEM Ransomware + dupla extorsão (cifra + ameaça de vazar). Ganho financeiro direto

GANHO FIN. Fraude bancária, cripto, roubo de cartão, mercado negro de dados

VINGANÇA Insider descontente. Bomba lógica, sabotagem, vazamento proposital

IDEOLOGIA Hacktivismo, terrorismo cibernético, guerra cibernética

CAOS DDoS sem alvo específico, disruption, interrupção de serviços críticos

2.2 VETORES DE AMEAÇA E ENGENHARIA SOCIAL

ENGENHARIA SOCIAL

PHISHING E-mail em massa fingindo ser fonte confiável. Links maliciosos, urgência/medo. SPF/DKIM/DMARC mitiga

SPEAR PHISHING Phishing direcionado e personalizado com pesquisa prévia. Alta taxa de sucesso

WHALING Spear phishing contra executivos (CEO, CFO). Fraude do CEO, ordens de transferência

VISHING Phishing por voz/telefone. Fingir suporte técnico, banco, autoridade

SMISHING Phishing via SMS. "Seu pacote: clique aqui." Link malicioso ou app falso

PRETEXTING Cria história falsa para obter acesso. "Sou do RH, preciso resetar sua senha urgente"

WATERING HOLE Compromete site frequentado pelo alvo. Espera vítima visitar site infectado

TYPOSQUATTING Domínio com erro de digitação. paypa1.com, g00gle.com. Clone do site legítimo

BRAND IMPERSONATION Clona identidade visual de marca conhecida. E-mail da "Amazon", pop-up da "Microsoft"

DESINFORMAÇÃO Notícias falsas, manipulação narrativa, BEC (Business Email Compromise)

VETORES DE ATAQUE

E-MAIL Mais explorado. Anexos maliciosos, links, BEC. Filtros anti-spam + DMARC + treinamento

USB/REMOVÍVEL Baiting — USB infectado "abandonado". AutoRun desabilitado + Device Control

ARQUIVO PDFs, Office com macro, imagens com exploit. Sandbox + AV + desabilitar macros de fontes externas

REDE INSEGURA Wi-Fi aberto, Evil Twin, Evil Proxy. Usar VPN + WPA3 + verificar certificados

SW VULNERÁVEL EOL/legado sem patches. WannaCry explorou SMB não patchado. Gestão de patches rigorosa

PORTAS ABERTAS Serviços expostos desnecessariamente. RDP na internet = convite. Fechar o que não usa

CRED. PADRÃO admin/admin, root/root. Mirai botnet via senhas padrão de IoT. Sempre trocar no primeiro uso

SUPPLY CHAIN SolarWinds, 3CX, XZ Utils. Compromete fornecedor para atingir cliente. Zero trust + verify updates

2.3 VULNERABILIDADES TÉCNICAS

VULNS DE APLICAÇÃO WEB (OWASP)

A01 BROKEN AC	IDOR, path traversal, CSRF, privilege escalation. Falta verificação de autorização
A02 CRYPTO FAIL	Dados em texto puro, MD5/SHA1, sem TLS, chaves fracas ou hardcoded
A03 INJECTION	SQLi, command injection, XSS, LDAP injection. Input não sanitizado vira código
A04 INSEC DESIGN	Falha arquitetural, sem threat modeling. Nenhum patch resolve design ruim
A05 MISCONFIG	Defaults, verbose errors, S3 público, permissões excessivas no cloud
A06 VULN COMP	Libs desatualizadas, EoL, sem inventário de dependências
A07 AUTH FAIL	Senha fraca, sem MFA, session fixation, credential stuffing
A10 SSRF	Server-Side Request Forgery. Servidor faz requests a 169.254.169.254 (metadata AWS)

MEMÓRIA E SISTEMA

BUFFER OVERFLOW Escrita além do buffer sobrescreve EIP/RIP. Shellcode + NOP sled. Mitiga: ASLR, DEP/NX, Stack Canary

HEAP OVERFLOW Corrompe heap. Use-After-Free, double-free. Comum em exploits de browser

INTEGER OVERFLOW Wrap-around aritmético. Bypassar verificação de tamanho → heap overflow subsequente

RACE CONDITION TOC/TOU — entre verificar e usar, estado mudou. Locks e operações atômicas como mitigation

VM ESCAPE Código da VM executa no hypervisor. Atualizar hypervisor. Isolar VMs de diferentes níveis

FIRMWARE BIOS/UEFI, roteadores, IoT. Fora da visão do AV tradicional. Secure Boot + updates de firmware

0-DAY Sem patch disponível. Defesa: comportamento (EDR), sandboxing, least privilege, monitoramento

SIDELOADING App fora da loja oficial. MDM bloqueia fontes não confiáveis. Jailbreak = risco alto

2.4 MALWARE

TIPOS DE MALWARE

RANSOMWARE	Cifra arquivos + pede resgate. WannaCry, Conti. Mitiga: backup offline + EDR
TROJAN	Disfarça de app legítimo. RAT escondido. Depende de ação do usuário para instalar
WORM	Auto-replica via rede sem interação humana. Consume recursos. SQL Slammer, Conficker
SPYWARE	Coleta dados furtivamente. Keylogger, screenshots, exfiltração. Pegasus, Zeus
KEYLOGGER	Grava teclas digitadas. Hardware ou software. MFA mitiga mesmo sem senha
ROOTKIT	Oculta presença no kernel. Invisível ao AV. Secure Boot + rebuild do sistema
LOGIC BOMB	Código dormente que dispara em condição. Insider + vingança. Monitorar scripts agendados
BOTNET	Rede de zumbis controlados por C2. DDoS, spam, cripto. Mirai (IoT com cred. padrão)
BLOATWARE	Pré-instalado, desnecessário. Pode ter vulns (Superfish/Lenovo). Limpar após compra

INDICADORES MALICIOSOS (IoC)

LOCKOUT Múltiplas tentativas falhas = brute force ou credential stuffing em andamento

SESSÃO DUPLA Mesma conta logada em dois lugares = conta comprometida ou compartilhamento indevido

VIAGEM IMP. Login SP 09h → Tóquio 09h05 = impossível fisicamente → credencial comprometida

LOGS SUMIDOS Atacante apagou rastros. Logging centralizado/SIEM previne. Sistema = comprometido

CONSUMO CPU Pico anormal = cryptominer, ransomware cifrando, backdoor ativo

PROC SUSPEITO svchost.exe fora de System32, cmd.exe filho de Word.exe = injeção ou macro

CONTEÚDO BLOQ Sistema tenta acessar recursos bloqueados — lateral movement, reconhecimento interno

RECURSO INACESS. Serviço indisponível sem motivo = DoS, ransomware ou falha de patch

ATAQUES DE REDE & SENHA

DDoS AMPLIF. Pequena requisição → resposta enorme enviada ao alvo. DNS/NTP amplification. Anycast + rate limit

DNS HIJACK Redireciona domínio para IP malicioso. DNSSEC + 2FA no registrar + monitoramento de DNS

ON-PATH/MITM Intercepta comunicação. ARP Spoofing. TLS + HSTS + DHCP Snooping + ARP Inspection

REPLAY Reutiliza pacote capturado. Nonces + timestamps nos protocolos invalidam tokens usados

DOWNGRADE Força protocolo mais fraco. POODLE (SSL3). Desabilitar TLS 1.0/1.1, SSL2/3 no servidor

SPRAYING Senha comum em muitas contas. Evita lockout por conta. MFA + política senha forte

FORÇA BRUTA Todas combinações. Lockout + delay + senhas longas + bcrypt/Argon2 para hashes offline

RAINBOW TABLE Hash pré-calculado. Derrotado por salting. Salt + hash forte = impraticável

BIRTHDAY ATK Colisão de hash em ~2^(n/2) tentativas. Use SHA-256+. MD5/SHA-1 vulneráveis

2.5 MITIGAÇÕES

TÉCNICAS DE HARDENING

Criptografia Endpoint Protection Host Firewall HIPS/HIDS Desativar portas Trocar cred. padrão Remover SW desnec. Patch management ACLs e permissões Segmentação Isolamento Least privilege Descomissionamento Monitoramento App Whitelist

TÉCNICAS DE ATAQUE — EVASÃO

LOLBins certutil, mshta, regsvr32, wmic, bitsadmin — nativos do Windows usados p/ evasão

FILELESS Malware só em RAM. PowerShell, WMI, registry. Sem arquivo em disco = AV cego

OBFUSCAÇÃO PS -EncodedCommand, base64, XOR, packing. Ofusca assinatura conhecida

TIMESTOMPING Modifica timestamps de arquivos para dificultar forensics

DNS TUNNELING C2 ou exfiltração via queries DNS. Difícil bloquear sem inspeção DNS

DOMÍNIO 03

ARQUITETURA DE SEGURANÇA

18%

3.1 MODELOS DE ARQUITETURA

MODELOS DE INFRAESTRUTURA

IaaS Infraestrutura como serviço. Você gerencia: SO, middleware, app, dados. AWS EC2, Azure VM

PaaS Plataforma como serviço. Você gerencia: app e dados. Provedor gerencia SO, runtime, infraestrutura

SaaS Software como serviço. Você gerencia: usuários, dados e config de acesso. Office 365, Salesforce

ON-PREMISE Controle total, responsabilidade total. Hardware físico interno. Maior custo, maior controle

AIR-GAPPED Isolamento físico completo. Sem conexão de rede. ICS/SCADA crítico, sistemas militares

SERVERLESS Funções efêmeras (Lambda). Sem patch de SO. Logs no CloudWatch. Escala automática

MICROSERVICES Serviços independentes. API-first. Cada serviço = superfície de ataque isolada

IaC Infra como código. Terraform, CloudFormation. Checkov para scan de segurança. Config drift detectável

⚠ RESPONSABILIDADE COMPARTILHADA: IaaS = mais sua. SaaS = mais do provedor. Mas DADOS e USUÁRIOS são sempre sua responsabilidade em todos os modelos.

REDE & SEGURANÇA DE BORDA

SEGMENTAÇÃO VLANs, micro-segmentação, DMZ. Limita blast radius. Controla tráfego east-west

SDN Rede definida por software. Separação plano controle/dados. Políticas dinâmicas

SASE SD-WAN + CASB + SWG + ZTNA na nuvem. Segurança na borda, não no perímetro

JUMP SERVER Bastião para acesso a sistemas internos/sensíveis. Registra todas sessões

PROXY Intermediário entre cliente e servidor. Inspeção, filtragem, cache, logs

WAF Web Application Firewall. Protege contra OWASP Top 10. Camada 7. ModSecurity, AWS WAF

NGFW Next-Gen Firewall. Inspeção profunda de pacotes, app-aware, IPS integrado. Camada 4/7

MODOS DE FALHA Fail-open (tráfego passa se falhar — disponibilidade) vs Fail-closed (bloqueia — segurança)

VPN E ACESSO REMOTO

IPsec Protocolo de VPN na camada de rede. Tunnel mode ou Transport mode. ESP + AH. Site-to-site

TLS/SSL VPN VPN via HTTPS. Fácil implantação, funciona em qualquer rede. Clientless ou com cliente

WireGuard Moderno, simples, performático. Criptografia de curva elíptica moderna

802.1X Autenticação de porta. RADIUS server. Antes de dar IP, verifica identidade. EAP

ZTNA Zero Trust Network Access. Acesso por identidade, não por localização. Substitui VPN tradicional

3.2 / 3.3 PROTEÇÃO DE DADOS & RESILIÊNCIA

CLASSIFICAÇÃO E ESTADOS DOS DADOS

Classificação: Público → Uso Interno → Confidencial/Restrito → Secreto/Crítico

EM REPOUSO Disco, banco de dados, backup. AES-256, FDE (BitLocker, FileVault)

EM TRÂNSITO Rede, API, e-mail. TLS 1.2+, HTTPS, S/MIME, VPN

EM USO RAM, processamento. Mais difícil de proteger. Enclaves seguros, homomórfica

Soberania dos dados: Onde os dados estão geograficamente afeta qual lei se aplica. GDPR, LGPD

PII: Nome, CPF, e-mail, IP, biometria — identifica pessoa. LGPD/GDPR exigem proteção

PHI: Dados de saúde protegidos. HIPAA (EUA) exige controles específicos de privacidade médica

RESILIÊNCIA E RECUPERAÇÃO

RTO Recovery Time Objective — tempo máx. de inatividade aceitável. Quantos minutos/horas sem serviço

RPO Recovery Point Objective — perda máx. de dados aceitável. Frequência mínima de backup

MTBF Mean Time Between Failures — quanto tempo em média funciona sem falha. Confiabilidade

MTTR Mean Time to Repair/Recover — quanto tempo em média para restaurar após falha

HOT SITE Datacenter secundário em produção contínua. RTO = minutos. Caro, imediato

WARM SITE Hardware pronto, sem dados atuais. RTO = horas. Custo médio

COLD SITE Espaço físico vazio. RTO = dias/semanas. Barato, mas lento

Backup 3-2-1: 3 cópias, 2 mídias diferentes, 1 offsite. Backup offline = proteção contra ransomware

RTO curto → Hot Site ou HA cluster | RPO baixo → Replicação síncrona | MTBF alto + MTTR baixo = disponibilidade

DOMÍNIO 04

OPERAÇÕES DE SEGURANÇA

28%

4.1 HARDENING E BASELINE

ALVOS DE HARDENING

Dispositivos Móveis Workstations Switches Roteadores Cloud Infra Servidores ICS/SCADA Sistemas Embarcados RTOS Dispositivos IoT

Baseline Segura: Estabelecer → Implantar → Manter. CIS Benchmarks como referência

Windows: Event ID 4624/4625 (logon), 4688 (novo processo), 4698 (task agendada), 7045 (serviço)

Linux: /etc/passwd, /etc/shadow, /etc/cron*, /var/log/. SELinux ou AppArmor para MAC

MOBILE & WIRELESS

MDM Mobile Device Management. Políticas remotas, wipe, enforce criptografia, bloqueia sideload

MAM Mobile Application Management. Gerencia apenas apps corporativos no BYOD

BYOD Traga seu dispositivo. Risco: dados corporativos em device pessoal. MDM/MAM obrigatório

COPE Corporate Owned, Personally Enabled. Empresa dá o device mas permite uso pessoal

CYOD Choose Your Own Device. Usuário escolhe dentro de lista aprovada pela empresa

WPA3 Wi-Fi atual. SAE (Simultaneous Authentication of Equals) — resist. a offline brute force

RADIUS AAA para Wi-Fi enterprise. 802.1X + EAP. Cada usuário = credencial individual

4.3 GERENCIAMENTO DE VULNERABILIDADES

PROCESSO DE VULN MANAGEMENT

Identificar: Scans (Nessus, OpenVAS), SAST/DAST, pen test, OSINT, bug bounty, dark web feeds

Analisar: CVSS para pontuação, CVE para identificação, falsos positivos/negativos, contexto (valor do ativo)

Priorizar: CVSS + Exploitability (existe exploit público?) + valor do ativo + exposição (internet vs interno)

Remediar: Patch, seguro (apólice), segmentação, controles compensatórios, exceções documentadas

Validar: Rescan, auditoria, verificação confirma que vuln foi corrigida

CVSS Crítico (9.0-10): Corrigir em 24h
CVSS Alto (7.0-8.9): Corrigir em 7 dias
CVSS Médio (4.0-6.9): Corrigir em 30 dias
CVSS Baixo (0.1-3.9): Corrigir em 90 dias

FERRAMENTAS & MONITORAMENTO

Nessus/OpenVAS

Scanner de vuln. CVE correlation

Nmap

Port scan, OS/service detect, NSE

Burp Suite

Web app proxy. OWASP testing

SIEM

Wazuh, Splunk, QRadar. Log correlation

EDR/XDR

CrowdStrike, Defender ATP. Comportamento

SCAP

Security Content Automation Protocol

NetFlow

Análise de tráfego de rede. Baselines

Wireshark

Captura de pacotes. Análise de protocolo

DLP

Prevenção perda de dados. E-mail/USB/web

NAC

Network Access Control. 802.1X enforced

FIM

File Integrity Monitoring. Tripwire, OSSEC

SOAR

Automação de playbooks de resposta

4.5 HARDENING DE RECURSOS EMPRESARIAIS

SEGURANÇA DE E-MAIL

SPF DNS TXT. Lista IPs autorizados a enviar pelo domínio. softfail (~all) vs hardfail (-all)

DKIM Assinatura criptográfica no cabeçalho do e-mail. Integridade + autenticidade do remetente

DMARC Política baseada em SPF+DKIM. none → quarantine → reject. Relatórios RUA/RUF

SPF PASS + DKIM PASS + DMARC PASS = e-mail legítimo
Qualquer FAIL = suspeitar ou quarentena

FIREWALL, IDS/IPS & FILTROS

Firewall: Regras por porta/protocolo/IP. ACLs. Sub-rede filtrada (DMZ). Stateful vs Stateless

IDS: Detecta intrusão (alerta). NIDS na rede, HIDS no host. Assinatura + anomalia

IPS: Detecta e bloqueia inline. Inline vs tap/monitor. Ativo vs Passivo

Filtro DNS: Bloqueia domínios maliciosos na resolução. Sinkholing. Primeiro vetor de contenção

Web Filter: Proxy + categorização de conteúdo + reputação de URL + regras de bloqueio

SELinux: MAC no Linux. Políticas mandatórias que nem root pode bypassar facilmente

4.6 IAM — IDENTIDADE E ACESSO

MODELOS DE CONTROLE DE ACESSO

DAC	Discretionary — dono do recurso decide quem acessa. Sistemas de arquivo Unix/Windows
MAC	Mandatory — administrador define; usuário não pode delegar. SELinux, ambientes gov/militar
RBAC	Role-Based — acesso por função/cargo. Fácil de gerenciar em escala. Mais comum em empresas
ABAC/PBAC	Attribute/Policy-Based — baseado em atributos (departamento, horário, local). Granular
RULE-BASED	Regras específicas. Firewall ACLs, restrições de horário de acesso

AUTENTICAÇÃO & SSO

MFA Fatores: Algo que sabe (senha), tem (TOTP, hardware token), é (biometria), onde está (geolocalização)

FIDO2/WebAuthn Passwordless. Resistente a phishing por design. Chave criptográfica por site

TOTP/HOTP Time-based (Google Auth, Authy) vs HMAC-based (contador). OTP de 6 dígitos

SAML XML-based federation. IdP → SP. Web SSO. Usado em enterprise (Office365, Okta)

OAuth 2.0 Autorização (não autenticação). "Login com Google" delega acesso sem compartilhar senha

OIDC OpenID Connect = OAuth 2.0 + camada de autenticação. JWT tokens. Moderno

LDAP Lightweight Directory Access Protocol. Active Directory. Consulta e autenticação de diretório

PAM — PRIVILEGED ACCESS MANAGEMENT

Just-in-Time: Acesso privilegiado concedido apenas pelo tempo necessário. Sem privilégio permanente

Password Vault: Credenciais privilegiadas armazenadas centralmente. Rotação automática. CyberArk, BeyondTrust

Credenciais Efêmeras: Geradas automaticamente, válidas por minutos/horas. AWS IAM roles, Vault

Princípio Mínimo Privilégio: Acesso apenas ao necessário para a função. Menor blast radius

Políticas de Senha: Comprimento (12+) > Complexidade. Gerenciadores de senha (Bitwarden, 1Password) > regras complexas. Sem expiração forçada se não comprometida (NIST 800-63B)

4.7/4.8/4.9 AUTOMAÇÃO, RESPOSTA A INCIDENTES E FORENSE

CICLO DE RESPOSTA A INCIDENTES (NIST 800-61)

PREPARAÇÃO

Plano IR, playbooks, ferramentas, tabletop

→

DETECÇÃO

IoC, análise de logs, alertas SIEM/EDR

→

CONTENÇÃO

Isolar host, cortar rede, preservar evidência

→

ERRADICAÇÃO

Remover malware, fechar vuln, reset de cred

→

RECUPERAÇÃO

Restaurar sistemas, reimaging, monitorar

→

LIÇÕES

RCA, atualizar planos, melhorias

⚠ PRESERVAR EVIDÊNCIAS antes de erradicar! Ordem de volatilidade: RAM → swap → processos → disco → logs remotos → backups

FORENSE DIGITAL & AUTOMAÇÃO

Cadeia de Custódia: Documentar quem coletou, quando, como. Hash antes + depois prova integridade

Legal Hold: Preservar evidências por requisito legal. Não deletar, não modificar

eDiscovery: Coleta eletrônica de evidências para processo legal. Ferramentas: FTK, Autopsy

Write Blocker: Hardware/software que impede gravação na mídia original durante análise forense

SOAR Orquestra playbooks automáticos. Alerta SIEM → enriquece → bloqueia → abre ticket

AUTOMAÇÃO Provisioning, deprovisioning, grupos de segurança, tickets. Reduz erro humano + MTTR

Fontes de dados: Logs de firewall, endpoint, IPS/IDS, aplicação, rede, metadados, capturas de pacote

DOMÍNIO 05

GERENCIAMENTO E SUPERVISÃO DO PROGRAMA

20%

5.1 GOVERNANÇA

POLÍTICAS E DOCUMENTOS

AUP Acceptable Use Policy — define uso permitido/proibido de recursos de TI. Todos assinam no onboarding

BCP Business Continuity Plan — manter operações durante desastre. Escopo: pessoas, processo, tech

DRP Disaster Recovery Plan — recuperar sistemas de TI após desastre. Subconjunto do BCP

IRP Incident Response Plan — quem faz o quê quando. Roles, escalation, comunicação

SDLC Software Dev Lifecycle. DevSecOps integra segurança em cada fase

PLAYBOOKS Runbooks para tipos específicos de incidente. Ransomware, phishing, data breach

FRAMEWORKS E PADRÕES

NIST CSF	Identify → Protect → Detect → Respond → Recover. Voluntário, flexível, global
ISO 27001	SGSI certificável. 93 controles (Annex A). Auditorias periódicas. Padrão internacional
COBIT	Governança de TI (ISACA). Alinhamento TI-negócio. Processos, responsabilidades
PCI DSS	Dados de cartão. 12 requisitos. Scan trimestral por ASV. Pentest anual. Obrigatório
GDPR	Lei europeia de privacidade. Aplica a dados de cidadãos da UE. DPO. Multa 4% faturamento
HIPAA	Saúde (EUA). PHI. Administrative/Physical/Technical safeguards obrigatórios
SOX	Integridade financeira (EUA). Controles internos de TI. Retenção de registros 5+ anos
LGPD	Lei de proteção de dados (BR). Controlador/Operador. Notificação de breach à ANPD

PAPÉIS E RESPONSABILIDADES

CISO/CSO Estratégia, política, compliance, gestão de risco no nível executivo. Define direção

DPO Data Protection Officer. GDPR/LGPD. Supervisiona privacidade. Independente

ADMIN Implementa e mantém controles técnicos. Firewall, patches, backups, configurações

ANALISTA Monitora, detecta, investiga. SOC Tier 1/2/3. SIEM/EDR/threat hunting

Proprietário de dados: Define classificação e quem acessa. Responsável pelo dado em si

Custodiante: Gerencia tecnicamente o dado. DBA, sysadmin. Implementa controles do proprietário

5.2 GESTÃO DE RISCOS

ANÁLISE E MÉTRICAS DE RISCO

Qualitativa: Alto/Médio/Baixo. Subjetiva. Rápida. Útil quando dados financeiros não existem

Quantitativa: Monetária. Cálculo preciso. Base para ROI de controles

SLE = Valor do Ativo × Fator de Exposição (% de perda por evento)
ARO = Frequência esperada de ocorrências por ano
ALE = SLE × ARO (perda anual esperada)

Ex: Ativo=$100k, EF=50%, ARO=0.2 → SLE=$50k → ALE=$10k/ano
Se controle custa menos que ALE → vale implementar

DUE DILIGENCE Investigar riscos ANTES de decidir. Planejar controles. "O que fazer"

DUE CARE EXECUTAR controles continuamente. Patches, backups, treinamentos. "Fazer o correto"

Gap Analysis: Estado atual vs estado desejado (framework). Identifica lacunas para plano de ação

ESTRATÉGIAS DE GESTÃO DE RISCO

MITIGAR Implementar controles para reduzir probabilidade ou impacto. Mais comum

TRANSFERIR Seguro cibernético, terceirização, cláusulas contratuais

ACEITAR Risco residual documentado. Custo de mitigação > impacto. Risk appetite conservador/expansionista

EVITAR Eliminar a atividade que gera risco. Desativar serviço, abandonar projeto

ANÁLISE DE IMPACTO NOS NEGÓCIOS (BIA)

RTO: Quanto tempo pode ficar indisponível antes de causar dano crítico

RPO: Quanto de dados pode perder (define frequência de backup)

MTTR: Tempo médio para recuperar após falha. Mede eficiência da equipe

MTBF: Tempo médio entre falhas. Mede confiabilidade do sistema

5.3 / 5.4 / 5.5 TERCEIROS, CONFORMIDADE E AUDITORIAS

TIPOS DE ACORDO

SLA	Service Level Agreement. Metas mensuráveis: uptime, tempo de resposta. Vinculante. Penalidades
MOU	Memorando de Entendimento. Intenção de cooperação. Geralmente não vinculante. Genérico
MOA	Memorando de Acordo. Mais formal que MOU, possivelmente vinculante. Detalhes de responsabilidades
MSA	Master Service Agreement. Contrato guarda-chuva. Define termos gerais da relação comercial
NDA	Non-Disclosure Agreement. Confidencialidade. Unilateral ou mútuo. Base legal para processar vazamento
BPA	Business Partners Agreement. Parceria de longo prazo. Define contribuições, divisão de lucros, responsabilidades
SOW/WO	Statement of Work / Work Order. Escopo detalhado de um projeto específico

AUDITORIAS E TESTES

BLACK BOX Ambiente desconhecido. Simula atacante externo sem informação prévia. Blind test

WHITE BOX Ambiente conhecido. Código-fonte, topologia. Mais abrangente. Usado no SDLC

GRAY BOX Ambiente parcialmente conhecido. Combina perspectivas. Mais realista

RECON PASSIVO OSINT, Shodan, WHOIS, LinkedIn. Sem tocar no alvo. Anônimo

RECON ATIVO Nmap, banner grabbing, tocar no alvo. Pode disparar IDS/alertas

TABLETOP Simulação em mesa. Testa plano sem impacto operacional. Anual mínimo

AUDITORIA INT. Conformidade interna. Comitê de auditoria + autoavaliações

AUDITORIA EXT. Regulatório, certificação, auditoria independente de terceiros

CONSCIENTIZAÇÃO E PRIVACIDADE

Programa de Conscientização: Phishing simulado → treinar usuários que clicam. Campaigns periódicas

Comportamento Anômalo: Arriscado, inesperado, não intencional — todos devem saber reportar

GDPR Consentimento explícito, minimização de dados, direito ao esquecimento, DPO obrigatório. Multa 4%

LGPD Lei brasileira. Controlador vs Operador. Notificação ANPD em prazo razoável (~72h). DPO

Titular vs Controlador vs Processador: Titular = pessoa física. Controlador = decide o quê/como. Processador = executa para controlador

Direito ao Esquecimento: Pessoa pode pedir exclusão dos dados. GDPR Art. 17. LGPD equivalente

// QUICK REFERENCE — DECOREBA FINAL //

PORTAS ESSENCIAIS

20/21	FTP (inseguro). Use SFTP/FTPS
22	SSH / SFTP / SCP
23	Telnet — NUNCA usar em produção
25/587	SMTP / SMTP Submission
53	DNS (UDP e TCP)
80/443	HTTP / HTTPS
110/995	POP3 / POP3S
143/993	IMAP / IMAPS
389/636	LDAP / LDAPS
445	SMB (EternalBlue! Bloquear na WAN)
514	Syslog UDP
3389	RDP (risco alto se exposto)
1812/1813	RADIUS Auth/Accounting
5985/5986	WinRM / WinRM HTTPS

CRIPTOGRAFIA — USE vs EVITE

AES-256-GCM	Simétrico padrão atual. AEAD. TLS 1.3
SHA-256/SHA-3	Hashing seguro. Sem colisões conhecidas
RSA-2048+	Assimétrico. PKI, TLS. ≥4096 para dados de longo prazo
ECC-256	Mais eficiente. Equiv. RSA-3072. ECDSA, ECDHE
Argon2/bcrypt	Hashing de senhas. Com salt + stretching
TLS 1.2/1.3	1.3 = forward secrecy por padrão + mais rápido
MD5	QUEBRADO. Colisões triviais. Só checksum não-crit.
SHA-1	DEPRECIADO. SHAttered 2017. Não assinar certs
DES/3DES	OBSOLETO. Chave curta. SWEET32 attack no 3DES
RC4	QUEBRADO. Bias estatístico. Nunca usar
SSL 2.0/3.0	POODLE, DROWN. Desabilitar imediatamente
TLS 1.0/1.1	Depreciado (NIST 2021). Não usar

ACRÔNIMOS QUE MAIS CAI

AAA	Authentication, Authorization, Accounting
BCP	Business Continuity Plan
CASB	Cloud Access Security Broker
CVE/CVSS	Vulnerability Enumeration / Scoring System
DLP	Data Loss Prevention
EDR/XDR	Endpoint / Extended Detection & Response
FIM	File Integrity Management/Monitoring
GRC	Governance, Risk and Compliance
IAM	Identity and Access Management
IaC	Infrastructure as Code
MOU/MOA	Memorando de Entendimento / Acordo
NAC	Network Access Control
PAM	Privileged Access Management
SASE	Secure Access Service Edge
SDLC	Software Development Lifecycle
SIEM	Security Info & Event Management
SOAR	Security Orchestration, Automation & Response
UTM	Unified Threat Management
WAF	Web Application Firewall
ZTNA	Zero Trust Network Access

DICAS DA PROVA (EXPERIÊNCIA REAL)

IDIOMA Faça em PORTUGUÊS mesmo estudando em inglês. Poupa tempo. Botão para alternar para inglês disponível

DESCONTO Portal países emergentes: emerging-store.comptia.org | E-mail lwadewitz@comptia.org pedindo voucher

ESTUDO Marque o PDF oficial de objetivos com marca-texto. Vai zerado → refaz do início. Depois simulados

NOTEBOOKLM Coloque todos materiais no NotebookLM e peça simulados baseados no estilo da prova

UDEMY Curso como "Netflix" ao final — assista como revisão rápida de tudo

CENÁRIO Questões de desempenho pedem o que você FARIA. Leia com atenção — detalhes mudam a resposta certa

COMPLIANCE — QUEM REGULA O QUÊ

GDPR Dados de pessoas da UE. Qualquer empresa no mundo que atende europeus. DPO. 72h de notificação

LGPD Brasil. ANPD. Controlador vs Operador. Consentimento + finalidade + necessidade

PCI DSS Dados de cartão. 12 requisitos. Scan ASV trimestral. Pentest anual. Qualquer empresa com cartão

HIPAA Saúde (EUA). PHI. Business Associate Agreements (BAA) com fornecedores

SOX Empresas de capital aberto (EUA). Integridade financeira. CEO/CFO assinam controles

ISO 27001 Certificação voluntária global. SGSI. 93 controles. Auditoria externa periódica

NIST CSF Voluntário, flexível. Adotado globalmente. 5 funções: Identify/Protect/Detect/Respond/Recover

ARMADILHAS CLÁSSICAS DA PROVA

CRL vs OCSP CRL = lista offline (pode ter atraso). OCSP = consulta online em tempo real. Stapling = servidor traz a resposta

MOU vs MOA MOU = intenção, geralmente não vinculante. MOA = mais formal, possivelmente vinculante

DUE DILIG vs CARE Diligence = planejar/investigar. Care = executar/manter continuamente

HASHING ≠ CIFRA Hash é unidirecional — não recupera o original. Cifra é reversível com a chave

AUTENTICAÇÃO ≠ AUTORIZAÇÃO Auth = quem você é. Authz = o que pode fazer. São etapas diferentes

HOT vs COLD Hot = pronto já. Cold = espaço vazio, precisa montar tudo. Warm = no meio

RTO vs RPO RTO = tempo de inatividade. RPO = perda de dados (age. backup). Confunde muito

ESTEGANOGRAFIA Esconde a EXISTÊNCIA da mensagem. Criptografia esconde o CONTEÚDO. Diferentes objetivos