MASTER SECURITY

Conteúdo programático

• 1 - CEHV13 - Certified Ethical Hacker - Security Implementation
  Carga Horária: 40 horas

  1. Módulo 1: Introdução ao Hacking Ético

  • Objetivo: Compreender o que é hacking ético, seus fundamentos e a importância do papel do hacker ético na segurança cibernética.
  • Conteúdo: Definições, legalidade, ética no hacking e diferenças entre hackers éticos e cibercriminosos.

  2. Módulo 2: Pegadas e Reconhecimento

  • Objetivo: Aprender a coletar informações de fontes públicas (footprinting) para identificar possíveis alvos de ataques.
  • Conteúdo: Técnicas de coleta de informações (passivas e ativas), análise de dados, mapeamento de sistemas e redes.

  3. Módulo 3: Digitalização de Redes

  • Objetivo: Compreender como digitalizar e mapear redes para identificar hosts, portas abertas, e serviços vulneráveis.
  • Conteúdo: Uso de ferramentas de digitalização como Nmap, tipos de digitalização e como analisar os resultados.

  4. Módulo 4: Enumeração

  • Objetivo: Identificar e enumerar os recursos de uma rede ou sistema, como usuários, serviços e compartilhamentos.
  • Conteúdo: Técnicas para obter informações de redes, sistemas e aplicativos de forma detalhada.

  5. Módulo 5: Análise de Vulnerabilidade

  • Objetivo: Aprender a realizar a análise de vulnerabilidades em sistemas e redes.
  • Conteúdo: Uso de ferramentas para identificar falhas de segurança, avaliação de risco e como corrigir vulnerabilidades.

  6. Módulo 6: Hacking de Sistemas

  • Objetivo: Explorar falhas nos sistemas operacionais e como os hackers podem explorá-las.
  • Conteúdo: Exploração de sistemas Windows e Linux, técnicas de escalonamento de privilégios e execução remota de código.

  7. Módulo 7: Ameaças de Malware

  • Objetivo: Compreender as principais ameaças de malware e como combatê-las.
  • Conteúdo: Tipos de malware (vírus, worms, trojans), técnicas de infecção e prevenção.

  8. Módulo 8: Sniffing

  • Objetivo: Aprender a capturar pacotes de dados em redes e identificar informações sensíveis.
  • Conteúdo: Uso de ferramentas como Wireshark para monitoramento de tráfego e técnicas de sniffing.

  9. Módulo 9: Engenharia Social

  • Objetivo: Entender como a manipulação psicológica pode ser usada para obter acesso a informações confidenciais.
  • Conteúdo: Táticas de engenharia social, como phishing, pretexting, baiting e como prevenir esses ataques.

  10. Módulo 10: Negação de Serviço

  • Objetivo: Explorar os ataques de negação de serviço (DoS) e como preveni-los.
  • Conteúdo: Tipos de ataques DoS e DDoS, como realizá-los de forma ética e maneiras de mitigá-los.

  11. Módulo 11: Sequestro de Sessão

  • Objetivo: Compreender como hackers podem sequestrar sessões de usuários e tomar controle de sistemas.
  • Conteúdo: Técnicas de hijacking de sessões, prevenção e segurança de cookies.

  12. Módulo 12: Evitando IDS, Firewalls e Honeypots

  • Objetivo: Aprender como evitar sistemas de detecção de intrusões (IDS), firewalls e honeypots durante uma invasão ética.
  • Conteúdo: Técnicas de evasão, análise de IDS, firewall e honeypots.

  13. Módulo 13: Hackeando Servidores Web

  • Objetivo: Explorar vulnerabilidades em servidores web e como os hackers podem explorá-las.
  • Conteúdo: Ataques como cross-site scripting (XSS), cross-site request forgery (CSRF), e outras falhas de segurança em servidores web.

  14. Módulo 14: Hackeando Aplicativos da Web

  • Objetivo: Aprender a identificar e explorar falhas de segurança em aplicativos web.
  • Conteúdo: SQL injection, XSS, ataques em APIs e como proteger aplicações web contra esses riscos.

  15. Módulo 15: Injeção de SQL

  • Objetivo: Compreender como a injeção de SQL pode ser utilizada para comprometer sistemas e acessar dados sensíveis.
  • Conteúdo: Tipos de injeção de SQL, técnicas para exploração e mitigação de vulnerabilidades.

  16. Módulo 16: Hackeando Redes sem Fio

  • Objetivo: Explorar como as redes sem fio podem ser vulneráveis e como protegê-las.
  • Conteúdo: Ataques em redes Wi-Fi, como cracking de senhas WPA/WPA2 e mitigação de riscos.

  17. Módulo 17: Hackeando Plataformas Móveis

  • Objetivo: Aprender como explorar falhas em dispositivos móveis e proteger suas plataformas.
  • Conteúdo: Vulnerabilidades em Android e iOS, como explorar e proteger dados móveis.

  18. Módulo 18: IoT e OT Hacking

  • Objetivo: Compreender os riscos de segurança associados a dispositivos conectados (IoT) e sistemas de controle operacional (OT).
  • Conteúdo: Vulnerabilidades em dispositivos IoT, como atacá-los e proteger redes de OT.

  19. Módulo 19: Computação em Nuvem

  • Objetivo: Entender os desafios de segurança em ambientes de computação em nuvem e como proteger dados.
  • Conteúdo: Modelos de serviço na nuvem (IaaS, PaaS, SaaS), riscos e melhores práticas de segurança.

  20. Módulo 20: Criptografia

  • Objetivo: Aprender os fundamentos da criptografia para proteger dados em trânsito e em repouso.
  • Conteúdo: Tipos de criptografia (simétrica, assimétrica), técnicas de encriptação e protocolos de segurança.

• 2 - CISSP - Certified Information Systems Security Professional
  Carga Horária: 32 horas

  Segurança e Gerenciamento de Risco

  • Princípios que regem a tríade confidencialidade, integridade, e disponibilidade.
  • Governança da segurança – objetivo, meta, missão, papéis e responsabilidades, estratégias.
  • Programa completo e efetivo de segurança – frameworks de controle, “due care”, “due diligence”.
  • Conformidade – “GRC”, leis, regulamentos, privacidade.
  • Aspectos legais globais e regulamentos – crime cibernético, propriedade intelectual, importação/exportação, fluxo de dados entre fronteiras, privacidade.
  • Entendendo a ética profissional – programas éticos, falácias, “hacking” e “hacktivismo”.
  • Desenvolvendo e implantando políticas de segurança.
  • Requerimentos de BCP e DRP – escopo, BIA, exposição de ativos, RPO.
  • Gerenciando a segurança pessoal – seleção do candidato, políticas de contratação e término, controles para terceirizados, privacidade.
  • Conceitos de gerenciamento de risco – metodologias de avaliação, qualitativa, quantitativa, identificação de ameaças e vulnerabilidades, seleção de contramedidas, tipos de controles, ativos tangíveis e intangíveis, frameworks para gerenciamento de risco.
  • Modelagem de ameaças – determinando potenciais ataques, tecnologias e processos para remediar ameaças.
  • Práticas e estratégias em aquisições – hardware, software, serviços, governança de terceiros, segurança mínima, requerimentos de nível de serviço.
  • Conscientização, treinamento, e educação em segurança – treinamento formal, atividades de conscientização, criando a cultura de segurança na empresa.

  
  

  Segurança dos Ativos da Informação.

  • Gerenciando os dados – política, papéis e responsabilidades, qualidade, documentação e organização.
  • Padronização dos dados – controle do ciclo de vida, modelagem, manutenção da base de dados, auditoria dos dados, armazenagem e arquivamento.
  • Longevidade e uso dos dados – segurança, acesso, compartilhamento, disseminação, publicação.
  • Suporte aos ativos e classificação da informação.
  • Gerenciamento dos ativos – licenciamento de software, ciclo de vida dos equipamentos. Proteção da privacidade.
  • Garantir a retenção apropriada – mídias, hardware, política.
  • Determinar os controles de segurança dos dados – dados em descanso, dados em trânsito, “baselines”.
  • Padrões internacionais – “Cyber Security” e “Critical Infrasctructure Framework”.

  
  

  Engenharia da Segurança.

  • Uso dos princípios de projeto seguro no ciclo de vida da engenharia.
  • Conceitos fundamentais de modelos de segurança – componentes, ESA, Zachman Framework, análise de requerimentos, documentando a arquitetura segura.
  • Modelos de avaliação da segurança em sistemas de informação – modelos para avaliação de produtos.
  • Capacidade de segurança dos sistemas de informação – mecanismos de controle de acesso, gerenciamento de memória.
  • Vulnerabilidades das arquiteturas de segurança – “SPOF”, vulnerabilidade em “client-based” e “server-based”.
  • Segurança em bases de dados – sistemas paralelos, distribuídos, criptográficos.
  • Ameaças e vulnerabilidades em sistemas e software – baseados na web.
  • Vulnerabilidades em sistemas móveis – riscos envolvendo computadores e trabalhadores remotos.
  • Vulnerabilidades em sistemas embarcados e sistemas físicos cibernéticos – “Industrial Control Systems (ICS)”, “Supervisory Control and Data Acquisition (SCADA)”.
  • Aplicação e uso da criptografia – origem, PKI, criação, distribuição e gerenciamento da chave, assinatura digital, gerenciamento de direitos digitais (DRM), não repúdio, funções “hash”, ataques.
  • Considerações de projeto do site e das instalações – “security survey”.
  • Planejamento do site – “Crime Prevention through Environmental Design (CPTED)”, janelas.
  • Projeto e implantação de segurança nas instalações.
  • Implantando e operando a segurança das instalações – sala das comunicações e sala dos servidores, área restrita e área de segurança, segurança em “data center”.

  
  

  Comunicações e Segurança da Rede

  • Projeto e arquitetura de uma rede segura – OSI, TCP/IP, redes IP, serviços de diretório.
  • Implicações dos protocolos multicamada.
  • Protocolos convergentes – VoIP, segurança em “wi-fi”, criptografia nas comunicações.
  • Proteção dos componentes da rede – mídias de transmissão, segurança “end point”, controle de acesso à rede.
  • Canais seguros de comunicação – voz, colaboração multimídia, acesso remoto, redes virtualizadas.
  • Ataques à rede – a rede como canal de ataque, “bastion of defense”, técnicas de “scanning”, gerenciamento de eventos de segurança (SEM), ataques de fragmentação IP, Dos/DDoS, “spoofing”, “session highjack”.

  
  

  Identidade e Gerenciamento de Acesso.

  • Acesso físico e lógico aos ativos.
  • Identificação e autenticação de pessoas e dispositivos – tecnologias de identificação, autenticação, e autorização.
  • Implantando gerenciamento de identidade – gerenciamento de senhas, contas, perfis, diretórios, autenticação simples e múltiplo fator, “accountability”, gerenciamento da sessão, gerenciamento de credenciais, registro e prova de identidade.
  • Identidade como serviço (IDaaS).
  • Integração de serviços de terceiros.
  • Implantando e gerenciando mecanismos de autorização – controles de acesso “role-based”, “rule-based”, MAC, DAC.
  • Prevenindo ou mitigando ataques ao controle de acesso.
  • Identidade e provisionamento do ciclo de vida do acesso – provisionamento, revisão, revogação.

  
  

  Testes e Avaliação da Segurança

  • Avaliação e estratégia dos testes – revisão de “logs”, transações, revisão e teste de código, uso indevido de testes, teste da interface.
  • Coletar dados de processos de segurança.
  • Auditoria interna e de terceiros – SAS 70, “Service Organization Control (SOC)”.

  
  

  Operações Seguras

  • Investigações – cena do crime, política, papéis, responsabilidades, resposta a incidentes, fase de recuperação, coleta e manuseio de evidências, monitoração contínua de tráfego de saída, vazamento de dados (DLP).
  • Provisionamento de recursos através do gerenciamento de configurações.
  • Conceitos fundamentais de operações seguras – controle de contas privilegiadas, grupos e papéis, “SOD”, rotação de funções, SLAs.
  • Proteção dos recursos – ativos tangíveis, intangíveis, gerenciamento de mídias.
  • Resposta a incidentes – gerenciamento de incidentes, medições, métricas, relatórios, detecção, resposta, recuperação, revisão com lições aprendidas.
  • Medidas preventivas contra ataques – divulgação não autorizada, IDS, serviços de segurança terceirizados, “sandbox”, “anti-malware”, “honeypots”, “honeynets”.
  • Patch e gerenciamento de vulnerabilidades.
  • Gerenciamento de mudanças e configurações – estratégias de recuperação do site, sites de processamentos múltiplos, resiliência e tolerância a falhas.
  • O processo de recuperação de desastres – documentação do plano, resposta, pessoal, envolvido, comunicações, restauração, treinamento, exercício, avaliação, e manutenção do plano.
  • Revisão do plano de teste – “tabletop”, “walk-through”, “simulation”, “parallel”, “full-interruption”, atualização e manutenção do plano.
  • Continuidade do negócio e outras áreas de risco – implantando e operando a segurança de perímetro.
  • Controle de acesso – cartões de acesso, CCTV.
  • Segurança interna – IDS interno.
  • Segurança interna e do prédio - portas.
  • Segurança pessoal. – privacidade, viagens e coação do colaborador.

  
  

  Segurança no Ciclo de Vida do Desenvolvimento de Software.

  • Esboço da segurança no desenvolvimento de software – ciclo de vida, modelo de maturidade, gerencia de mudanças.
  • Ambiente e controles de segurança – métodos de desenvolvimento, ”data warehouse”, vulnerabilidades em base de dados, aplicações web.
  • Segurança do ambiente de software – ferramentas, bibliotecas, código fonte, proteção contra malware.
  • Mecanismos de proteção de software – “security kernel”, “reference monitor”, “TCB”, gerenciamento de configuração, segurança do repositório de código, segurança de “Application Programming Interfaces (API)”.
  • Avaliando a efetividade da segurança do software – certificação, acreditação, auditoria de mudanças, análise e mitigação de riscos.
  • Avaliando a segurança do software adquirido.

• 3 - PenTest - Testes de Invasão
  Carga Horária: 24 horas

  • Avaliação da ameaça:
    • Ferramentas de avaliação de segurança;
    • Procurando ameaças e vulnerabilidades;
    • Avaliar ameaças;
    • Técnicas de avaliação de ameaças;
    • PenTest;
    • Escaneamento avançado de vulnerabilidades.
  • Monitoramento de Log:
    • Monitorar arquivos de log;
    • Informação de segurança e gerenciamento de eventos.
  • Testes de software:
    • Revisão de código;
    • Testes de código;
    • Teste de Fuzz;
    • Teste de interface;
    • Teste de caso de mau uso;
    • Análise de cobertura de teste.
  • Recuperação de desastres:
    • Visão geral da recuperação de desastres;
    • Backups;
    • Validando backups;
    • Sites de recuperação de desastres;
    • Testando planos BC / DR.
  • Avaliação de processos de segurança:
    • Coletar dados do processo de segurança;
    • Revisão de gerenciamento;
    • Métricas de segurança;
    • Auditorias e avaliações;
    • Gerenciamento de controle.
  • Teste Organizacional PenTest:
    • Auditar mecanismos de segurança;
    • Localizando vulnerabilidades de segurança;
    • Compreensão do PenTest;
    • Identificando os vetores de ataque.
  • Tipos de PenTest:
    • Testes Black, gray, e white-box;
    • Verificando de fora para dentro;
    • Olhando para dentro da organização;
    • Testando outros métodos.
  • Técnicas Pen Testing:
    • Seguindo um plano estruturado;
    • Planejando o pen test;
    • Atacando o sistema
    • Entregando os resultados.

• 4 - Information Security Foundation based on ISO 27001 (ISFS)
  Carga Horária: 16 horas

  Módulo 1
  Introdução
  Dicas para o exame
  
  Módulo 2
  Introdução à família da norma ISO 27000
  
  Modulo 3
  ISO 27001 e valor da informação com o CID (Confiabilidade, Integridade e Disponibilidade)
  
  Módulo 4
  Definição e Análise de Ameaças riscos e riscos
  
  Módulo 5
  Gerenciamento de incidentes de segurança da informação
  
  Módulo 6
  Médidas de segurança de informação
  
  Módulo 7
  Legislação sobre sobre segurança da informação
  
  Módulo 8
  Resolução de Simulado

• 5 - Privacy & Data Protection Foundation
  Carga Horária: 16 horas

  
  Módulo 1 - Fundamentos de Privacidade e Proteção de Dado
  Módulo 2 - Organizando a Proteção de Dados
  Módulo 3 - Proteção de dados
  Módulo 4 - Noções sobre LGPD
  Módulo 5 - Simulado

• 6 - Privacy & Data Protection Practitioner
  Carga Horária: 24 horas

  Módulo I 
  

  ·        Informação e segurança.

  
  Módulo II

  ·        Alinhamento estratégico

  
  Módulo III

  ·        Gestão de riscos

  
  Módulo IV

  ·        Medidas de segurança e o impacto para a organização.

  Módulo V  

  ·        Conformidade

  Módulo VI

  ·        Fundamentos em Privacidade

  Módulo VII

  ·        Proteção de dados.

  Módulo VIII

  ·        Sistemas de Gestão de Proteção e Privacidade de Dados.

  Módulo IX

  ·        As 5 fases para a implantação de um sistema de gestão em privacidade.

  Fase 1 - Preparação do Sistema de Gestão;
  Fase 2 - Organização do Sistema de Gestão;
  Fase 3 - Implementação o Sistema de Gestão;
  Fase 4 - Governança do Sistema de Gestão;
  Fase 5 - Avaliação e Melhoria Contínua do Sistema de Gestão.

• 7 - LGPD - Lei Geral de Proteção de Dados
  Carga Horária: 16 horas

  Introdução

  Fundamentos e regulamentações de privacidade

  Leis semelhantes em outros países

  Definições de privacidade

  Tipos de dados pessoais

  Fundamentos legítimos e limitação de propósito

  Requisitos para o tratamento legítimo de dados pessoais

  Direitos do titular dos dados

   

  MÓDULO 1

   

  PRINCIPIOS UTILIZADOS NA LGPD 

  Finalidade

  Adequação

  Necessidade

  Livre Acesso

  Qualidade dos dados

  Transparência

  Segurança

  Prevenção

  Não discriminação

  Responsabilidade e prestação de contas 

   

  MÓDULO 2

   

  Importância de proteção de dados para a organização

  ANPD (Agência Nacional de Proteção de Dados)

  Relatório de Impacto sobre Proteção de Dados (RIPD)

  Transferência internacional de dados

  Proteção de dados em contratos

     

  MÓDULO 3

   

  DIREITOS DO TITULAR DE DADOS 

  Confirmação de existência

  Relatório de dados simplificado e completo

  anonimização, bloqueio e eliminação de dados

  Portabilidade

  Compartilhamento

  Revogação do consentimento

    

  MÓDULO 4

   

  AGENTES DE TRATAMENTO 

  Titular dos dados

  Controlador

  Operador

  Encarregado

  ANPD

  Responsabilidade Civil

   

  MÓDULO 5

   

  Proteção de dados e governança de TI 

  ISO 27001

  ISO 29100

  Privacidade

  Confidencialidade

  integridade

  disponibilidade

  Violação de dados