Incident Handling
Este curso traz uma visão completa e prática sobre o processo de resposta e tratamento de incidentes através dos Grupos de Segurança e Resposta a Incidentes (CSIRTs) e em Security Operations Centers (SOCs), permitindo responder ameaças e ataques complexos, incluindo ameaças persistentes (APTs).
Segunda à Sexta-Feira
9h às 18h
Aulas Online em Calendário Regular e In Company
Certificado de Conclusão
Data Security
Fundador e Diretor Executivo na Data Security.
Atuou por mais de 12 anos em instituições financeiras nas áreas de segurança da informação e prevenção a fraude.
Engenheiro pela Escola de Engenharia Mauá, pós-graduado em administração pela FGV, mestre em ciência forense pela POLI/USP e pós-graduado em comunicação e arte pelo SENAC-SP.
Coordenador e Professor no MBA em Cibersegurança na FIAP, Professor em instituições como Universidade Presbiteriana Mackenzie, SENAC, UNIFOR, IPOG, IBG e demais outras instituições presentes no Brasil e no mundo.
Preza acima de tudo o uso de seus conhecimentos em benefício da sociedade.
CONTEÚDO DO CURSO
• Conceito de um evento
• Contexto atual
• Relação de Sites Adulterados
• Avaliação da segurança de meus dados
• Avaliação da segurança de minhas senhas
• Conceito de um incidente
• Processo de Resposta aos Incidentes
• Exemplos de Incidentes (CERT.br)
• Tratamento de Incidentes
• Cibersegurança
• Conceito de Ataques Cibernéticos
• Como estamos prontos para a Segurança
• Controles em Segurança – ISO 27002
• Família de normas ISO 27000
• NIST 800-53
• NIST Cyber Security Framework
• Referências – CERT.br
• Referências – NIST
• Referências – SANS Institute
• Livro Branco de Defesa Nacional
• Maiores vazamentos de dados ocorridos
• Cenário atual de riscos
• Ransomware
• Tipos de Ransomware
• Alvos do Ransomware
• Anatomia do Ransomware
• Riscos de Autenticação
• Riscos em Interceptação
• Cenário onde a autenticação pode ser algo realmente seguro
• Riscos em Intercepção
• Riscos em Cloud Computing
• Referência em Cloud Computing
• Riscos em Micro Drones
• Riscos aos dados de impressoras
• Riscos em IoT
• Referência em IoT
• Referência em SCADA
• Riscos sobre sistemas
• Ataques sobre sistemas operacionais
• Premissas de Defesa
• Risco das aplicações em sistemas
• Riscos em dispositivos móveis
• Riscos em Engenharia Social
• Vishing
• Phishing
• Spear Phishing
• Ferramentas de Engenharia social
• Riscos em Telefonia Móvel
• Riscos em Redes sem Fio – WPA2
• Risco em Redes sem Fio – Bluetooth
• Gestão de Riscos
• Prática em Gestão de Risco
• Diretrizes e Normas em Riscos
• Visão da norma ISO 27005
• Visão da norma ISO 31000
• Risco Operacional
• Risco Operacional Residual
• Matriz de Risco Operacional
• Risco Reputacional
• Cyber Risk Report
• Tratamento de Incidentes pelo NIC.br
• Processo de tratamento de Incidentes
• ISO 27002 (Gestão de Incidentes)
• NIST 600-61 (Gestão de Incidentes)
• Gestão de incidentes na prática
• Resposta efetiva
• Estratégias para uma resposta efetiva
• Gerenciamento de Incidentes
• Gerenciamento de Incidentes – Prepare
• Gerenciamento de Incidentes – Protect
• Gerenciamento de Incidentes – Detect
• Gerenciamento de Incidentes – Triage
• Gerenciamento de Incidentes – Respond
• Respostas a Incidentes – CSIRT
• O que é um CSIRT
• O que faz um CSIRT
• Histórico da criação do primeiro CSIRT
• Tipos de CSIRT
• CSIRT Nacional – Exemplos
• CSIRT – Setorial
• CSIRT – Organizacional
• CSIRT – Fabricantes
• CSIRT Comercial
• CSIRT regional ou de iniciativas regionais
• CERT.br
• Equipes de resposta a incidentes no Brasil
• FIRST
• CTIR Gov
• Serviços providos por um CSIRT
• Serviços Reativos
• Serviços Proativos
• Gerenciamento da qualidade dos serviços
• Como nomear um CSIRT
• Nomes mais comuns no FIRST
• História do CERT™
• Processo de criação de um CSIRT
• Processo de criação de um CSIRT – Passo 1
• Processo de criação de um CSIRT – Passo 2
• Processo de criação de um CSIRT – Passo 3
• Questões técnicas
• Membros do CSIRT
• Processo de criação de um CSIRT – Passo 4
• Sucesso de um CSIRT
• Ferramentas utilizadas em CSIRT
• Resposta a Incidentes
• Requisitos adicionais
• Detecção de intrusão em sistemas
• Importância da notificação de incidentes
• O que devo notificar
• A quem devo notificar
• Definição de WHOIS
• WHOIS no Brasil e Regionais
• IANA
• Criando uma base de contatos
• Qual é o propósito dos arquivos de log
• Princípios dos arquivos de log
• Fontes de logs
• Planejamento quanto aos logs
• Categoria de dados
• Dados de rede
• Dados do sistema
• Dados de processos
• Dados de sistema de arquivos
• Dados de usuário
• Dados dos log
• Estratégia para análise de logs
• Lendo e interpretando os logs
• Pesquisando em logs
• Utilização de SIEM
• Exemplo de LOGs em SSH
• Exemplo de LOGs em FTP
• Exemplo de LOGs em POP3
• Exemplo de LOGs em Servidor Web
• Exemplo de LOGs em DRDoS – Amplificação de DNS
• Exemplo de LOGs em DRDoS – Amplificação de NTP
• Utilizando o Netflow
• O que é um Flow
• O que os Flows podem responder
• Informações Críticas Importantes
• Obtendo Informações Críticas Importantes
• Quem está envolvido na obtenção de Informações
• Que tipo de organização representam
• Como estão envolvidos
• Qual é o seu papel
• Qual é a natureza do incidente
• Qual é a escopo do incidente
• Período do relatório da atividade
• Ferramentas Open Source
• Ferramentas de WHOIS
• Ferramentas de coleta (IDS/IPS)
• Ferramentas de correlacionamento
• SIEM
• Ferramentas de controle de acesso a rede
• Ferramentas Open Source
• Ferramentas Open Source (Cloud)
• Ferramentas Open Source (Forense)
• Aspectos relacionados à privacidade
• Comunicação segura em CSIRT
• Coleta de dados em Fontes Abertas
• Coleta de dados pessoais – Buscadores
• Coleta de dados pessoais – Registros pessoais
• Coleta de dados pessoais – Redes Sociais
• Coleta de dados pessoais – Escavador
• Para acesso à Deep Web
• Sistema Operacional anonimizado
• ENISA
• Insumos em Resposta à Incidentes
• Ataque Man-in-the-middle (MitM)
• Ataque Cross-site scripting (XSS)
• Ataque caller ID
• Ataque QRCode
• O processo de detecção
• Detecção reativa
• Mecanismos para suportar os processos de detecção
• Detecção proativa
• Fluxo de comunicação – Hotline
• Processo do Service Desk – ITIL
• Métricas de um Service Desk – ITIL
• INOC-DBA
• Security Operation Center
• Fluxo da Triagem
• O processo de triagem
• Ações preliminares na triagem
• Revisão da informação na triagem
• Categorização na triagem
• Correlação na triagem
• Priorização na triagem
• Atribuição na triagem
• Elementos para suportar a triagem
• Erros comuns na triagem
• Automação na triagem
• Triagem, Investigação e Remediação
• Abrangência da Resposta aos Incidentes
• Fundamentos de rede
• Diferença entre IPv4 e IPv6
• Arquitetura de rede
• Como funciona um DNS
• Como funciona um DHCP
• Como funciona um SIP
• Como funciona um SMTP
• Análise do perímetro de rede
• Processo de respostas aos incidentes
• Gerenciamento de Incidentes
• Resposta Técnica
• Resposta Gerencial
• Resposta Legal
• Coordenação na atividade de resposta
• CIS Controls
• ENISA- Incident Response
• NIST – Incident Response
• Carnegie Mellon – Incident Response
• Metodologias de tratamento de incidentes
• Cálculo de custos de um incidente
• O que trata a Criptografia
• Soluções de Criptografia
• Definição de DLP
• Terminologias associadas ao DLP
• Categorias relacionadas ao DLP
• O que envolve o DLP
• Alavancadores de soluções de DLP
• Onde aprofundar seus conhecimentos em DLP
• APT (Advanced Persistent Threat)
• RAT (Remote Access Trojan)
• DoS e DDoS
• Deep Web
• Análise de Malware – Análise Online
• Análise de Malware – Antimalware
• Análise de Malware – Ransomware
• Análise de Malware – Processos
• Análise de Malware – Comunicação
• Análise de Malware – Inicialização
• Análise de Malware – Reversa
• Dados estatísticos sobre incidentes
• Dados estatísticos sobre incidentes na área de saúde
• Prejuízos advindos dos incidentes (IBM)
• Causas raízes de incidentes (ENISA)
• Calculadora de perdas de vazamentos
• Pesquisa sobre Vulnerabilidades técnicas
• Risco das aplicações em sistemas
• Análise de Vulnerabilidades em sistemas
• Testes de Segurança
• Etapas de um Teste de Invasão
• Ferramentas da análise de vulnerabilidade
• Importância na notificação de incidentes
• O que notificar
• O que incluir na notificação
• A quem notificar
• Modelo de mensagem em desfiguração
• Modelo de mensagens em fraudes
• Modelo de mensagem em vazamento de dados sensíveis
• Modelo de mensagem de ataques em geral
• Modelo de mensagem em DNS malicioso
• Modelo de mensagem em hospedagem de artefato malicioso
• Modelo de mensagem em Phishing simples ou com geolocalização
• Modelo de mensagem em Pharming
• Modelo de mensagem em servidor enviando Phishing Scam
• Modelo de mensagem em servidor de comando e controle RAT
• Ataque dirigido
• Perícia Forense Informática
• O que é Forense Computacional
• Aspectos principais da perícia forense
• Processos da Justiça
• Evidências Digitais
• Preservação da prova
• Os 4 princípios Forenses
• Propriedades Forenses
• Visão da ISO 27037
• ISO 27037: Identificação
• ISO 27037: Coleta e Aquisição
• ISO 27037: Preservação
• ISO 27037: Requerimentos
• Integridade das provas
• Custódia das provas
• Análise dos dados
• Palavras chaves
• Linha do tempo
• Recuperação dos dados
• Evasão Forense
• Laudo Pericial
• Ferramentas forenses
• Exercícios
• Referências adicionais para estudo