Repositório compartilhando alguns conceitos básicos e conhecimentos necessários para um analista de segurança da informação blue team. Conceitos que estou consolidando aqui com a parte teórica e também com ferramentas importantes para depois você se aprofundar nos assuntos por conta própria. Se você quer sugerir alguma coisa, sinta-se a vontade de submeter um pull request.
Começo mencionando pelo menos 3 habilidades que uma pessoa deve desenvolver para seguir carreira em segurança da informação:
- Pensamento crítico
- Persistência
- Busca por conhecimento
- Terminologias (FW, IPS, WAF, IDS, AV, EDR, SIEM…)
- Fundamentos de redes (TCP/IP, UDP, ARP, DHCP, SNMP, NETbios, DNS…)
- Fundamentos de sistemas operacionais (Linux, Windows, Android, iOS, MacOS, FreeBSD…)
- Fundamentos de protocolos de aplicações (HTTP, FTP, TFTP, SMTP, POP, IMAP, SSH, TELNET…)
- Fundamentos de desenvolvimento seguro (Sanitização, remoção de frameworks e código sem uso, OWASP…)
- Análise de scripts e malwares básica (Python, Powershell, VBS, CMD, Bash, EXE, MSI, CPL…)
- Análise dos principais tipos de ataques (Phishing, malware, social engineering…)
- Conceitos de resposta de incidentes (Ransomware, DDoS, vazamento de dados…)
- Conceito de Least privilege (Aplicar apenas o privilégio necessário para desempenhar uma atividade, se o usuário precisa de mais alguma coisa, ele pede permissão)
- Conceitos de hardening (Genéricamente falando, só mantenha ativo o necessário. Tudo que não for necessário desinstale, desative, exclua na ordem que for viável)
Primeiramente vamos abordar o que um analista de segurança da informação blue team faz basicamente. É o analista que faz a proteção das informações da organização através de várias frentes. Ajudam a detectar falhas de configurações em serviços, servidores e diversos tipos de tecnologias diferentes, verificam a eficiência de controles de segurança e ajudam a implementar novos controles, apoiam na resposta de um incidente tanto na parte da identificação como na possível remediação apropriada, mantém-se atualizados em feeds de inteligência prontos para aplicação ou recomendação de patches ou remediações para vulnerabilidades novas, apóiam times correlatos como os de desenvolvimento e sustentação a corrigir falhas e recomendar boas práticas de desenvolvimento, ajudam nos controles lógicos e de permissões por níveis hierárquicos tanto controlando acesso à informação como na classificação e proteção contra o vazamento destes dados. Existe outra infinidade de tarefas possíveis, mas acho que o básico já está aqui.
White hat: São hackers conhecidos como ethical hackers. Eles fazem testes nos sistemas de forma autorizada pela organização. São os tipos de hackers que ajudam a organização a se manter protegida e apoiam na segurança de seus dados, websites, serviços e etc. Com o aumento dos ataques cibernéticos contra organizações e governos, muitas dessas entidades perceberam a necessidade desse tipo de profissional dentro da organização.
Black hat: São hackers que entram nos sistemas sem autorização e de forma ilegal causando prejuízos que vão desde roubo de dados, indisponibilidade dos serviços da organização, modificação de dados ou websites e vários outros tipos de danos que podem ser causados com objetivo financeiro, governamental, espionagem, ganho de competitivo, demonstração de poder entre outros.
Gray hat: São uma mistura de ambos tipos de hackers white e black, eles podem ter ou não autorização da organização ou do alvo mas sem inteção de causar danos. O objetivo é encontrar falhas e podem pedir as vezes algum tipo de ajuda financeira a organização no caso de encontrarem algo relevante.