Arquitetura de Segurança: Desafios e estratégias | PPT Não Compila Podcast

0:00E aí teve um incidente cara que aconteceu que mudou assim a chavinha da minha vida assim comecei a enxergar segurança num outro Prisma mas de realidade cara literalmente parou o faturamento da empresa a empresa parou de faturar os caras me chamavam na reunião lá com os sócios com os donos nem nem envolvia mais o diretor era com os donos da empresa momento tenso mas você vai pegar meu pend cara eu tive que ser macho ali naquela hora né não dá aqui teu p tô confiscando vou limpar e depois te devolvo realo menos importante a parte mais importante é a cultura exato que é o mais difícil de atingir é o comportamento é o comportamento muito bem muito bem meus amigos do PPT no compil estamos aqui para mais um episódio E hoje vamos falar novamente sobre segurança da Informação eu estou aqui com parceiro um amigo aqui do podcast Cyber cast o Aldo Alves que vai fal falar um pouco com a gente hoje sobre o que é arquitetura de segurança vocês já enjoaram de me ver aqui falando sobre arquitetura de ti arquitetura do software arquitetura corporativa Hoje a gente vai desvendar um pouco mais sobre o que é arquitetura de segurança Aldo Boa noite meu cara obrigado boa noite Obrigado aí pelo convite aí fala um pouquinho para mim do cyc convida a galera aí pr eu convido vocês a assistir o Cyber cast é um podcast de ti mas frisando ali focando cybersegurança então a gente fala bastante de blue team Red Team White team eh e trad Intel trat modling modelagem de ameaças tudo que envolve o universo de segurança e cibersegurança é normas lgpd Enfim vocês vão gostar bastante do podcast a gente tem convidados bem bacanas aí que gravaram grandes episódios já show de bola então fica aqui a nossa recomendação do nosso podcast irmão aqui o cybercat eh para que você que quer conhecer mais sobre eh Cyber sobre segurança sobre si tem uma grande recomendação aqui hoje a gente vai saber como funciona o que é arquitetura de segurança né como que isso se relaciona com a arquitetura de tecnologia com produto com a estratégia na empresa acho que a gente tem bastante coisa para contribuir aqui para que você tenha uma visão e vão dar umas dicas também né do cara que quer cara tá lá no Dev ele quer entender um pouco mais sobre desenvolvimento acho que a gente vai conseguir dar uma um bom bom overview para esse cara né Sim a gente vai dar várias Sacadas aí para vocês embarcarem para esse Skill de Cyber segurança Security Champions desenvolvimento seguro Então acho que vamos contribuir bastante com com vocês aqui se você gosta do assunto primeira oportunidade dar o like agora deixa o like aqui embaixo se inscreve no canal se você acha que pode contribuir um um pouco mais com o nosso trabalho se a gente contribui com a sua vida profissional ou te traz alguns momentos de alegria não sei se o cara de o cara de te tem poucas alegrias na vida né Eldo talvez ouvir um podcast nerd pode ser uma boa você pode ser nosso membro lá no YouTube vai lá no YouTube se inscreve primeiro depois você vai lá coloca como membro vai contribuir com um pingadinho aqui pra gente manter esse trabalho manter essa estrutura e trazer mais informação para você Ainda mais se você não pode contribuir dessa forma você já contribui demais deixando seu like deixando seu comentário e compartilhando esse episódio seja no Spotify seja no YouTube para quem tem interesse nesse nesse assunto que o episódio tá muito bom neldo Bora lá tá tá quente Bora lá que tem muita informação para compartilhar bora [Música] [Aplausos] [Música] [Aplausos] [Música] [Aplausos] Aldo já já falei sobre arquitetura Acho que deve ser o episódio 148 acho que umas 150 vezes já falei de arquitetura nesse Episódio A gente sempre a gente sempre fala fala um pouco de arquitetura pela visão profissional que a gente tem né mas acho que a gente nunca falou especificamente sobre arquitetura de segurança né e e eu acho que vai ser um episódio bacana pra gente trazer esse essa outra característica da da ti essa outra habilidade da ti pros nossos ouvintes eu queria que você começasse dando overview da tua carreira E como que você foi parar na na posição de arquiteto de segurança qual que foi o teu background até chegar aqui certo eh quando eu tinha 12 a 13 anos eu comecei a me interessar ali por informática né comecei com um curso de montagem e manutenção de computadores e foi logo depois que meu pai ele atuava com vendas né e ele acabou ficando desempregado num espaço curto de tempo eu fazer o curso e aí começando tecnologia ali Aquela fase de internet né nos primórdios ainda tava começando internet decada e aí eu comecei a montar computador né famosinho CD da ALL né lembra É eu foi um pouquinho antes eu lembro que a gente fazia muito escambo para conseguir informação cara eu levava um HD na Santa Efigênia para encontrar um cara que soubesse alguma coisa de hardware para explicar pra gente para eu dar um HD para eu dar um um flop o flop diz que dá uma fonte e não tinha muita informação né a gente parava para conversar sobre informática no mapping numa loja né nossa cara era nostalgia a gente vai ter que explicar para muita gente que é um flop tem gente que nunca viu um flop na vida E aí meu lembro do mpp lembro de umas lojas assim que a gente conversava com a pessoa ali que vendeia computador né E era eu lembro que eu estudava muito pela Barça não tinha informação inéia BSA pois é era umas coisas assim bem antigas né e E aí eu comecei a montar computador e meu pai era de vendas um cara aut datata né ele manjava de tudo assim já tinha trabalhado trabalhado com tudo e cara descobrindo ali tecnologia comecei a montar maquininha a gente começou a ir no lixão e e acordava de madrugada 4 5 horas da manhã ia no André Luiz no lixão do André Luiz e antigamente as empresas elas trocavam computadores né e servidores porque abatia imposto Sim sim e a gente arrematar lote né de máquinas né de computadores então era uma briga fazer uma fila e o pessoal da Santa Efigênia né a gente fazia uma fila de madrugada ia lá negociava um valor de um lote aí vamos supor comprava 50 Torres de CPU 50 monitores e a gente levava para casa o fusquinha fusquinha e o gol do meu pai cheio né de computador colocava lá na garagem era aquela coisa né instalação Windows 3.11 Windows 95 cara é uma delícia né imagina era uma delícia 386 486 E aí eu montava os computadores tirava a peça de um fazer um frx stain né tirava a peça de um de outro para montar deixava pronto e meu pai anunciava no Jornal Primeira Mão ah caramba primeira mão cara primeira mão ó você que usa OLX Mercado Livre Hoje não tem menor ideia do que é um primeira mão e aí eu lembro que meu pai sair assim para entregar quatro ou cinco computadores né com os computadores montados né e ele instalava na casa do pessoal ele sabia só instalar ligar os cabos e ligar o computador e aos poucos ele foi se interessando né ele ele manjava já de eletrônica então ele foi se interessando por montagem de manutenção de computador e ele foi aprendendo comigo ele foi me ajudando mas ele era muito bom em vendas Então o que eu eu era o cara de montar não conseguia me comunicar e eles se comunicavam e vendia os computadores e acabou dando super certo Acho que ele ficou uns 2 TR anos e ali mantendo o sustento da família a gente levando essa vida né eu ficava contente né porque tava aprendendo sim então tinha aquela e aquele interesse em aprender né sair da rua parar de jogar futebol não ficar na rua e montar computador e aí eu fui pro e cai mais pra carreira de Microsoft né porque eu vi aqui tinha alta empregabilidade questões de certificações né comecei a tirar certificações né Microsoft e do XP aí depois do Windows Server e me tornei ali eu tirei umas 15 certificações mais ou menos me tornei MCT de algumas aulas né de certificações Microsoft e chegou o momento que eu fui subindo né de analista de suporte até administrador de redes é muito focado em Microsoft verm virtualização tirei certificação do vemer você já começou uma carreira entrando na infra entrando na infra e a gente e trabalhava num empresa que foi uma das primeiras empresas que virtualiza o SAP a gente virtualiza no verma virtualizando CR fizemos um Case legal aí eh eh construir um data center a gente construir um data center e começou a virtualizar todo o Data Center aí meu chefe foi lá pagou o curso do verma né que era um curso caro na época eu tirei certificação do vermer e foi indo né E aí teve a oportunidade de eu ser gestor de ti e depois de gestor de ti eu fui ser gerente né numa Consultoria só que vamos dizer assim eu eu fui ser um gerente técnico né um cara que manjava muito de Tecnicamente eu tinha ali trabalhava numa consulta que tinha até MVP Microsoft os caras bem experientes e sistem Center Então aprendi muito aí eu tinha uma célula interna né Tinha algumas pessoas que se reportavam a mim só que era muito novo né tinha 21 22 anos e não me senti ainda preparado para ser um gestor e eu tinha um diretor Ava né Por exemplo aquela coisa nova comecei a fazer PMP né para pegar um um pouquinho mais de gatilho de gestão comecei a me interessar e depois e dessa época de gerente de infraestrutura comecei a ver muito segurança né a já administrava Fire proxy já com Foi aí que você começou a ter contato né Foi aí que eu comecei a ter contato resolver problema de rede a gente tinha por exemplo clientes que e a gente já fazia VP né interna clientes grandes né então de repente aconteceu algum problema de cair VPN ou ter algum tipo de ataque e E aí já comecei a lidar bastante com com a com um pouquinho de segurança né você acha que é natural da do profissional de infra Em algum momento se interessar pela área de segurança porque a gente costuma dizer né como como como profissionais de ti como gestores de ti que segurança é responsabilidade todo mundo então tanto o arquiteto de ti quanto o cara de redes quanto o cara de de virtualização todo mundo tem que ter esse viés de segurança desenvolvedor principalmente você acha que o time de infra ele tem um contato mais próximo ali no dia a dia é o no meu caso sim né Eu acho que muitas pessoas vieram de infraestrutura né Eh pelo que acompanhei da minha carreira né tinha muitos amigos que eram de infraestrutura e a gente viê os filmes Mas e a infraestrutura era junto com segurança a gente administrava já ferramenta de segurança e aí teve um incidente cara que aconteceu que mudou assim a chavinha da minha vida assim comecei a enxergar segurança num outro Prisma mais de realidade que foi o seguinte eh Teve uma época que a gente pegou o conficker na rede E aí o conficker é aquele malare né que se propagava nas máquinas e começou a trazer malare e artefato malicioso da internet Cavalo de Troia e o a CPU do fireo 100% aí parou a internet a CPU do fireo ficou 100% parou a internet topou fireo topou fireo as contas bloqueando de dois em 2 minutos tipo imagine 4 5.000 usuários as contas bloqueando eh eh a gente tinha o SAP na época SAP Business One né que era o pequenin o menor pacotinho SAP ele tinha uns atributos que fazia integração com Fire server ele renomeou e colocou o atributo como oculto de todos os arquivos cara para o telefonia a gente também tinha um servidor de call Manager parou a telefonia da empresa parou a internet travava as contas ninguém conseguia logar Ant vírus não tirava aquilo lá a gente ligou para para uma empresa de segurança falou quanto que é para vocês virem que resolver era tudo lá fora não tinha cara no Brasil os caras falavam Ah tipo é 2 3 milhões e a gente vai desligar a rede de vocês ficar três semanas com servidores desligados a gente não cara não posso parar meu negócio desligar meus servidores tô ligando para vocês resolverem mesmo não posso ter o servidor parar 2 3 milhões não você coisa de doido né não tem como pagar um valor surreal desse né e não tinha vacina né foi no começo antes de ter o pet do do do conf ainda todo mundo procurando vacina e cara e era uma empresa de TI enorme uma a gente tinha uma hospedagem lá e tinha cara muito bem gabaritado na época CCI então entrava com o ccnp na na reunião com com os donos da empresa e diretamente sentado e Essa época meu chefe tinha acabado de entrar de férias que delícia e e eu era o cara que era o gestor de ti que estava respondendo pela gerência no lugar dele ele falou quero que você fique tinha um cara mais antigo mas ele preferiu e falou quero que você fique respondendo você vai responder qual que era a sua posição nesse momento nesse eu tava como gestor só que eu tava cobrindo isso na infra só que eu tava cobrindo ele como gerente né ele tinha saído de férias eu tava reportando para ele todas as noites o que tava acontecendo cara literalmente para o faturamento da empresa a empresa parou de faturar os caras me chamavam na reunião lá com os sócios com os donos nem nem envolvia mais o diretor era com os donos da empresa momento tenso ccnp e CCI na mesa todo mundo dando palpite faz isso e faz aquilo e eu falava cara eu tinha aquela coisa dentro de mim que eu conseguia resolver e eu tava vendo que as reuniões estava atrapalhando demais que eu não conseguia eu era tão grande a pressão né de sentar com caras e eu não conseguia trabalhar né eu falei Putz cara eu preciso tentar isso muita gente discutindo e pouca gente fazendo isso aí eu falei cara mas isso não tá me levando a nada porque todo mundo Tá chutando coisas e e e eu acredito que se a gente seguir isso a gente vai resolver o problema só precisa de um pouco mais de tempo né e braço preciso que vocês me deixem em paz tran com a pizza e a máquina isso só que imagine vamos dizer assim um um rapaz de 20 21 anos um cara jovem eu era na época tudo bem era mcsa já na época é vcp já tinha umas 12 certificações mas tinha cara muito mais pesado do que eu na mesa um CCE três quatro vz CCE ccnp enfim ccda é cara pesado e os caras não faz isso faz isso tentando né e não resolvia eu falei cara eu preciso fazer ser convicto aqui ter o pragma acho que isso veio dessa época de arquiteto e bateu na minha cabeça Cara eu tenho que ser eu sei o que eu tô fazendo eu sou profissional e vou fazer e tô convicto que ISO aqui vai resolver e se joue né e eh por meu chefe tá fora uma situação bem difícil ali né de e se contornar a infraestrutura e eu precisava resolver o problema só que eu não era só resolver o problema precisava identificar o início do problema a origem a origem para poder tirar do meu chefe a responsabilidade Então já a eh era vamos dizer assim eu não tinha conhecimento de forense mas eu tinha que e dar artefatos ali evidência do que estava acontecendo e não só resolver mas detectar o problema ali onde originou e gerar essas evidências e eu e a gente tava entendendo ainda do problema né a gente começou a entender que era um ma só que a gente tava tava procurando por onde tinha onde tinha entrado né esse ma o que que tinha aonde tinha começado e a empresa ficou sem faturar alguns poucos dias né Por causa do SAP e eu falei [ __ ] cara o negócio ficou feio né Sem faturar aí já mexeu no parou a internet parou telefonia sem parou o coração da empresa parou o coração da empresa e os caras acreditaram em mim e o meu chefe você quer que volta eu falei não cara vou resolver eu vou dormir aqui mas eu vou resolver essa parada aqui eu vou dormir na empresa mesmo se ninguém saber o que eu tô dormindo e resolver meu não tinha Dr alguma estrutura assim para PR PR contenção ou não nessa época a gente tinha mas era de de alguns serviços que o config ele por exemplo o config ele ficava bloqueando conta era direto no AD a gente tinha o fireo colocava um outro Fire lá novo é por exemplo Zerado formatado tudo novo e topava de novo mensageria a gente começou a a gente foi Black listado é por conta de envios de e-mail também parou mensageria da empresa e aí eu precisava focar né E precisava de tempo aí eu peguei [ __ ] comecei a formatar as máquinas comecei a passar as ferramentas né juntei tudo Comecei a ler bastante testar várias hipóteses e cara teve uma hora eu saí recolhendo pendrive de todo mundo dos diretores eu falei não se é meu pend drive dá aqui seu pendrive que eu vou limpar oh mas você vai pegar meu pendrive cara eu tive que ser macho ali naquela hora né não dá aqui teu pend drive tô confiscando vou limpar e depois te devolvo form matava o pen drive porque tava voltando com o pen drive dos caras aí comecei a limpar comecei a passar as ferramentas em segundo plano rodei madrugada tirava disco Format máquina cara peguei um estagiário para me ajudar eu ligava pros caras que já tinham passado por isso em bancos eles falava Aldo Deixa eu te perguntar são quantas máquinas e você tem quantas na equipe eu fala não eu e um estagiário eu mais dois aqui eles falavam al Você tá louco a gente tá com esse problema aqui ele já derrubou quatro cinco checkpoint do banco tem uma equipe de mais de 70 pessoas terceirizadas só para remover esse cara caraca e e nessa época você ainda não era declaradamente um cara de de si não ainda tava em infraestrutura ainda tava infraest tinha uma equipe de si não não nessa empresa ainda não tinha uma equipe de si a gente administrava ferramentas mas era tudo junto de infraestrutura e tinha equipes G si mas prestando serviço para outras empresas externas da empresa não tinha uma equipe interna né entendi e cara fui na convicção fiz umas coisas lá juntei tudo juntei documentação comecei a limpar toda a rede conf fisc ping drive de todo mundo formatei máquina que não tava não tava arrancando bicho sentei lá instalei Windows para caramba fiz instalação automatizada de tudo enfim Limpei tudo voltou tudo corrigi correr corrigi Fire e corrigi SAP E aí chegou a hora da verdade a hora que eu fui sentar com o dono da empresa para explicar o que tinha acontecido e eu varando noites ali para tentar achar origem achei origem imprimi um um como se fosse um Calhamaço assim com com vários papéis né no relatório do antivírus um dossier doss e a história foi a seguinte um cara que trazia a maior faturamento da empresa o cara que que era da área de sap ele tinha colocado um usuário como administrator porque ele não conseguiu resolver um problema de integração do Edom do SAP e quando ele dava o poder de administrator ele resolvia mas quando o usuário ficava limitado dava pau no funcionava E aí esse caraa tinha um usuário grandão lá na rede Não tiraram o usuário dele e ele subiu o usuário de um cara da logística num servidor de terminal service como a dm e aí esse cara baixou o vírus com privilégio que com privilégio e começou veio o Cavalo de Troia veio tudo uma porrada de outros mers diferente porque o config ele faz isso ele vai trazendo galera vem para cá água tá quentinha começa meu do confic eu tinha vários problemas com vários malers diferent E aí eu achei o dosser Desde o Primeiro Momento da máquina infectada printei ali os logs tudo bonito expliquei toda a história todo Coia cara eu não queria estar ali na sala com o cara o cara trazia 80 70% do faturamento da empresa e o cara tomando aquela Rasgada Aí eu simplesmente consegui né Eh provar aquilo que táa acontecendo e esse cara era um dos caras que estavam querendo a cabeça do meu chefe esse cara que tinha feito a merda a merda e cara sai aliviado falei pro chefe chefe Fica tranquilo pode voltar que missão cumprida aí tiramos o b e consegui evidenciar aqui bonitinho falei com o dono os donos né eram dois na época e com o diretor também participei da da rasgada lá não queria nem Cara eu fiquei com vergonha de estar na sala assim não queria estar naquele moment você deixa o papel na mesa e entra embaixo da mesa né É cara eu me assustava assim e eu não queria est naquele momento na pele ali e aí Nessa ocasião talvez só a ocasião que eu senti a pior parte de de de gestão assim né porque eu falei [ __ ] como é pesado que responsabilidade cara mas ao mesmo tempo bateu aquele alívio só veio a pele do meu chefe só veio a minha e conseguimos resolver o incidente e conseguir provar que aquilo que a gente falava no porque a gente alertava né não você não pode ficar com isso mas como o cara traz 70% 80% do faturamento da empresa que que vai tirar o usuário do cara então a gente alertava que isso poderia acontecer e acabou acontecendo E aí esses esse incidente do conficker mudou assim e a visão que a empresa tinha a minha visão com relação à segurança e aí a gente conseguiu o a verba para contratar uma pessoa de segurança e essa pessoa de segurança não ia ter o departamento mas falaram assim essa pessoa de segurança vai se reportar você Aldo né porque você é um cara que gosta de segurança Você já pegou incidente macabra resol já tá já tá com calo já tá com calo vai ficar debaixo de você o meu chefe né meu gerente esse cara vai ficar debaixo de você tal não sei o qu ele vai ser Exclusive de segurança e você vai enfim acabei indo para outra empresa e foi aí que você entrou no mundo de de si é acabei indo pr pra outra empresa como gerente mais de infra ainda mexendo com segurança e depois de um tempo eu migrei pra área de a mas eu voltei e fui ser analista pleno de inf eu era gerente de infra e voltei a ser analista pleno de segurança ah de segurança entend e vim para blouin Ah entendi e meu completamente é regredi na carreira vamos dizer assim né É É um outro é é um outro uma outra Brand é uma outra Brand E aí eu falei eu pensando comigo né pelo menos falei pelo menos eu eu é É como se eu tivesse voltado uns degraus e eu vou ter um background ferrado para poder ter uma alicerce lá em cima e poder me manter né Uhum E vai ser por exemplo nível financeiro ali trocava um pouco não era muito mas em nível de cargo já mexha bastante né mas é bom a gente ter ter uma um novo início digamos assim né E para para eu poder te fazer perguntas mais específicas dessa tua fase eh dá um overview para quem tá nos ouvindo do que do que que é a arquitetura de segurança porque aí a gente vai falar do Blue tram vai falar do Red tram vai falar de eh soque né que tem tá ligado ali com o Blue tetin e acho que é interessante a pessoa o pessoal entender o que que é arquitetura de segurança quer eles já estão cansados de saber o que é arquitetura de ti porque eu acabo sempre envolvendo um pouco sobre isso eu entendo que provavelmente o conceito é o mesmo aplicado à segurança né Então queria ouvir de você o que é é basicamente eh e definindo ali em poucas palavras o que a gente garante é que a estratégia da companhia esteja sendo cumprida na execução então por exemplo muito se desvia né por causa dos Silos departamentais por exemplo os departamentos eles começam a viajar na maionese com relação à missão da empresa os objetivos da empresa e cada um vai nadando para um lado e deturpa ali e a gente vê que temos né de informação que ficam retidos em vários departamentos e cada um tem um interesse só que não é um interesse bem comum da companhia E aí minha função como arquiteto de segurança hoje eh tem esse propósito que é maior né entender o negócio tem que entender do negócio e tem que garantir que a estratégia da empresa ela se compra né eu tenho que acompanhar para para ela ser executada eh porém está muito ligada à questão de identificação de severidade do Risco uhum porque o que eu sinto hoje a gente tem muita gente na área de segurança mas você não tem o cara que é capaz de identificar que aquilo é crítico ele fala que é crítico porque ele vê ali crítico na ferramenta mas ele não sabe fazer o cálculo ele não não tem o feeling ali para falar isso tem tal Impacto ele não consegue reproduzir aquilo Porque até porque a criticidade pode variar de acordo com o contexto do negócio isso ele tem que saber avaliar isso né e o cara às vezes não sabe fazer uma poque Então a prova de conceito ali Executar a exploração e aí eu passei por brutin né então eu vim da Defesa administrando as ferramentas e depois eu fui para fivo que é o Pain test né e depois eu fui para desenvolvimento seguro Então me sinto muito confortável de fazer as explorações e quando a conversa ingressa e a conversa e fica engessada com o Dev ou com a gestão eu vou lá exploro eu falo tá aqui ó pá eu Manda real os cara agora é diferente eu fiz um negócio aqui acontecer E aí não tem mais desculpa vai ter que corrigir Então já passa para um outro nível né E aí eu acho que eh ser arquiteto é muito disso porque a as equipes de segurança hoje estão muito acostumadas a Gerar o a coisa na ferramenta e eles falam tá tudo é crítico vamos fazer tudo ao mesmo tempo e não tem coisa ali que dá para se aguardar e Tem coisa que pode ser priorizada E você tem CR crtico né se tudo é prioridade nada é prioridade né Sim quero falar com você agora que ainda não conhece a Clever Clever é uma empresa que já tem mais de 3 milhões de usuários em 30 países com 30 idiomas diferentes que tem trazido Soluções em blockchain criptomoedas e ativos digitais o objetivo da Clever é te dar liberdade financeira para operar nesse mercado de cripto então se você acredita nisso se você acredita nessa Liberdade você já Pensa como a Clever vai conhecer os caras é Clever Paio estão contratando também pessoal para trabalhar com crypto com blockchain então se você tem interesse se você tem conhecimento nessa área procura Clever se você gosta de criptomoedas se você opera no mercado você precisa conhecer a Clever precisa conhecer as soluções da Clever então o endereço tá aqui embaixo no vídeo para quem não tá no YouTube é Clever Paio Vai lá vai conhecer que realmente é o mercado sensacional e eu achei interessante a sua definição Aldo porque ela é exatamente a definição que a gente tem para arquitetura de ti que o que sempre me perguntam é cara que a diferença de arquitetura engenharia né porque tem Engenheiro de software tem arquiteto de software essa relação com negócio e com estratégia né E você definiu bem na na na na tua definição essa questão de de de ter a missão de olhar de helicóptero entre as áreas e ter uma uma visão transversal se a estratégia de negócio tá sendo refletida na estratégia de tecnologia no caso que você que você citou com o viés de segurança e fazer essa modelagem de entender o a criticidade os riscos de Se não cumprir aquela aquela estratégia né e na arquitetura de ti a gente tem Exatamente isso tem que ter alguém com conhecimento de negócio de tecnologia que fale olha para eu para eu ter esse objetivo de negócio você ter essa estratégia de tecnologia E aí o equivalente disso para segurança é exatamente isso que você disse né então a a função de arquitetura ela tem vieses mas ela tá muito relacionada ao negócio né e do jeito que a gente atua não é só eu incluo segurança também incluo infraestrutura incluo todas as áreas até as áreas de negócio po exa com capability a gente faz um acesso mas a gente tem condição de falar pra área de negócio eu quero comprar uma ferari você não po não você quer comprar Ferrari mas seu momento de maturidade um hev já tá bom já tá bom já funcionaria Por que que você tá querendo comprar o Ferrari então é é é você começa a provocar área de negócio no sentido de você ser o influenciador e e ser um um mentor ali né ó eh tô fazendo um assessment aqui em cima tô eh medindo né É claro com o apoio da da arquiteta de negócios né a gente não faz nada sozinho mas eu eu sou um arquiteto de domínio a gente tem arquiteto de solução tbp é analista de negócios então a gente também tem alguns softwares que ajudam a gente fazer isso mas a gente consegue chegar até esse nível né de maturidade Então a hora que a gente chega começa a comprovar né Essas coisas aí a gente ganha eh notoriedade né e fala não realmente agrega valor né e o papel do advisor né Car cara entende Pô esse cara tá tá tá me ajudando tá tá tá me trazendo informação do complemento que eu não tenho né ele como negócio às vezes o e e o que é muito comum né é o o negócio cair no no canto doce de vendedor né de ah compra minha ferramenta que vai resolver todos os seus problemas chega o vendedor de Ferrari lá como você disse meu amigo Você não precisa de tudo isso ou às vezes também oo contrário né Às vezes o cara quer comprar um Fusca mas do Fusca não vai chegar na velocidade que ele quer de repente pra maturidade que ele já tem então o inverso também é verdadeiro né e eu queria te perguntar Aldo sobre essas disciplinas de de segurança que estão dentro dessa da arquitetura falou um pouco do Red Team Falou pouco do Blue team a gente tem um um episódio lá no comecinho do podcast Já tem alguns anos prisa de uma atualização que a gente falou de Como funcionava o Blue team Red Team vou deixar também aqui o o Card Mas você que viveu isso queria que você desse uma uma um overview principalmente do Blu team com o sock né porque nem são coisas ali que se confundem um pouco né sim é o o soque ali é Seria algo que tá olhando pro teu ambiente né Tá monitorando né Eh tem gente que quer monitorar tudo mas o ideal é monitorar os Joes da coroa ali o que é mais importante pro seu negócio O blouin Ali A parte defensiva né o pessoal mexe muito com Fire antivírus eh proxy dlp esse tipo de ferramenta que a gente chama de caixinhas né que o mercado vende bastante né então ali eles trabalham com segurança defensiva trat Hunting tem o pessoal de White team que é o pessoal que faz o regulatório ali compliances políticas e tem o pessoal d gentin que cuida de appsec ali tem tem o arcoíris completo ali né eu não sabia disso não o White team e or team para mim é é tem um tem o pessoal do purple team que é é o pessoal que entende de blue e Red e e que faz a o a comunicação é como se fosse um prox porque o Quando você vai explorar o pessoal do butin não tem Total entendimento de segurança ofensiva de ler um payload entender um payload uhum porque o pessoal do Red Team é um bom Red Team é um cara que conhece desenvolv não precisa ser um desenvolvedor mas ele até cria ferramentas então ele dá uma arranhada num Python num BH ele começa a entender o que a ferramenta faz por debaixo dos panos então o r team ele já tem esse olhar mais de desenvolvimento e ele consegue provocar situações que quando ele tem conflito com plotin o purple ele ajuda a explicar aquilo que o red fez endi ele ele é um intelect né um cara mais Sênior que já tenha passado de repente por brutin e Red tein ele pode cumprir esse papel de purpo ele é ambidestro n é ambidestro E aí tem o tem arquitetura né que eu eu sou arquiteto né de segurança e uma das coisas que eu eu vejo por exemplo existiu o papel de arquiteto de segurança antigamente mas eu acho que isso se transformou muito e eu vejo que as empresas carecem hoje de um cara que seja o arquiteto de segurança e na minha opinião tem que ser um cara etical hacker um cara que tem o Skill de hacker ético Uhum é é claro que ele pode ter um hacker ético dentro da equipe para se apoiar mas se você é um hacker ético você consegue ter ali na mão né já que nem eu te falei por exemplo quando eu vou conversar com o pessoal de envolvimento o pessoal de appsec ou outras áreas o pessoal de Integração eu já consigo produzir as ali as explorações e já consigo mostrar então eu eu quebro essa barreira de ter que esperar o pessoal de de Ram ou algum Pest mandar alguma coisa fazer a exploração aí eu já mostro o payload aí eu eu coloco uma mão no meu ambiente já pega as coisas eu não sou operacional mas meu se você v a quantidade de coisas que eu reporto assim coloco a mão do lado ó [ __ ] pare parece que eu sou operação os caras fal mas meu da onde você achou isso não tava navegando aqui no site achei uma vulnerabilidade Achei um vazamento achei isso achei aquilo então fica muito mais fácil e a gente tem vários arquitetos né Tem um arquiteto SAP arquiteto de integrações arquiteto de infraestrutura arquiteto de cloud e arquiteto de conectiv idade a gente tem um comitê ali né Hum então a gente div divide as as decisões tem a arquitetura corporativa junto com a arquiteta de negócio A arquiteta de negócio vai brifar a gente eh da Estratégia da companhia das coisas que ela fica mais próxima da direção e aí junto com os arquitetos de solução que são os arquitetos das unidades de negócio a gente vai puxando mais essa parte do do negócio né da companhia ali a gente vai moldando ali vamos dizer assim né É É uma uma algumas camadas né que a gente tem da ar de arquitetura Né desde arquitetura corporativa que tá ali junto com os executivos entendendo a estratégia etc fazendo a a a estratégia de tecnologia E derivando aí para pro porque fica mais perto do do software em si né a arquitetura de solução arquitetura de segurança integrações etc arquitetura de dados também é é super importante nesse nesse meio termo aqui né até chegar na arquitetura de Sá que é o mais baixo nível de execução dur time etc e é segurança tem uma visão transversal de tudo isso transversal isso mesmo é esse Eu acho que é o o que a gente fala que é o diferencial né todo mundo fala pô mas Aldo Você tá em tudo e não é e vamos dizer eu me coloco como último mesmo como último assim eu quero ser o último cara ali para balizar ali o as demandas e projeto aí você fala não Aldo né questão de ego alguma coisa não porque o cara de segurança realmente se for um etical Hack ele tem que ter né eu passei por infraestrutura passei por área defensiva e não sou um desenvolvedor mas me viro ali sei desenvolver algumas coisinhas ali entende desenvolvimento e e gosto de ser o último cara né de de balizar ali as decisões para ver se não tem nada ali porque se eu for um primeiro sempre acaba alguém direcionando para algum lado que pode ter um risco que as pessoas não conseguem enxergar que são dos outros domínios que eu conseguiria detectar e enxergar sim sim é na arquitetura de ti a gente passa muito por isso né e eu acho que é muito importante também nesse contexto de da da da da validação de solução e de processo etc o acompanhamento de tudo isso né porque principalmente em projeto de de novas soluções ou de novas capabil pro pro negócio é muito comum no meio do caminho na primeira dificuldade o desenvolvedor ou o próprio negócio Ah não tá Tá difícil assim vamos vamos fazer assim então E ali onde mora o risco aí o cara desvia pro pro risco no tanto do ponto de vista de segurança quanto do ponto de vista de estratégia de tecnologia o cara pensa numa você pensa numa solução que e e a equivalência é a mesma né quando a gente pensa em soluções de tecnologia para direcionar a estratégia da companhia você tá pensando em reuso você tá pensando o cara tem um outro projeto que vai vir daqui a se meses que é uma informação que você tem né E que o cara localmente no operacional nem sempre tem essa informação a você fala cara você vai expor essa ap aqui tá porque você já sabe que no projeto ali a se meses você vai usar isso que tá sendo feito aqui agora vai vai economizar dinheiro vai economizar tempo etc aí no meio do cam o cara fal cara mas por que que eu tenho que explorar isso aqui o cara não tem informação completa aí ele vai desvia do caminho e aí eh do ponto de vista de estratégia dificulta o reuso vou ter que gastar mais dinheiro lá na frente do ponto de vista de segurança desvia o cara para um risco que não tava mapeado lá no começo né então é importantíssimo esse acompanhamento né cara is e uma coisa que me ajudou muito foi fazer parte de e da equipe de Pain test Red Team por qu R team é pessoas processo e tecnologia o Pain test ele só vai explorar ali a tecnologia sim mas é o Red Team ele tem que entender do processo então eu vim de Red Team já com essa cabeça cara não tô avaliando só ferramenta tecnologia eu tô avaliando a pessoa é muito do meu tempo a engenharia social eu uso de engenharia social o uso de tento né é claro que a gente não é perfeito mas ISO a gente estuda um pouquinho de PNL e de vez em quando a gente tenta aplicar alguma coisa e tem esse senso sensitivo né na conversa do tato das pess pessoas eh e isso ajuda bastante né E você conhecer um pouquinho de processos também estudar porque às vezes a falha tá no processo À vezes a fal tá no processo então eu pego muito assim por exemplo falha de negócio e do desenvolvimento um cara fazendo um bypass de uma fraude e de uma regra de negócio que negócio definiu mas negócio não sabe que dá para fazer um bypass uma fraude uma fraude grande que deveria ser feita por exemplo lá no início de desenvolvimento né asas iniciais fazer uma modelagem de ameaças e pegar ali o GAP de segurança e e tratar a mitigação ali no começo aí o cara vai fazer no final quando acabou a hora do Budget do desenvolvedor e quando entregou aí o cara entrega com relatório com mil falhas mas aí deveria começar no começo né sim porque aí você vai ter retrabalho vai ter que fazer de novo Faz o fazer o Security by design né que a gente fala Security by design com Security Champions na squads você eleger ali pessoas pessoal confunde bastante né que acha que o pessoal quer Security Champion é o pessoal de segurança mas não e o pessoal de Security Champion São pessoas que não são de segurança Você pode até ter um Security Champion como um gerente de projeto como Security Champion Mas claro que se você tem um Dev ali que é Security Champion é mais fácil de você testar um uma API fazer um teste em cima do do Postman eh fazer uma modelagem de ameaças por exemplo eu tenho uma Security Champion dentro do departamento de inovação Então eu tenho muito projeto de Inteligência Artificial e cara ela é desenvolvedora então ela faz a modelagem de ameaças eu sou um cara só na empresa e aí ela economiza horas de eu ficar lá numa reunião fazendo A modelagem de ameaças ela vem me entrega fala Aldo essa aqui é a melhor versão da modelagem de ameaças que eu cheguei e aí eu só reviso eu passo uma duas horas com ela revisando ou com a equipe também e ela acaba absorvendo toda a parte de fluxograma do processo os casos de uso os Champions são uma espécie de Evangelista Evangelistas são como se fosse e por exemplo o ideal né o ideal é pegar um cara um Dev não o o líder Senior para não matar ali né o cara que é líder Senior pegar um cara que é um Juninho vamos dizer assim que gosta de segurança que é deve e que começa a fazer alguns testes ali como se fosse pequenos pin testes então o cara vai testar api os métodos o cara vai testar se a autenticação tá funcionando a validação do tempo de tokenização você tá num ler o ASP né aplicar que ali as boas práticas ele ele tem desafios ele tem ali e metas e você De repente faz uma premiação de faixa preta faixa marrom faixa azul ah de acordo com o que o cara vai dando de resultado isso vai dando de resultado tá daí claro que o faixa preta ele vai entregar um dojô ou uma revisão de código no sonar cube e um cara que é faixa um amarela um azul ele vai entregar uma coisinha mais básica uma modelagem de ameaças então você pode promover ali premiações ali um dia de folga dinheiro pros caras e aí é pegar um cara não deve por exemplo você pode pegar um gente gente de projeto outras pessoas que ajuda em segurança mas é 30% do 30 40 % do tempo dele e destinada a tarefa de segurança e o restante deixa ele como deve porque se eu meter o cara 100% do tempo ele fala ald eu não quero fazer segurança eu tô aqui para desenvolver o cara vai ficar cansado o cara vai e E aí ele só fica um Part Time e ele se motiva e como é o relacionamento com o gestor desse cara esse cara você tá roubando 30% do do da capacidade de trabalho do cara então aí eu tenho um segredo a gente coloca no scorecard do PLR do diretor e do gerente que ele tem aquela meta ali de segurança para corrigir as vulnerabilidades tá todo mundo remando para aquela estratégia entendi Se você não também tá tem um compromisso ali tamb o gerente de desenvolvimento do diretor de desenvolvimento porque eles vão querer entregar pro negócio e aparecer entregamos tal e eh uhum né entregamos o time to Market aí Perfeito nós somos os caras Mas eles T que entregar aquilo com o mínimo de segurança possível né E aí é do interesse dele que tem esse recurso trelado a você que resolve os problemas que no fundo é dele sim porque imagina o cara de segurança saindo que não entende nada desenvolvimento enchendo o saco daqui Ô cara corrija aqui e e Deixa eu entender isso cara e alguém que já tá dentro da Squad a ele tem esse livre acesso mas um corpo estranho ele atrapalha sim e e e por isso que também não pode ser um cara que é líder da equipe porque atrapalha o time o TTM o time do desenvolvimento um cara Juninho já começa a agregar muita coisa e começando a fazer modelagem começando a passar essa ideia de mitigação pros outros ele vai ter um Skill que ele vai ficar animado e vai falar [ __ ] Cara eu sou um cara que faz faz modelagem os outros deves talvez não sabem fazer modelagem Eu tenho um algo a mais eu tenho um um um um de segurança né E aí consegue ir espalhando essa cultura para toda a empresa então é ideal você atrelar o segredo atrelar essas metas para toda a organização que é o que a arquitetura quer fazer né que é é fazer todo mundo Remar pro mesmo lado colocar essas metas para gerente de diretores e estender para para o desenvolvimento para essas pessoas como objetivo de carreira também né e premiação também né e é legal essa gamificação do cara se envolver e tal de de de subindo de grade ali no no é bem bacana cara abre o por exemplo aquelas ferramentas de bug B sim abre e [ __ ] você quer ganhar dinheiro aí a na hora vaga aí vamos entrar aqui na ferramenta vamos achar uma cvs aí vamos começar vamos pegar um uma distribuição que tem falhas e Vamos explorar Vamos abrir o você usa o Son cube aí abre o Son cube V vamos começar a corrigir os códigos aqui né Vamos fazer um code review aqui vamos e corrigir aqui na hora aqui abre o veracode enfim abre o af vamos começar a entender os payloads né Abrir IPS começa a entender os ataques o que os caras estão tentando fazer já é um grande começo né para espalhar essa Cultura a hora que os caras eles conseguem fazer alguma coisa útil porque eu eu já vi por exemplo engajamento de de de um uma parte grande do time de desenvolvimento começar a fazer modelagem e é engraçado eles acabam falando muito mais por exemplo o tal software tá com tal falha e e eles acabam ajudando muito e teve um uma uma oportunidade que a gente fez um bootcamp eu veem um gringo né uma empresa multinacional da área de Finanças bem grande né que tem uma cultura já bem grande de segurança eles são auditoria verison que é uma das melhores auditorias do mundo e tinha um score muito grande então Os caras tinham realmente uma cultura muito forte de segurança esse cara veio deu 8 horas de treinamento de um bootcamp de modelagem de ameaças eu dei 8 horas cara os caras se engajaram de uma tal maneira que eles entenderam a ideia do da modelagem de ameaças que eles começaram falar todos os bug as unidades os problemas e tava Os diretores lá de desenvolvimento eu tive que parar com o o o botc falar porque tava os pessoal Global lá eu falei não menos galera menos calma porque todo mundo começou a se engajar e e os gringos adorando aquela cena [ __ ] era isso que a gente queria provocar e dois desses caras que não deve e que tavam como Security Champions hoje eles trabalham na maior empresa maior consultoria de segurança como cara de segurança fazendo Pest ou sendo arquiteto mas eram devis que eu tirei lá como Security ch botou naa segur e eles não conheciam segurança hora que a gente começou a falar faz A modelagem de ameaças e eu eu tenho que te falar que quem é o ator ali é o crime organizado é o estelionatário é o cara o racista e meu começar a mostrar para esses caras que a a realidade ali né Por exemplo pegar uma ferramenta de rasp de desenvolvimento seguro que você consegue pegar o treking ali do que tá acontecendo as explorações e começar a explicar o pelod PR os caras os caras falam pô isso aqui parece Mr Robert cara os Car adora ah então interessa mais essa parte de porque eles vem a segurança real ali e aí você vê o bril o brilho no nos olhos dos caras mas tem que ter energia para isso acontecer tem que ter o patrocínio tem que ter essa visão porque e desenvolvimento seguro a galera vende muita ferramenta de saste e tecnologia a ferramenta menos importante a parte mais importante é a cultura exato que é o mais difícil de atingir é o comportamento é o comportamento e tudo tem que ser pario eh por exemplo tem que separi pessoas capacitação não dá para não ter processos eh automatização tudo tem quear parelho se não tiver tudo isso e a ferramenta também para poder ajudar escalar as coisas né É o que eu sempre digo eu faço um paralelo muito de de vulnerabilidade com qualidade software se E aí é uma decisão meio conveniente para muitos gestores de Tecnologia de Vamos botar um sonar e o cara só vai fazer Deploy se sei lá Diminuir a quantidade de cod smells que ele tem lá Gate lá né é o cara põe um um Quality Gate no cara se você não tem uma cultura do time olhar aquilo e voltar e conseguir fazer um um um trabalho de tratar a qualidade aquilo ali só vira um ponto de ódio da Galera sim então se se eles não vi não não olharem para el tem tabal passar o sonar né burlar o sonar é exato Quantas vezes você já não viu em desenvolvimento os caras eh burlar cobertura de teste por exemplo s o pior a pior coisa a O que as equipes de segurança mais erram é enfiar Gate do dia pra noite no pessoal de desenvolvimento seguro isso tem que ser acompanhado né tem que ter várias acompanhamentos vamos lá pessoal vão aumentar um pouquinho a cobertura de código vocês acham que consegu vão acompanhar as métricas vocês estão conseguindo Vocês entenderam como corrig essa falha abre o cara de segurança o cara de appsec é o cara que tá fazendo desenvolvimento abre o sonar lá corrige com o cara não tem problema se você não souber vamos lá desenvolvedor me ajuda a corrigir isso aqui engaje o time uhum né game fica E aí os caras vão criando gosto e aos poucos você vai colocando os gates Mas não é da noite pro dia e cria consciência né E cria consciência porque senão vira polícia vira polícia e cara todas áre todas as áreas que são acessórias e são transversais arquitetura segurança qualidade se virar polícia é exatamente o que você falou a galera tenta burlar e aí você vai virar investigador e você não agrega então é muito ruim esse tipo de de comportamento né então no ponto que você disse é mudar a cultura Cultura a ferramenta é para ajudar uma empresa que já tem a cultura não adianta você botar a ferramenta não é Bala de Prata né não é Bala de Prata exatamente não adianta você colocar uma ferramenta para bloquear a a aplicação que não tem qualidade e não tem segurança se você não tem uma cultura de corrigir Gate demora se anos às vezes para você setar dependendo do nível de maturidade da equipe você tem que começar esse trabalho o gate é uma das últimas as coisas que você faz né que você trava Eu já vi muito projeto o cara travar do TR meses depois do projeto com uma ferramenta de sa cara e acabar com o projeto porque o Dev vai demonizar cara aquela feramenta tá atrapalhando tá dando fricção aqui eu não tô entregando mais os projetos porque ninguém sabe como corrige aqui o negócio precisa continuar e o negócio precisa continuar E aí o negócio se vira contra você porque você é o cara que tá atrapalhando o negócio isso é isso aí não é o cara que tá desenvolvendo errado é o cara que tá bloqueando você perde a credibilidade o que você tem que fazer é chegar como uma referência pros caras e falar assim vocês querem aprender vocês querem se tornar deves melhores desenvolver com segurança de desenvolver melhor do que ontem vocês vem comigo eu vou te eu vou mostrar o caminho para vocês quem quiser ir nesse caminho pode ir nesse caminho vamos e eh amplificar isso aqui vamos dar um suporte aí uma viagem um dia de folga uma promoção para quem conseguir chegar na faixa aqui primeiro cria né Essa uma cenoura né Isso dá uma cenoura pro cara pro cara mostrar ali os indicadores hora que você começar a ver as coisas porque os deves T condições ali não é outra coisa de outro mundo mas eles precisam de uma pessoa ali uma ppsc experiente que saiba fazer esse jogo né e promover esse tipo de coisa mas tem que ser um cara muito com soft Skills Total total né Total total total toal porque e isso é difíc não pode ter ego tem que ser um cara completamente desprendido e um cara que Estenda a mão e um cara que Estenda a mão porque senão e na pior sabe o que eu já fiz por exemplo tinha problema que eu sabia resolver meu amigo eu eu não emperravam o projeto eu falei tô dando pés porque eu sei do Risco Uhum Então às vezes tem risco ali que você sabe que não vai dar tempo de corrigir Mas você saber de segurança eu falava Cara eu tô junto com você vamos lá vamos publicar PR produção é um risco é um risco que eu controlado é é um risco que eu sei que existe eu vou est trabalhando para pesquisar a gente vai subir pra produção mas estamos junto eu tô com você tô assumindo seiso com você é muito parecido com o débito técnico cara tá errado isso aqui não talvez não vai funcionar também tá ciente do problema do do do do que pode acontecer vamos embora vamos dar as mãos vamos monitorar e o A modelagem de ameaças é muito legal porque assim eu consigo identificar os pontos ali onde eu vou ter que ter o monitoramento onde eu vou precisar que o soque fica olhando de madrugada até isso estampar se eu vou ter um web application F que vai fazer uma fita crepe Ali vai corrigir aquela vulnerabilidade temporariamente vou ficar dando uma olhada no noc Fire Então até pro deve abre o Web porque show fá só que o cara de segurança tem medo de fazer isso porque o cara fala [ __ ] daqui a pouco o cara tá manjando mais do que eu dessa ferramenta de segurança abre o wa abre o IPS abre o ids mostra PR os caras os ataque abre a DIP a Dark web mostra lá pros caras Os caras estão vendendo conta da tua empresa meu amigo porque hoje a identidade é é o perímetro né então se você tem a conta de alguém você entra lá na conta de alguém já vaza informação acabou sua empresa tá destruída reputacional mete Então abre mostra PR os caras não não não e eu eu eu eu abro o jogo pros caras eu falar é isso porque se o cara não sente o risco na pele na pele o cara não sabe o o que ele tá colocando em risco né cara isso o cara tem que sentir fal Meu irmão tá vendo aqui ó é é é é esse o nível de risco que a gente tá colocando então isso volta na questão de conscientização de Cultura Porque se o cara acha que aquilo não existe porque muitas empresas até pelo que você falou dos Silos etc o cara não sabe o que tá acontecendo lá no soque o cara não tá vendo aquele mon de p estranho chegando da da Índia batendo no hotel Fire e ficando o cara não sabe o que tá acontecendo Então ele faz ali a aplicação dele el expõe como como se aquele risco não existisse né então mostrar para esse cara falar bicho ó aqui ó ó o tanto de de de tentativa que a gente sim que a gente segura aqui mas não mostrar só enviando o relatório mas mostrar chama o cara no mesmo Vem aqui é bota o cara lá no meio do sóc explicar como funciona assim Aldo eu não sabia isso porque às vezes é o ego do cara de segurança el não quer abrir não quer que você entenda do negócio dele então você tem que ser despendido um cara que não não tem essa neuro de falar [ __ ] o cara vai aprender comigo vou est passando conhecimento pro cara de graça que eu aprendi durante anos tem que ser um um um cara muito cabeça né e focado nesse objetivo sof sk é o que você fal soft Skill até porque é uma coisa que não faz o menor sentido né se o cara quer aprender de segurança ele abre o YouTube Hoje ele vai ter uma palestra sobre soc sobre sobre modelagem de ameaça vai poder ver o nosso podcast aqui com o Rafael lack inclusive deixar o o Card aqui que a gente falou sobre isso e material tem disponível tem né então enfim conhecimento eu acho que conhecimento é que nem copo d'água velho você não nega para ninguém o cara tá interessado mostra pro cara ensina pro cara porque é assim que a gente se ajuda né e aprender que você por exempo tá com o copo cheio você precisa US usar seu copo para adquirir novos conhecimentos se desapegar das coisas né Exatamente exatamente e assim que a gente evolui como profissional né bom você que tá vendo esse podcast da hora tá vendo um monte de problema aqui que a gente tá colocando né e Quer uma ajuda aí na sua empresa faz o seguinte entra no site aqui da vmbs que a gente pode te aud ajudar vb. I nós somos uma empresa relacionada à arquitetura de soluções a modernizações de aplicações também atuamos na Font devops para ajudar vocês a serem extremamente ágeis então dá uma olhada no nosso site que vai est aqui embaixo vb. i e lá você vai poder ver um pouquinho da nossa história dos nossos profissionais e aproveitando se você for um profissional da área de tecnologia que tá a fim de trabalhar numa empresa legal um monte de colega gente boa e tecnologia te ponta manda o e-mail PR people care @v be.io já agora eu quero meu show cara partindo pr pra nossa Sprint final do episódio você contou a sua trajetória aqui de de ter começado na infra passou um perrengue monstruoso aí de de de maer etc para entrar na de segurança etc Eu imagino que tenha muitos casos que estão nos ouvindo aqui alguns desenvolvedores etc que se interessam por por esse assunto que que você diria para esse cara para onde esse cara começa para começar a a se envolver com com segurança obter mais esse tipo de conhecimento eh pesquisar mais a área de hacking pelo ponto de vista ético etc Como como que esse cara que tem esse viés consegue essas informações porque não é tão entrar no Google como ser Hacker não é assim né é a primeira coisa que eu recomendaria vocês devem fazer é fugir de qualquer coisa que fala seja hacker curso hacker da noite pro dia ali em se meses porque Cara isso não existe né Eh mas assim o o que é a grande referência mundial hoje de desenvolvimento seguro coisa séria e que tem maior volume hoje é AASP Uhum E a oasp tem mais mais de 200 projetos e um dos principais projetos da oasp é o asasp top 10 que são as falhas mais frequentes de desenvolvimento as que mais acontecem né que é o ASP elge então Eh entender o tem vários outros projetos n tem um projeto da wasps que ele mede o nível de maturidade da sua equipe de desenvolvimento né da tua empresa para saber em que maturidade você tá eh tem eh enfim tem vários projetos tem o projeto de api oasp api tem o projeto de oasp IOT tem o projeto da oasp de Inteligência Artificial as falhas os ataques que você consegue fazer Inteligência Artificial eh tem material lá de skell ja Cross script sk ainda acontece bastante tá zoando certo bastante eh Enfim então o ideal é é é você consegue ali ser membro da comunidade você paga X por mês você se engaja em alguns projetos tem algumas atividades você se envolve ali com os gringos né E tem uma comunidade do ASP São Paulo também e dos outros estados também tem recomendo e nesses nessas comunidades nesses encontros né normalmente são empresas eh basicamente seria isso né é consumir eh material da uasp eh ficar fora desses cursos de v hacker né não caia não caia nos cursos de de verão para ser hacker não funciona e também eu acho que é interessante se inscrever em programas de bug B por exemplo tem uma hck One tem um bug Crowd Esses são bons programas que você vai conseguir ali ver Quais as empresas que oferecem o programa de bug bount e não se preocupe em fazer o bug bount se preocupa ler as postagens para entender os reports das explorações que os hackers estão fazendo em cima dos sistemas ali já putta já vai girar insite para você fazer várias pox dentro do seu sistemas e ali tá sendo usado são empresas grande e as maiores do mundo né que estão nesses programas da hacker One B CR então você vê tecnologia que tá sendo usada agora no momento então uma fonte de conhecimento é uma fonte de conhecimento para você fazer poc né E aí tem um site também chamado cvdt que você consegue colocar o número do CV que é falha a vulnerabilidade você consegue ver se tem um Sporte público o site que tem uma poc Uhum Então pode explorar bastante também isso isso também ajuda bastante muito bom já é um bom começo cara pr pra gente fechar eu não consigo fugir dessa pergunta é uma pergunta que que naturalmente pelo nosso contexto de tecnologia hoje tá muito em evidência Que tipo de ameaça você como arquiteto de segurança consegue ver hoje com advento da Inteligência Artificial generativa tirando Claro o mais evidente que é o de data leaking da Galera colocando contrato direto no chat IPT colocando petição orçamento de empresa tirando Esso que é o mais Evidente né e o que que você vê aí que pode mudar no Panorama de de segurança da informação e de até na própria modelagem de ameaça conforme as empresas começarem a adotar ainda mais a inteligência artificial generativa é o o que a galera deve saber aí é não usar e aquilo que é público de chat GPT porque usando o que é público ali o o os o o pagamento é você né sãoos seus dados você vai ter seus dados compartilhados aquela velha frase né do se você não paga por um produto Talvez o produto seja você isso é isso mesmo perfeito o produto vai ser você e um GAP parece Tosco mas que as empresas cometem porque as empresas querem sair é o que toda empresa comete a empresa quer ir pra Inteligência Artificial que é Inovar o máximo mas ela não tem o mínimo que é governança ali ela não faz o mínimo que é um assessment dentro do sharepoint do onriver de um Fire server e deixa as permissões de leitura e aí você vai lá joga o nome de de um executivo tem permissão de leitura vai pegar dados sensíveis ali de um executivo de uma reunião uma senha alguma coisa então uma coisa tosca uma permissão de um Fire server por exemplo setado paraa leitura te permite você varrer toda a tua empresa e enumerar ali um executivo informações sensíveis da empresa uma coisa que deveria ser o o feijão com arroz né antes das empresas eh pensarem em Inteligência Artificial Elas têm que fazer esse assessment né de permissionamento dentro da origem de dados que a ia vai se conectar para não permitir essa enumeração né que o o básico um dos ataques que o hacker faz é justamente essa numeração quanto mais informação você dá do seu sistema mas o hacker se alimenta com relação a isso e você tá provendo mesmo a permissão de leitura você fala não o cara não consegue gravar mas tá permissão de leitura você entra lá e começa a fazer perguntas para Inteligência Artificial inteligência o calendário de um executivo ali tem um nome de uma reunião ali de um projeto que não foi lançado ainda então coisas básicas então é importante Se vocês estão mexendo com inteligência artificial tem que ter governança hoje na Inteligência Artificial e tem que ter o arroz com feijão então a gente às vezes tá pensando em um patamar de maturidade de Inovar mas tem que ter esses cuidados né sim até porque o que você colocou é é legal para ilustrar pra galera que você às vezes é ação que você tá fornecendo ela não tem Impacto imediato ela própria mas ela pode ser usado contexto né no outro contexto mas no outro contexto com engenheria social o cara soma A mais B que é isso que os caras fazem são coisas pequenas que para você não tem não tem relev cara github o que os devs colocam lá nos fóruns o stack overflow a gente varre tudo e a gente vai somando ali as informações de várias coisas ali que o Dev vai flotando ali dos projetos do github Chaves ali que noira tudo público cara tudo público e aí você faz o reconhecimento ali você sabe qual tecnologia tá utilizando e de repente é um um repositório com código público que tá vulnerável que tem vulneráveis Eh vulnerabilidades aí que são conhecidas aí explora já tem o Esport dentro do metasport público você não precisa pagar para desenvol você não precisa pagar para conseguir Sport e você não precisa nem ser um desenvolvedor de exploit ou às vezes você vai na forma da do da deep da dark web digita lá o nome da vulnerabilidade você já pega tudo pronto você só modifica e explora aquilo Acontece muito muito muito muito É acho que a gente ainda tem uma longa um longo caminho de comportamento das pessoas para conseguir reduzir de fato a exposição que a gente tem né Às vezes o cara não tem nem trabalho neldo O cara já recebe tudo pronto por por questões de governanças governança muito simples que a gente pode aplicar dentro das companhias e ter um uma redução de risco muito grande né Car muito grande cara muito bom muito obrigado pela pela tua participação Eu que agradeço se você chegou até aqui com o PPT não compila e você ainda não deixou o seu like a hora de deixar o like é agora mas hoje vou fazer um pedido adicional se você ainda não segue o Cyber cast do al você vai dar um Alt Tab aqui vai na outra aba e vai seguir também o Cyber cast do Aldo que são assuntos super interessantes aqui nosso parceiro aqui o podcast irmão que tenho certeza que vai agregar muito na sua vida profissional também Aldo obrigado pela tua presença cara satisfação hein particip foi um papo excelente acho que a gente conseguiu contribuir e se você acha que nós contribuímos de alguma forma pra sua evolução Profissional ou até pro seu entretenimento você pode ser membro do PPT no compila você pode ir lá no YouTube fazer uma contribuição Zinha módica pro nosso trabalho e ajudar aqui a gente manter essa estrutura e trazer cada vez mais conhecimento para vocês obrigado pela audiência de vocês espero vocês no próximo episódio valeu obrigado [Música] [Aplausos] [Música] [Aplausos] [Música]