Red Team vs Blue Team: A Batalha pela Segurança Digital | Inteligência Artificial e Cibersegurança

0:00e se você parar para pensar né o quanto custa um time de Redding e o quanto custa você ter um ataque em relação ao investimento que você testar suas aplicações para mim esses caras tinham que ser obrigatório tá todo mundo vestido de la casa de papel e você já fez alguma fez a lição de casa lição de casa Aí você coloca os caras para testar para falar com você não acorda de manhã de pijama e liga para o seu para um avaliador de moda falar vem cá me avaliar que eu tô bem galera vamos faz assim porque vai que um dia acontece dia a gente ter tantos usuários e tal por que que eu vou fazer desse jeito aqui mais rápido o dia que dá o problema todo mundo te ouve Então eu acho que o retinho ele tem até uma uma facilidade que o cara já provou que tá errado e geralmente ele segue um padrão ele nunca fechou no banco vai fechar agora lá no trampo dele não vai não muito bem muito bem meus amigos do PPT no Cupido estamos aqui para mais um episódio E hoje nós já fomos aqui já já era já estamos já foi já foi já tem gente na nossa rede Se você tá vendo esse vídeo é porque os caras liberaram pra gente a gente pagou o Ranger né Resgate já foi pago tá tudo certo porque estamos aqui com os caras que são os caras que manjam do hackeamento corporativo hackeamento bem né aqueles caras que sabem explorar as vulnerabilidades de segurança e vão falar com a gente aqui sobre o que é reting o que é hacker corporativo e como essa galera Trabalha para detectar as vulnerabilidades de uma determinada empresa de um determinado produto E não é só aspecto técnico não é só explode vocês vão entender aqui comigo para falar sobre isso eu tenho aqui na minha frente meu grande amigo parceiro de muito tempo Paulo Sanches que é o diretor de delivery e serviços da CeC certo Paulão Valeu Wellington Obrigado pelo convite Paulo Sanches eu tô na Sec empresa de Cyber segurança somos a maior empresa América Latina focada em segurança temos inúmeras formas de ajudar vocês aí galera obrigado vamos contribuir um pouquinho aqui com conteúdo trazer conhecimento perguntas dúvidas também aprender um pouquinho aqui com nossos amigos valeu show obrigado pela presença Paulão você é o cara né mano você é o cara que quando trabalhava junto contigo eu olhava meu e-mail não era isso aí tem algumas coisinhas aí mas tá tudo certo tudo na amizade [Risadas] Primeiramente um prazer aí tá tá junto com duas pessoas aqui de autoconhecimento aí da área de Tecnologia de segurança Paulo Sanches aqui Wellington e é um prazer meu nome é José Albano Sou coordenador do Ratinho na hotmart Company e estamos aí para comprometer aqui os estúdios e tudo mais aqui dá você é um cara que hackeia os cara dos cursos

3:21meus amigos muito obrigado pela presença de vocês e nesse Episódio aqui a gente vai falar sobre muita coisa de relevância aqui para o processo de desenvolvimento software Atualmente como a gente tem visto aí com o processo de segurança a gente vai falar sobre como esses times trabalham né como eles esses times interagem entre si o time que ataca o time que defende como esses caras eles conseguem ter uma interação ali com o time de segurança dentro do time de T.I como que a gente trata isso como uma ameaça externa ou não Qual o perfil desse cara como que a inteligência artificial pode atrapalhar ou pode ajudar nesse processo enfim se você quer entender como que é o retim se você quer trabalhar como não adianta só baixar o cálix né

4:22então se você quer ser um hacker corporativo se você quer entender como funciona esse tipo de Xbox no mercado ouve esse episódio que esses caras vão explicar tudo para você Valeu bora [Música] [Aplausos] começar com a pergunta já para a galera entender o significado do tambineio aqui o que é o que que faz o reting eu gosto de dizer que a melhor defesa é o ataque como é que você testa suas defesas sua competência se você não atacou elas então começa daí a brincadeira de testar o ambiente que você disse que está protegido então é uma galera que fica ali nessa linha escura ali tipo com doritos do lado com aquele aquele aquela máscara do V de Vingança né do Anônimos e fica Tentando invadir a própria empresa é isso já já foi um dia assim né hoje em dia a gente precisa retinho ele como como Paulo falou a gente faz simulações né de ataque das ameaças que a gente encontra aí a gente fala das APTS né que são asmeas pertencentes avançadas aí que são vários grupos né que tem motivações específicas né mas trabalham com técnicas táticas procedimentos ali é bem avançados né então E hoje em dia para gente né Cyber como um todo profissional de tecnologia Eu acredito que ele precisa se comunicar bem né então é esse é um grande desafio que a gente tem né normal que o profissional de tecnologia Às vezes ele é um pouco mais retraído e tal mas hoje em dia mesmo como você sendo um cara ali que ataca simula ameaças né a gente tem que ter essa um pouco mais de comunicação tem que ter um perfil mais mais comunicativo aquele nerd né acho que isso tem nerd até que faz podcast agora Olha só que coisa né quem diria né pô um dia que a gente já tava falando podcast aqui pois é e como que é a gestão disso cara porque eu sempre quis saber assim eu sempre soube que tinha esses dois times e tal mas o ponto de vista de gestão você tem que separar esses caras para eles não saberem as estratégias e tal Porque senão o cara sabe ali o que o cara tá defendendo sabe o técnico do da Defesa sabe do time que tá defendendo sabe a vulnerabilidade do do outro cara qual como que é na no dia a dia isso como que funciona porque no fundo é o gestor só né tem o siso ali que quer o Dono dos dois times como é que funciona essa parada sei que que já foi gestor de Tecnologia bom se tá certo né os times não se conhecem então o time de bluetim ele tem a missão de botou os dedinhos no muro Tira e derruba essa é a né o mantra depois você pergunta né o time estratégico que tá alinhado com o negócio ele precisa fazer um né ter um conhecimento Então não é mais aquele estereótipo de cara que come Doritos que tá lá não é um cara que tá entendendo do negócio que vai validar os caminhos de entrada e aí esse cara tem que entrar stellt e tentar ir navegando a missão dele é chegar numa base de dados ou comprometer um serviço e o outro time é derrubar se você tem um Blue time que tá mais calibrado ele vai dificultar ele vai atirar o cara cai o cara vai pôr ele tem que é um time estrategista com conhecimento que vai mudar as abordagens mudar o caminho [ __ ] ele me pegou aqui então vou por outro caminho né ele tem que ficar neutro né então não é isso aí É bem interessante porque e a gente tem hoje né ele faz alguns engajamentos Alguns exercícios né voltado mesmo nesse sentido para a gente testar né todo o nosso ambiente tudo mais mas a gente tem um papel né Tem um time aí nesse meio que é o purpoin Né que é a junção desses dois isso é interessante esse acho que quem tá ouvindo a gente não deve conhecer muito bem legal se vocês falaram que que é o purpletinho legal é vamos dizer assim né é os dois times se reunir ali e criar estratégias ali justamente para a gente testar a resposta né que a gente tem a qualquer tipo de ameaça incidente ou seja né então eu acho que é um engajamento dos dois times ali né o bluetim pensando muito mais na parte de inteligência de defesa e a gente ali como retinha a gente testando né simulando uma ameaça ali real dentro do nosso ambiente então quando a gente pega né algumas características específicas né de ameaças que fazem sentido para o nosso negócio e aí a gente trabalha junto né nesse nesse papel aí para a gente melhorar tanto a parte da defesa e a gente também é melhorar as formas e as técnicas de ataque né então cada vez mais a gente vai avançando para técnicas mais mas avançadas né para tentar explorar ali chegar naquele objetivo final como Paulo falou filtrar alguma informação pegar alguma credencial ou seja qualquer coisa do tipo isso envolve todos os tipos de ataque Né desde engenharia social até um porta-campo por exemplo cai nesse time de Caio aí você define cenários né Você pode definir se passando por um cliente se passar por um funcionário se passar por um cara da T.I E aí o teu time de bluetinho tem que ver se o que ele determina de regra de detecção tá funcionando né então tentando dar produzido aqui para a galera aqui não é do metê pega por exemplo câmera e cerca elétrica é esse Eu tô brotinho Mas será que a câmera tá posicionada ou ela tem algum ponto cego o Red Team vai explorar o ponto cego e aí você tem um intermediário ali que é o purpoin que vai fazer essa condição de também depois eles são apreendido ó a gente passou por aqui como é que é o calibre para não ter mais esse ponto cego então é um exercício divertido por isso que eu falo que a melhor defesa é o ataque Porque você só vai comprovar se você conseguiu realmente pegar os pontos cegos fazendo os ataques devidos E aí tem uma estratégia do que medir né então você pode simular por exemplo um cliente Tentando invadir seu e-commerce porque você vai ter isso né E aí por isso que precisa ter um cara que não é mais aquele cara de capusado que não fala com ninguém ele tem eu tô extremamente frustrado de não usar a máscara do V de Vingança cara para mim esses caras tinha que ser obrigatório tá todo mundo vestido de la casa de papel então esses caras agora então nós Squad esses caras têm que fazer parte tem que respirar o negócio senão ele não consegue ter técnicas estratégias de testar realmente né se aquele mesmo está com alguma vulnerabilidade que pode ser comprometida como você falou né Paulo esse cara tá inserido ali no contexto no desenvolvimento etc existe a figura de um cara que tá fora para procurar alguma coisa tipo como se fosse um cara que tá lá na Rússia Israel na Índia procurando com aquele porta camarão pega todos os Ipês ele falou vou explorar aqui porque quando você tá dentro do contexto você sabe arquitetura etc fica mais fácil você explorar algumas possíveis vulnerabilidades e você sabe inclusive os papéis as personas para poder fazer uma engenharia social etc você vai chegar mais rápido nessa vulnerabilidade mas faz sentido ter um cara fora assim que tipo não conhece de absolutamente nada e olha só o que eu achei aqui gente olha aqui ó tô com esse damps.sql que é de vocês por acaso rola isso também não rola faz todo sentido né Nós temos várias modalidades normalmente a gente chama essa de Black Box onde eu contrato alguém que não tem visão nenhuma do cenário fala cara você é o limite tá livre e esse cara vai começa com engenharia social Pesquisa no na Deep Dark web acha aplicativos ativos ainda conversões anteriores com vulnerabilidades e esse cara vai fazer descoberto e até sempre legal se possível todo ano você trocar o teu parceiro né de Black Box porque esse cara vem com ideias novas né senão o outro já tá viciado já sabe ser uma brecha aqui sempre vai fazer gol né então uma boa estratégia no time de Black Box ali que não tem informação nenhuma é trazer gente nova cada ciclo para fazer realmente essa esse exercício de descoberta tem tem uma outra questão bastante interessante também que hoje são os programas de buggyout que a gente tem né disponível aí no mercado que é justamente a gente colocar um escopo definido ali para a gente testar para que hackers é de pesquisadores testem o nosso ambiente ali e ele ganha dinheiro por achar vulnerabilidades ali no nesse ambiente né então isso aí também estimula né a gente trabalho eu sou também bug Hunter né também gosto né nessa parte mais técnica aí e já conseguir alguns baldes e tudo mais de testar outras algumas empresas cenários diferentes negócios diferentes então isso também ajuda né você inserir o seu negócio dentro de um programa de buggybout ajuda a aumentar né a sua maturidade de segurança porque vocês não vai estar mais enviesada ali com acostumado ali você tem um time interna ali de testes e tudo mais só que esses programas você dá uma visão mais real né de um cenário real de um atacante Então cara isso é bem bacana isso aí tocou Meu Sininho aqui de gestor de ti a primeira coisa que eu pensei é cara isso não vai ser um chamariz para tipo cara que não é tão ético fazer isso e eu não posso virar um alvo porque eu tenho isso é clássica tá de todo gestor de ti é a primeira dúvida é cara porque eu fico pensando Pô eu tenho que ter uma uma garantia ali que tipo beleza vem me testar aqui e se eu te pago se você achar alguma vulnerabilidade você tem que ter um tipo de um tipo de maturidade já para isso ou não Ou é um receio bobo na opinião de vocês não não é o receio bobo não acho que é super pertinente mas tem todo uma estratégia por trás né Acho que você pode explicar que em de análise e é super seguro e aí desperta também o interesse naqueles hackers que vê que você se preocupa com vulnerabilidade fala Essa empresa é uma empresa que tá investindo né E que traz programas então você passa até ter uma visão diferente não vou dizer que você não vai ser atacado mas olha essa aqui se preocupa com esse tipo de coisa mas o Zé pode detalhar aqui melhor todo o contexto né de proteção que tá por trás de um programa sim é geralmente né quando é uma empresa né um negócio decide ele tá por trás de um programa de buggybout A ideia é você colocar um escopo pré-definido que você coloca uma escova ali né então esses corpo em específico você já vamos dizer assim você já passou por uma pelo um ciclo desenvolvimento seguro Você já colocou fez Pinterest seja fez alguma fez a lição de casa lição de casa aí coloca os caras para testar para falar com você não acorda de manhã de pijama e liga para o seu para um avaliador de moda falar vem cá me avaliar que eu tô bem né exatamente uma roupinha bonitinha e aí você vai para avaliação né Então você já fez meio que a lição de casa sim né você tem programas que você determina quem são seus avaliadores Então não é qualquer pessoa então ele entra ele tem um compromisso ele tem uma ética sei lá então ele vai trazer o resultado para você dentro de um programa fechado não é aberto a qualquer um entende Você pode abrir mas aí fica maior né a pessoa descobrir e fazer então as grandes empresas Google Microsoft entre outras tem os programas E aí você tem que se elegível para participar do programa né E você tem lá o seu cadastro Então você vai com o compromisso de achar e entregar para o Google então é um programa fechado né tipo não é público que uma determinada empresa está procurando um tá num bugging por exemplo tem tem um ambiente meio controlado né porque senão [ __ ] sai desse cara tomar um dedoza amanhã né Se tiver público tem os dois modelos né tem um programa privado que a empresa decide né Eu quero deixar privado e eu quero escolher os pesquisadores que vão testar o meu ambiente Então você tem todo um score do pesquisador você sabe que ele já encontrou tantos baldes aqui tanto ali e isso ajuda bastante né então mas também você tem os programas públicos né então por exemplo o departamento de defesa dos Estados Unidos ele tem um programa aberto deles inclusive eles não eles não pagam financeiramente Mas eles deixam aberto para que hacker acessem lá testam o ambiente deles e isso te dá ranking na plataforma também você não recebe financeiramente mas isso tinha que você recebe convite de vaso para participar de programas e tudo mais então assim tem no Brasil o relacionamento até alguns polêmicas os anos atrás aí enfim com sentido ou não mas sobre a própria urna eletrônica é um programa público né que o software fica público para você poder testar etc teste público de segurança Inclusive eu já fui algumas palestras legal sobre sobre o funcionamento da urna etc né porque era um pouco mais jovem é honra também tem uma comunidade colaborativa né que vai testar e vai trazer insumos para que você avance nas proteções o outro lado também é assim se você faz um programa privado e não tem uma recompensa Atrativa você não atrai grandes pesquisadores então você não evolui naquela descoberta então é tudo um peso mas é tranquilizando gestores de tecnologia você pode fazer público privado determina você pega só um pedaço do teu código mas é uma boa prática e voltando naquele na questão né Será que pessoas éticas é pesquisadores éticos ali vão atacar aí a gente entra muito naquele assunto a partir do momento que você expõe por exemplo uma porta 22 uma SSH ali cara você começar a ver os log dá um minuto depois você já viu os cara tentando fazer bloodford fazer uma série de coisas ali então assim a exposição a gente o negócio que a gente que a gente tá inserido e tudo mais ele já tem já sofre ataque ali tendo um pesquisador ou não então assim todo momento tem e aquilo que é interessante né hoje em dia os ataques estão muito direcionados as ameaças estão muito mais direcionadas né então você tem Claro tem aquela as ameaças que não tem tanto conhecimento faz alguns testes básicos ali mas a gente tem ameaças ou Elas têm técnicas é coisa de louco mesmo então eu tô pensando aqui agora já com a cabeça de arquiteto que tô me colocando aqui na no papel do cara que tá expondo a empresa e o cara que tá atacando quando a gente fala de uma vulnerabilidade especificamente do software a gente tem umas camadas anteriores que eu acho que elas são mais vulneráveis a exploits que são padrão por versão do software livre por exemplo porque assim tô pensando no software web para o cara chegar e atacar um software web num DNS público por exemplo que é o meu Portal da empresa que tá lá também aplicação rodando ele vai ter que passar por moderna se ele vai passar por um proxy reverso ele vai ter um ignex no meio do caminho ele tem uma série de softwares ali de que não é o software da minha aplicação que tem vulnerabilidades padrão do próprio software livre etc que tem um monte de exploit aí na internet que o cara pode atacar e ganhar acesso dentro da rede ainda não tá no escopo do desenvolvimento da minha aplicação Pelo menos eu vejo assim né porque Claro minha aplicação ela tem que estar segura mas o ambiente onde ela roda também precisa estar seguro e com os pets de segurança com as atualizações são necessárias etc justamente para mitigar isso porque não existe software sempre seguro eles têm software que tem vulnerabilidade que ninguém sabe ainda né Acho que essa é a grande diferença então é esse cara aqui que faz um teste de de voltando no time interno do retim ele tem que ser um cara que ele tá muito ligado ali Tipo na infraestrutura que tá rodando e também no software está executando não adianta ele só ficar testando ali o skel injection e eu tá com enginext três anos ali com um monte de exploit né na aberto e o meu só beleza Tá bonitinho minha aplicação web tá tudo bonitinho tá redonda mas o cara roda um script do meu iG next e ganhar root do Servidor web por exemplo o que que adianta né então tem que ser um perfil de um cara que é muito transversal ele não pode ser só um cara que conhece desenvolvimento de uma linguagem ou outra mas tem que ser um cara que tem um conhecimento bem generalista né Eu acho que o perfil do hacker é meio assim né é justamente essa questão e é bem interessante você citar isso aí porque a gente tem tem as pessoas às vezes confunde um pouco o penteaster de um time de righting Open tester ele justamente faz isso ele vai ali procurar algumas vulnerabilidades específicas ele entrega um relatório e beleza Repete não ele vai em processos pessoas ele tenta explorar inclusive Pô você tem uma questão de atendimento ali você tem um processo de um time de atendimento aí você vai usar engenharia social você vai conversar com o pessoal E esse processo essa parte do negócio às vezes é extremamente vulnerável então assim isso e pessoas são muito suscetíveis né a cair por isso que eu fiz tem essa de anos décadas ele é algo dá muito certo ainda né então eu acredito muito nisso né não é só olhar uma vulnerabilidade web não é só olhar infraestruturas Tem que olhar tudo o que tá em volta então inclusive acessa o físico você vai ver como que se acessa em a empresa o negócio então assim a gente né não tinha direitinha a gente testa tudo tudo são pessoas são é uma catraca que tá ali pô você tem que pensar macro em tudo então é muito nesse sentido esse ponto do processo para mim foi o que virou que a chave do pente a questão do skill do profissional é o cara conhece a camada a ose inteira né aplicação transporte ele vai explorar todo esse cenário né Eu gosto de dar um exemplo que assim o pentete é focado em explorar a vulnerabilidade da catraca o redim invadiu o prédio não importa por onde e esse cara vai usar todas as técnica só não pode matar ninguém só não pode matar ninguém e aí existem artefatos né tem uma lojinha hacker que vende artefatos físicos e lógicos eu posso comprar várias ferramentas de discovery de vulnerabilidades e rodar e aí ele vai passar de né de todos os pontos posso comprar até fatos físicos que se passam por um pen drive eu posso desenvolver artefatos dentro de um mouse te dar de brinde ganhar acesso à sua máquina esse cara ele é desafiado a fazer esse tipo de coisa então por isso que você navega em processo pessoa tecnologia né você faz uma engenharia social então é muito desafiador e ao mesmo tempo brilhante ter profissionais com essa capacidade de explorar o elemento mais frágil que ele vai identificar vai pegar o anel mais frágil da corrente né porque ele tem que conhecer a corrente inteira né vai ter que olhar para o fluxo completo E aí faz tudo sentido ele conhecer o negócio né bom é que nem a gente fala né no redim a gente antes né a gente fazer nosso planejamento a gente tem um objetivo agora como que a gente vai chegar nesse objetivo a gente vai dar um jeito mas a gente vai chegar naquele objetivo Pelo menos tentar a gente vai mas o objetivo é aquele né a gente traz o objetivo e vai até o final como a gente vai fazer é aquilo que nem eu comentei só não pode matar pessoas né ou fazer algo antiético tal mas é bem muito nesse sentido quem manda o e-mail com o voucher falso do iFood também esses dias eu recebi um tão incrível cara tão incrível que eu falei uma coisa errada que né Acho que não precisa do meu usuário de rede para ganhar esse voucher eu acho eu acho exatamente mas o que deve ter de cara que caiu certeza porque tava muito incrível muito incrível é sempre cai né dentro nas campanhas de conscientização que a gente faz tudo mais a gente a gente tem um planejamento ali tudo mais e essa questão do Fishing né quando você tem o Fishing que ele é muito genérico ali por exemplo só dando um exemplo do Fish ele é muito genérico mas a gente tem uns perfis que ele é muito mais direcionado que ele tá ali É voltado para algo do dia a dia que você utiliza alguma ferramenta do seu dia a dia o atacante às vezes é ou a empresa conhece já tem os seus dados então ele coloca ali Wellington tudo bem como vai às vezes coloca seu CPF então Às vezes o direcionamento né Depende do que que você quer acessar o que que o qual que é o objetivo que você quer alcançar nesse nessa campanha difícil ou que o atacante que alcançar Então os ataques estão muito mais direcionados principalmente falando em Fishing né então é muito nesse sentido é por isso que insegurança em camadas né difícil você falar que você não vai ser alvo de um Fish principalmente numa comunidade de companhia que muitos reflete a sociedade você até o percentual de pessoas boas um pequeno percentual de pessoas inocentes e um percentual de pessoas mas essas inocentes vão cair Possivelmente não ficha Então quando você segmento em camadas ele vai entrar naquela máquina mas ele não vai conseguir se propagar lateralmente e se você tem um acesso mínimo que era muito das nossas discussões né ele não consegue fazer muita coisa agora você pega um administrador continuar né todas as Tem banco local para ficar fazendo testes e deploides então não é que a segurança é chata com o time de Deploy ou o time de desenvolvimento enfim é porque tem alguns critérios de proteção né de segmentação Então acho que o ponto principal é esse né Paulo quando a gente fala sobre Essa gestão de acessos sobre as pessoas terem controle sobre os processos que ela tem não É sobre o controle que eu vou dar para o Paulo na pessoa dele na função dele mas o que alguém no lugar dele poderia fazer de forma mal intencionada e Geralmente as pessoas pensam tipo mas por que que eu não posso fazer isso não cara não é você é tipo é alguém no seu lugar que alguém no seu lugar poderia fazer não é isso é exato ponto né porque você não consegue ter a certeza que é aquela pessoa que está fazendo assim talvez uma outra pessoa é muito do cofre de senha né o desenvolvedor fala assim não protege a senha não né não é protege de você você tem que ter acesso a proteger de quem não deveria ter acesso Esse é o ponto né de como é que você faz essa essa distribuição hoje em dia tá muito mais fácil a conscientização dos deveres né acho que a comunidade entendeu as fragilidades mas ainda assim você pega times resistentes que não consegue entender e quando você demonstra um ataque hacker muda paradigma o cara fala [ __ ] agora entendi do que você tá falando da vulnerabilidade até onde o cara consegue chegar né aí as questões né de ataques em cima de credenciais a gente encontra hoje em dia é normal encontrar repositórios aí com senha chumbada com token com uma série de pessoal você dá um surf exatamente então assim e às vezes aquela credencial é extremamente crítica para o negócio né pode ter pode escalar o risco enorme que está sendo exposto ali então a segurança e principalmente os times ali que você tem de apps ali eles estão observando essas coisas né então a gente tá olhando essa essa questão o tempo todo porque realmente é um risco altíssimo né Essa questão aí então e como é que a gente olhando agora para o cara que é um gestor de Tecnologia ele tá ouvindo esse papo e ele tá falando caramba eu tô aqui fazendo as minhas tem ali um cara de segurança e tal que geralmente é isso né segurança tem um dois caras ali da empresa média e Pô não tem ninguém testando e etc como que a gente monta esse fluxo como que monta uma operação como essa foi um cara que quer dar uma escala para isso muita gente couve a gente é se ou se cite ou de Startup que ainda não tem um tamanho muito grande né Tá desenvolvendo tá dando escala esse cara que tá ouvindo a gente como que ele começa a montar essa operação ele ele começa a fortalecendo bluetinha ali começa olhando para as boas práticas tentando fortalecer o que ele tá fazendo ele já pode botar um diabinho ali na ponta tentando explorar isso como que como que monta uma operação como essa eu acho uma operação difícil coordenar né mas como como que na visão de vocês isso pode ser gerido falando mais do ponto de vista de gestão Olha eu eu particularmente eu investiria sempre na parte de do início do desenvolvimento Então acho que isso aí é extremamente importante porque o gasto é muito menor quando você descobre uma vulnerabilidade no início ali na fase de concepção do código na hora que você tá pensando em desenvolver algo porque é complicado você já tem um Deploy Tá em produção aí você vai fazer um pente teste como você vai ter que corrigir você vai ter que fazer uma série de coisas então eu vejo Hoje em dia a segurança muito que nem o pessoal fala né shift left que é muito mais para esquerda ali e eu começaria dessa forma né Eu acho que faz muito mais sentido o Ratinho os outros eu acho que é extremamente importante e tem que fazer parte de uma estratégia de Cyber Security como um todo Mas dependendo do tipo do negócio que você tem por exemplo no meu caso que eu trabalho um pouco muito desenvolvedores e tudo mais eu pensaria muito mais dessa forma então se eu tô numa empresa de tecnologia uma empresa que tem desenvolvedores eu colocar muita segurança nesse sentido Agora você tem negócios de todo tipo né e às vezes não às vezes no momento ali não faz sentido você pensar é enfocar na parte de segurança no desenvolvimento ali então manda aí é assim ó anos a gente discute sobre segurança né e todo mundo falar não eu tenho antivírus então toda todo perímetro infraestrutura está super seguro né É Fato né a gente evoluiu nessa maturidade mas poucos pensa no desenvolvimento na aplicação né nos conectores Então quando você pega empresas e fala assim vai ser Testa o seu produto né você testa sua aplicação não tem um choque eu tenho antivírus ok né Mas se a sua aplicação tem Cross código cravado né se você consome se você tem uma sessão de autenticação autenticação e sessão e você não controla o hacker facilmente coloca um programinha hack lá um por trás e consegue fazer a escalação e enumeração E por aí vai né Você faz uma chamada de banco mal configurada cara não tô na camada de infra percebeu eu tenho uma aplicação que tem acesso ao Midway com senha cravada com senha padrão comida com poder administrativo porque foi configurado no default eu faço o estrago sem atacar a camada de infraestrutura então é esse mindset que a gente precisa mudar e é através do Red Team que você testa suas defesas suas capacidades né Se você realmente está olhando para o contexto maior né eu fico bastante preocupado com a camada de api né api veio para revolucionar e solucionar Tá bom mas você entrega a tua pi e reaproveita a Topic basicamente dá para o teu banco inteiro para todas as chamadas isso mal interpretado é tudo que a gente precisa para fazer uma uma ação bem feita é igual o pessoal sempre olha né Essa questão de aplicação tal vamos pensar na questão de Frontier a galera fala não não tem problema nenhum mas e os frame ali que a gente coloca e consome de terceiros os problemas de que a gente tem de ataques também de uma série de coisas aí cara a gente consome muita biblioteca muita coisa e se a gente colocar um código malicioso ali para a gente capturar informações por exemplo de um check-out o tanto de por exemplo cartões de crédito que a gente pode pegar ali com um quilo ali então é muito sentido a galera às vezes acaba não pensando não vem nisso aí põe bibliotecas às vezes usa 300 versões a gente tem um episódio vou deixar o Card aqui em cima com dos nossos parceiros aqui do pptm que a Clever o episódio que o baianas Ele conta para gente que o time que desenvolvendo da Kleber para fazer o Wallet não usa nenhuma é tudo feito um código próprio tudo tudo meia na unha é na unha porque não dá para confiar porque você tá falando de bloco de quem são operações que são irreversíveis né E pode cara pode capturar ali um playlist que você usa numa pi e já era então Os caras fazem tudo do zero Cara isso é muito louco Claro não dá para toda empresa fazer isso e depois a gente pode fazer até um outro Episódio para saber como que o cara reduz esse tipo de risco né Tem Como monitorar os riscos de biblioteca pegar a biblioteca que tem versões com vulnerabilidade etc escanear o código e saber as dependências enfim tem uma série de técnicas que a gente pode fazer isso mas no caso deles como é muito crítico se você tem um problema que ainda não foi detectado por esse por esse ecossistema Você pode ter um vazamento absurdo pode significar milhões né então é esse ecossistema ele é muito louco né se você parar para pensar no ponto de vista de desenvolvimento de software que realmente você injeta um monte de código que você não sabe o que tem dentro da sua aplicação mas fala [ __ ] realmente confie nessa biblioteca e eu não sei o que tem lá o quanto de reaproveitamento de código tem que o desenvolvedor Você não sabe o que vem naquele código e agora chat de PT Eu já peguei códigos né que a gente de bugou e tinha lá em comentário Jesus mandou fazer isso dentro do código E aí a ferramenta pegou a largura desenvolveu depois eu não sabia explicar De onde veio porque copiou em algum texto de algum lugar entendeu E aí você emputa isso dentro da tua aplicação e depois para rodar então tem E aí se você parar para pensar né o quanto custa um time de Redding e o quanto custa você ter um ataque ou uma exploração de consumo de dados de uma manipulação de dados em relação ao investimento que você testar suas aplicações e cada vez mais a gente tem agilidade em depósito em micro serviços em códigos quanto mais isso você tem E aí você tem uma curva né que ela não você tem uma balança que não é equilibrada né você tem muito mais leprosos do que você tem testes Será que não faria sentido já ter uma esteira né plugado alguma ferramenta para matar pelo menos uma atual tá em 70% e depois você ter testes e ainda assim contratar um time especialistas né e é interessante eu vou pensar como agora aqui Você acha o github do desenvolvedor geralmente eles pegam realmente que nem o Paulo falou pega o código ali copia e aí você vai analisar como o Haiti você vai entender um padrão comportamento você vai entender como Às vezes o cara acorda e às vezes você sabe que ele deixa algumas vulnerabilidades ali ele não sanitiva então a gente Analisa nesse nível comportamento do estilo do Dev cara então é isso aí é extremamente Ah o cara não fecha a conexão [Risadas] ele não vai cobrar do zero né

39:57[Risadas] cara isso é muito louco você pega tipo o código anterior do cara para ver tipo você acaba reconhecendo um padrão você fala assim o cara não vai cobrar do zero vai falar assim ah eu vou fazer isso aqui ele vai reaproveitar o que ele já fez em outras experiências outros códigos que ele fez e geralmente ele segue um padrão ele nunca fechou agora vai fechar agora lá na trapo dele talvez eu ficou o boleiro da antiga faziam mas os cara agora não faz não faz mais Caramba isso é muito louco né Tipo você e isso é bem estilo do que a gente falou né do Ratinho é entender padrões que não são estritamente técnicos né que não deixa de ser uma engenharia social né sim você entendeu o estilo de código do cara e explorar um outro código dele que você não conhece mas fala pode ser que é padrão padrão Por que que ele vai mudar ele mudaria né É muito difícil né o cara ter perdeu alguns costumes é igual dirigir né se o cara dirige antes dele tirar carta ele já vai ter uma série de mania ali e às vezes ele vai ser reprovado porque ele tem já algumas Manias é o cara que vai fazer a baliza e mete uma zona atrás do banco ali né e por isso que eu coloco muito né a segurança essa questão comportamental né que a gente tem hoje em dia principalmente falando em desenvolvimento aqui focando em desenvolvimento isso é bastante interessante porque a gente foca e olha também esse lado né quando a gente faz a gente tem a fase de reconhecimento do ambiente então a gente vamos ver quem que elas deves desse produto quem que são os caras aqui aí vamos dar uma olhadinha aí você pega LinkedIn sabe lá você já tem o nome dos 10 aí você tem lá o cara tem um repositório dele já lá com todo o código que ele fez então você vai fazendo uma varredura e você vai encontrando uma série de coisas interessantes que no meio do nosso ataque ali dentro do engajamento que a gente está realizando ali é extremamente interessante que em algum momento a gente vai falar assim pô isso aqui pode ser interessante pra gente usar agora aqui nesse momento específico quero falar com você agora que ainda não conhece a Kleber kleber é uma empresa que já tem mais de 3 milhões de usuários em 30 países com 30 idiomas diferentes que tem trazido Soluções em blockchain criptomoedas e ativos digitais o objetivo da é te dar liberdade financeira para operar nesse mercado de cripto então se você acredita nisso se você acredita nessa Liberdade você já Pensa como a Kleber vai conhecer os caras é clever.io estão contratando também pessoal para trabalhar com cripto com blockchain então se você tem interesse se você tem com respeito nessa área procura Kleber se você gosta de criptomoedas se você opera no mercado você precisa conhecer a Kleber precisa conhecer as soluções da Cleber então o endereço tá aqui embaixo no vídeo para quem não tá no YouTube é cléver.io Vai lá vai conhecer que realmente é o mercado sensacional [Música] E como que é esse relacionamento com o time de desenvolvimento porque eu como sou da área de arquitetura sou gestor de arquitetura até hoje eu sei que segurança arquitetura são duas áreas satélites que precisa ter muita inteligência emocional e etc para poder se envolver com time de desenvolvimento e ter a persuasão justamente para poder tratar das boas práticas né no caso da segurança sobre riscos etc por causa da arquitetura sobre também esses fatores mas eu utilização a escala qualidade etc como um relacionamento desse cara de um time de desenvolvimento você chega numa segunda-feira de manhã com pen drive pluga no computador e falar olha só galera esse ponto Square Que bonito que eu consegui aquele final de semana Alguém conhece esses dados como que é como que é esse dia a dia primeiro você olha um tanto de coisa boa que ele já fez tanta coisa não é possível vulnerabilidade Olha que Terra bonita que você fez isso aqui tudo aqui isso aqui mas ó tem isso aqui isso aqui ó tem um risco grande assim assado então a gente vai e tenta né chegar num num ponto ali que a gente demonstra E o porquê eh tem que ser corrigido nosso Impacto que tem aquela vulnerabilidade e tudo mais então é um trabalho constante e tem que ser feito né tem que a gente tem que conversar mas não é fácil hein Não você é trabalhar e você conseguir fazer você comprar um time desenvolvendo as pessoas deves ali é um pouco complicado então você tem que ter muito apoio né também da alta gestão tem uma série de coisas aí que o negócio tem que entender aquilo como algo crítico né então é lidava com os 400 deve né você deve conhecer bem acho que nunca foi apontar o dedo né Sempre foi conquista e aí é trazer o cara para perto e mostrar junto né e construir essa jornada junto mostrar o quanto pode ser benéfico para companhia para ele e o porquê né porque se o cara não entende porque ele tá fazendo aquilo você não compra o cara né ele precisa estar junto com você entender falar agora entendi porque que eu tenho que não posso ter senha gravado em código agora entendi você me mostrou porque isso expõe o meu código a vulnerabilidade enfim mas é uma jornada Tá então não é no primeiro dia nos primeiros meses você vai conquistando esse espaço e aí você vai conquistando e trazendo gente para o seu time esses caras não vão trabalhar para você mas vamos começar a falar bem de você né isso leva um bom tempo mas depois quando o cara entende que aquilo é legal ele começa a vender para você ele fala para o colega do lado não Carol Isso aqui faz diferente vai dar esse tipo de problema né Eu acho que nesse ponto o time de ruten ele tem mais facilidade do que o bluetim e tô colocando isso dentro do parâmetro da arquitetura né então fazendo uma uma arquitetura reversa quando você colocou um serviço no ar parou porque deu 200 usuários E estourou o serviço não teve disponibilidade e tal aí você chega como é que tá afogar ela parou por causa disso disso tem que usar o squeirem aqui isso aqui tem que estar desacoplado tem que ter conexão no banco né então fala galera agora entendi beleza aí o cara entende porque já aconteceu a desgraça entendeu já deu a merda né então aqui certeza que eu economizo processamento e tal vai dar mais escala separa os domínios e tal todo mundo entende né então o cara do Ratinho ele já já mostrou o problema acontecendo agora o cara coitado do cara do bluetootim é aquele cara falou galera não faz assim porque vai dar vai dar bosta e o cara fala não precisa nunca vai acontecer isso nunca você acha que alguém vai chegar a fazer isso aqui entendeu então acho que o cara do plutinho ele tem mais trabalho nesse sentido de conscientizar a galera né e arquitetura faz muito isso ali no dia a dia né tipo galera faz assim porque vai que um dia acontece dia a gente ter tantos usuários e tal por que que eu vou fazer desse jeito mais rápido o dia que dá o problema todo mundo te ouve Então eu acho que o retinho ele tem até uma uma facilidade que o cara já provou que tá errado né ele consegue mostrar gente tá aqui ó eu tô com a tua senha do banco no meu e-mail é é muito isso né o bluetin sofre é o cara mais odiado né porque o cara que põe restrição é o cara que prevê algo que pode acontecer o outro não o outro mostra já ó eu consigo fazer então ele tem mais credibilidade vamos dizer ele mostra na prática ele mostra na prática esse materializa o problema né então fica muito mais fácil de você defender de você falar e também aquela questão né o time de righting as pessoas que estão ali no Haiti eles têm um mindset Claro segurança

48:21ele entende da ameaça ele entende as possibilidades ele consegue eu acredito que ter essa mente um pouco mais do atacante ali então acho que ele consegue demonstrar falar com mais propriedade eu digo assim aquele risco aquela ameaça aquele problema que se tem ali no código não é infraestrutura e eu acho mais legal do desse tipo de abordagem que abriu minha cabeça aqui que eu acho que é muito louca tipo esse cara do Ratinho ele pode cobrar o pior e não desenvolvedor só cara você tá essa informação sabe pedindo aqui ela não faz sentido pedir aqui e pode gerar um problema que pode ser um problema de fluxo de negócio inseguro ele pode apontar um problema de produto e não para de código né entra um pouco na modelagem de ameaça né esse cara consegue identificar uma ameaça e orientar a Squad a fazer diferente É isso mesmo A modelagem de ameaça é essa questão justamente de você estar ali no começo do desenvolvimento a hora que os caras tiverem pensando ali você entra com a modelar de ameaça e fala assim ó isso aqui pode ter problema só que é um isso aqui é isso é aquilo então é justamente que o Paulo falou que entra no modelo que a gente fala sempre aqui na no PPT né sobre transformação digital etcide exato vou levantar a bola para você explicar o que que é o Security Pro cara não tem você falou um exemplo né Depois a gente depois o cara já fez e depois já fez o código e tal aí a gente é o chato para falar cara que tá errado eu acho cara é muito louco como a área de segurança de arquitetura muito parecido porque é a mesma coisa tipo cara [ __ ] mas tá errado não pode ser assim e tal depois o cara fez né para galera entender como é ser segurança não é só sobre código né então quando você tá ali no design finking de produto é bom ter um cara de segurança lá também né esse cara vai fazer provocações né Ele tá muito antes da tecnologia do código ele nem sabe o que vai ser codado ainda ou que vai ser desenhado com arquitetura ele tá lá com papel de provocar Então você está concedendo sei lá algum aplicativo para médico por exemplo ele vai fazer a pergunta Tá o médico normalmente não gosta de burocracia vai delegar para secretária ela pode acessar a cidade e aí a hora de negócio fala não tá bom você vai querer então colocar uma biometria para o médico sim mas a experiência vai ser ruim [ __ ] não pensamos nisso o deve já tá escutando o cara de arquitetura já tá escutando como é que a gente endereça esse problema trazendo segurança e design design fink e uma boa experiência para essa jornada Então esse cara tá muito mais não provocação quando você dá o segundo passo para desenhar arquitetura [ __ ] já tem aqueles pré-requisitos pensados sobre uma modelagem e depois você corda aí tem todo Red time o desenvolvimento seguro plataformas de avaliação de código e depois você retesta e aí você vê toda a jornada então é muito mais fácil barato quando você começa lá do início fazendo as provocações certas e aí só um cara de segurança consegue olhar pela pela ameaça E aí esse cara tem que ser um cara de negócio também né ele tem que respirar do negócio senão ela não vai conseguir identificar oportunidade de melhorias nesse negócio é igual o Paulo falou acho que é muito isso aí a gente vai criar um formulário de login e senha [ __ ] é um é algo crítico a gente vai colocar fator de autenticação aqui a gente tá ali de segurança para provocar os cara fala assim tem que colocar pô tem que ter uma camada mais aqui de segurança pô não dá isso aqui o cara vai ter acesso a isso a isso aqui tem pô isso aqui é extremamente crítico Então a gente vai para negociação traz os requisitos que nem o Paulo falou então eu acho que é muito nesse sentido a gente tem que pensar no problema que se pode ter depois daquilo ficar pronto na produção quem vai acontecer e a gente não colocar isso né antes isso é extremamente importante essa discussão antes né na parte do desenvolvimento na parte do nem no desenvolvimento né É na concepção do produto daquilo que está sendo desenvolvido olha as ameaças por exemplo de onboard São inúmeras Que tipo de onboard você quer fazer para qual produto você vai utilizar você quer fazer um reconhecimento facial você tem e-mails temporadas que você cria né você vai ter fraude Então esse cara já dá uma envezada também de perguntas para fraude bom nós vamos sofrer fraude nesse nesse caminho aqui se a gente não pensar em fazer uma board mais seguro mas adequado eu ter uma base relacionada enfim e eu bordo é um risco clássico de negócio né Você pode ter um software super seguro que sofre uma fraude o processo é falha porque o processo é ruim é você não vai explorar o software Mas você vai explorar a falha de processo de processo de negócio né cara minha cabeça explodiu aqui agora tanto é né que a gente tem dentro do da Explosão é grande é igual a gente tem né a gente tem as ferramentas de que faz um code review automatizado ali que é o site né vulnerabilidade de lógica de negócio ela não vai identificar identificar o injection identificar algumas coisas nesse sentido agora fala de negócio né de lógica de negócio é muito mais difícil você não vai ser identificado sem ir no código ali a ferramenta que tem ali analisando o código ela não vai identificar isso por isso a importância né é que nem eu falo em teste foi num tempo muito bom Foi muito legal mas eu acho que vai ter um fim ali também porque a gente tá tudo caminhando para que a segurança esteja cada vez mais a nível de código as coisas estão indo caminhando muito nesse sentido eu acredito que o pente alguma falando de vulnerabilidades técnicas ele vai ficar muito mais focado e algumas vulneráveis por exemplo de lógica de negócio que é muito mais interessante você foca né você não tem algo mais assim ah o que que eu vou testar aqui não você já tem algumas vulnerabilidades específicas que você vai testar Nesse contexto E isso está relacionado à provocação cara porque pensa só né você se você não provocar o time de negócio Ah eu posso ter muito para os acessos quantos acessos quanto é que o negócio entende que é uma realidade não é uma normalidade quem faz essa pergunta em tempo de construção ninguém e aí você tem um cara lá que tá acessando né sei lá tantas vezes isso pode combate com mil seções abertas minerando dado à vontade é um erro de código não é um problema de tecnologia não é porque não foi um requisito de negócio que [ __ ] não tem mil acesso simultâneos E aí se você não fizesse provocações no momento lá do v0 você vai corrigir depois porque você fala alteram um monte de fraude aqui não sei nem onde é E aí você faz o reverso mas é muito mais caro a gente com você que tá vendo esse podcast da hora tá vendo um monte de problema aqui que a gente está colocando né e Quer uma ajuda aí na sua empresa faz o seguinte entra no site aqui da Game Bear que a gente pode te ajudar vem-me berço nós somos uma empresa relacionada à arquitetura de soluções a modernizações de aplicações também atuamos na frente devops para ajudar vocês a serem extremamente ágeis então dá uma olhada no nosso site que vai estar aqui embaixo.io e lá você vai poder ver um pouquinho da nossa história do nosso profissionais e aproveitando se você for um profissional da área de tecnologia e tá afim de trabalhar numa empresa legal monte de colega gente boa e tecnologia de ponta manda um e-mail para pipocar@memberse.io [Música]

56:36eu tenho que fazer essa pergunta sempre para praticamente todas as tecnologias a partir de agora porque na minha opinião a gente está no ponto de inflexão no mundo da tecnologia como é que fica essa questão do dos ataques e da proteção de perímetro ou não né fala sempre sobre camadas etc mas com advento dessas inteligências artificiais hoje é dia 6 de Abril momento dessa gravação e hoje tem uma notícia que o pessoal da Samsung vazou código específico e restrito da Samsung dentro do chat PT pedindo correção e etc na opinião de vocês como retim e como gestores de tecnologia como que a gente se prepara para o advento dessas novas tecnologias Que cara é na minha opinião a gente vai ter um mundo antes das redes neurais como nós temos hoje e antes como que será o mundo de segurança de tecnologia a partir de agora bom essa pergunta é para o glutinho tá de defesa Mas falando como Red como Red o chat PT para ele não pode ajudar essa é a grande questão os ataques serão automatizados serão com inteligências já são tá hoje você vê muitas muitos ataques que acabam invadindo empresas e não tem evolução porque ele não sabe o que ele invadiu o cara tá rodando né ele cai no servidor não sabe o que é não sabe ele ele vai lá e dá uma bloqueia aquele servidor né mas ele não pede Resgate Ele não avança porque ele nem sabe onde ele tá mas isso vai mudar né Isso tá avançando Então os ataques eles estão muito mais automatizados e se você não tiver uma defesa também a ponto de conseguir identificar então assim não vamos entrar nesse mérito mas o sol que é 1.0 vai morrer esquece detectar eu vou detectar e não vou ter uma ação inteligente avançada E aí você tem tecnologias hoje já né o IDR é uma tecnologia fantástica que consegue detectar comportamento e não é mais vacina como antivírus então ele vê comportamentos de máquina de processo de coisa que acontecem se tem comportamento dentro de rede que acontece mas eu vou fazer uma pergunta né que para apimentar a nossa a gente tá mudando para plataformas a service softwares e como é que fica as nuvens Como tá a proteção a gente vai abstrair dessas camadas Então a gente vai entrar num patamar diferente onde os ataques serão explorações maiores de processo vão mudar essas coisas né porque naturalmente a gente tem muitas empresas ainda no modelo tradicional mas a gente tá tudo migrando E aí se você não tiver o teu Red teen ou o teu bluetootim com inteligência artificial machine learning tudo mais que hoje já se pode ter você não vai conseguir combater porque através de humanos esquece você não vai conseguir fazer isso né e a interligação né tudo se falando ao mesmo tempo internet aí né Com 5g tudo conectado tudo se falando ioti carros conectados você não pode estar no modelo tradicional então a gente ainda vai passar por uma grande evolução é a transformação digital trouxe muito disso né mas ainda assim a gente se transformou Mas a gente não evoluiu a transformação ocorreu muito de o meu processo era assim eu digitalizei e isso não traz segurança nem escalabilidade eu acho que a gente vai ter um grande bom pela frente somado a uma falta de capacitação de conhecimento porque profissionais de segurança não se forma do dia para noite como a gente comentou lá o cara conhece a cama dela e conhece mais uma porrada de coisa como é que você forma esse carinho Um ano né você forma uma cara em 5 6 10 15 anos para ter uma bagagem como Deus é né um cara que olha o comportamento como deve desenvolve você acha que esse cara se forma e como é que vocês fala isso é ou o mal e hoje em dia ele tá muito mais inteligente né então o trabalho que a gente faz por exemplo num righting que a gente faz fazendo um pente teste por exemplo fazendo escalação de Privilégio se movimentando lateralmente e tudo mais o mar já Olha tudo isso aí ele identifica por exemplo que Dr que é ele já tem técnicas de bypass no edr então assim é tá muito avançado para galera que tá ouvindo poder Esse contextualizar

61:43que roda nas estações de servidores que não trabalha no comportamento de antivírus que usa vacina ele olha aurística então ele consegue entender comportamentos e apontar a anomalias mas ainda assim já tem cara tem até no combater esse tipo de coisa então você vê os avanços que a gente dá Passos então assim o comportamentos de hamster que vão tentar usar Power Shell usar compartilhamento fazer exploração esse cara consegue pegar eles não pegaria Porque como é que você vai passa um tigre você sabe não você desenvolve o mal vai lá no vírus total e fica testando lá passam em 200 antivírus lá fiz pegou recordo na terceira consegui vai passar eu sei que na sua empresa tem se mantique por exemplo você manda que não tá detectando manda o ziralder para você a detecção do vírus é por um hash do próprio código dele né pelo menos antigamente era assim é que o princípio do antivírus ele precisa existir o vírus para ele se você encorda algo que ele não consegue detectar porque nunca foi detectado você vai passar ele mas aí pode ser tanto pelo resto do código ou sei lá comportamento do que ele executa né hoje em dia é muito mais comportamento aí você vê no sistema operacional se aquela chamada que tá fazendo api do sistema operacional ela tá você faz sentido ele tá fazendo alguma ação específica então ele identifique esse comportamento e toma uma ação dependendo daquelas chamadas que que são feitas ali então é por conta disso a questão do comportamental né Será que faz sentido fazer download de algo x eu tô fazendo aqui uma uma evolução mental sobre os conceitos que eu uso de arquitetura para esse tipo de raciocínio de segurança né porque por exemplo em arquitetura tem uma disciplina que vocês devem conhecer muito bem que observabilidade que observar uma transação do começo até o fim e saber por onde ela passou e etc e tem alguns triggers que a gente trabalha ali que são tigres de negócio que não são necessariamente técnicos né para entender alguma anomalia de escala ou disponibilidade da aplicação que pelo que vocês estão falando que faz muito sentido ser aplicado também por ameaça então por exemplo eu tenho um servidor cara esse servidor aqui em pico de serviço Ele trabalha com tanto sequestres por segundo ou ele tem um trupt ele tanto para outros servidor etc eles comunica com esse servidor E aí qualquer anomalia do comportamento padrão dele e dentro da escala de serviço que ele tem a gente tem um trigo que diz cara tem alguma coisa errada com essa aplicação ela pode estar com o tênis todo de memória ela pode estar tendo algum tipo de problema e se aplica uma vulnerabilidade né porque que esse cara tá falando com esse servidor se ele nunca falou com esse servidor né pode ter algum tipo de ameaça de dentro desse ecossistema né Essa questão de observabilidade é extremamente interessante por isso que eu acho que faz muito sentido Por exemplo um nó que tá muito mais próximo de do Sol que ali tudo mais porque é justamente identificar esse comportamento né aumentar ali uma taxa de erro uma série de coisas ali que você identifica e pode ser né uma ameaça ali né então acho que hoje em dia faz muito sentido exatamente acho que observabilidade ela é para tecnologia e ela para a segurança é isso que se olha e aí que tem que ter evoluções pegaram um caso interessante né do que você falou aí você pode ter por exemplo é um device com múltiplas conexões de múltiplos você não vai ter pego isso no antivírus em lugar nenhum porque é um comportamento de negócio sim só que na tua observabilidade você vai olhar e falar pô mas isso aqui não que que esse é IP tem três sessões né ou uma concessões né E aí você consegue detectar pode ser fraude pode ser algo né de anomalia né a gente sempre gosta de falar que é uma anomalia que pode ser um falso positivo ou realmente um incidente que você tá tendo né e os atacantes eles estão cada vez mais entendendo por exemplo você coloca uma regra de rede ali x tal beleza não fala de retilíneo que o cara de aplicação arquitetura mas é aquilo que não pode ser arquitetura tem que lidar com até porque é uma questão de disponibilidade né mas a diferença é que tipo arquitetura Pensa num retil limite de negócio infinito ah produtividade e a gente pensa em ataque e hoje em dia pô você pega uma aplicação que não tem Beleza o cenário Beleza você colocou ali por exemplo X requisições por x tempo os caras começam a entender Aonde que tá o limite ali e eles fazem algo muito personalizado para você ficar ali exatamente para você não identificar né você tá fazendo um monitoramento ali estão fazendo Devagarinho eles não tem não tem pressa para extrair a informação deixa assim tranquilo um ano ali daqui a pouco você tem uma base gigantesca de milhões de dados Cara você sabe que eu recentemente comecei a estudar automação para web para e eu comecei a pegar umas coisas muito curiosas em relação a isso tipo alguns sites que têm consegue pegar por exemplo acesso automatizado Mesmo ele sendo tipo super tipo discreto com selinho por exemplo etc e ele consegue detectar por hate por exemplo Como assim tipo esse cara consegue logar e acessar cinco mil registros em dois minutos um ser humano consegue fazer isso não né às vezes não é uma falha de segurança pode ser uma automatização etc mas é uma anomalia você consegue pegar isso nesse nesse ponto do meio do mal sim como é que você exatamente comportamento geralmente o bote do Mal ali ele vai ter uma oportunidade mais agressivo né ele vai tipo ficar persistindo em alguma coisa né é aquilo que eu falo hoje tá sendo muito tá os caras estão tunando né o negócio ali para chegar a requisição passar muito ser muito realística ali né Ela é muito real então confunde muito com uma interação humana então assim cada vez mais tá muito nesse sentido o bote se você tem algo ali tem ameaças ali que eles bom Taca o tô nem aí mete bala ali vou dar um exemplo que é uma um exemplo meus amigos ouvintes mas foi necessário né eu recentemente fui renovar minha CNH tinha tomado uma suspensão e agora cara vai estar bloqueada amanhã né mas agora tem que fazer aquele curso web lá cara eu fiz lá o curso tipo slide né acabei beleza lá no finalizado não dava para finalizar aí tem que ter com suporte Nossa você só pode abrir o próximo Capítulo se você tiver ficado tantas horas na mesma lição não é possível não vou ficar 6 horas nessa lição que tipo tem 12 slides não tem como não tem como aí eu fui lá e Beleza deixa eu ver como é que eu posso fazer aqui fiz a conta eu tinha que ficar tipo 5 minutos por slide por aí eu ia tentar fazer isso manualmente não funcionava eu fiz um scriptzinho maravilhoso em Python com selênio quer abrir a página tudo com timerzinho ali simulando perfeitamente o comportamento que eu teria tipo são dois slides a cada tantos segundos eu vou tantos slides para frente né chego lá na frente não deu tempo ainda eu volto né coloco um Cid um Randon para tipo não ser linear tipo voltar aí e tal cara filé funcionou já pode trabalhar comigo certinho ali cara deu 12 linhas de selênio com python Ali [Risadas] vai só automatizei Qual a diferença de automatização E se fosse

71:19é um pouco é um pouco mais difícil né você né É muito mais difícil você simular um comportamento humano é muito mais difícil você criar algum controle para você parar isso né então isso é bem complicado mas automação automatização né como não bloqueia automatização como todo Claro você vai pegar às vezes você tem alguns comportamentos que você consegue identificar que não é e tal você tem pô Às vezes tem os direitos você tem isso tem alguma série de coisas ali mas também não é tão eficiente né Em alguns momentos e cara nem todo bote é ruim né como a gente falou Pô Às vezes o cara tá extraindo informação de forma legítima né mas não deixa de ser você fazer uma automatização para você conseguir renovar é uma atividade de que é justamente você pensar diferente pensar diferente daquilo que tá pro sto para você por exemplo ali no front E aí você foi lá pô vamos ver como funciona esse negócio aqui nesse negócio para jogo E aí para a gente já caminhar aqui para as considerações finais Qual que é o perfil do cara que pode trabalhar no Ratinho qual que eu prefiro esperado digamos assim desde um cara que que vai ter essa visão um pouco mais específica e até para direcionar um pouco o pessoal mais técnico que tipo de conhecimento técnico Esse cara tem que ter né acho que de negócio ficou Claro aqui tipo que tem que ter tem que ser curioso tem que procurar entender negócio etc porque eu acho cara que essa é uma das funções da ti das profissões mas sedutoras que tem né Todo mundo quer trabalhar cara quero ficar aqui explorando e tal mas não é todo mundo que tem Skill para poder fazer isso Qual que é o perfil desse cara como vocês encontram esses caras e quem quer trabalhar com isso como se prepara para entrar nesse mercado é bem é bem complicado porque é aquela coisa né Eu acho que o primeiro passo que um profissional de Redding ele tem que ter ele tem que conhecer de por exemplo algumas linguagens de programação pelo menos o básico para ele conseguir se desenvolver Às vezes você lida com ambientes que tem inúmeras linguagens de programação Você tem uma diversidade muito grande né de tecnologias que tem que saber podar tem que saber podar isso aí é extremamente importante extremamente importante eu nunca vi um hacker é normal É que geralmente a gente vê lá no documentário da Discovery os cara só sabe mexer script né porque tudo que aparece na TV mas não tem que saber quando acordar mesmo né E tem que saber também por exemplo vamos falar de infraestrutura saber de AC você tem vulnerabilidades em código e isso é lida com infraestrutura em código e ali você pode colocar por exemplo você uma vulnerabilidade que você pode aquele ambiente ali então você tem que ter um conhecimento de múltiplas disciplinas vamos dizer de tecnologias tem que entender de muita coisa então tem que ser arquiteto É isso aí é bem isso aí e eu acho que é esse o profissional cara curioso aquelas coisas todas que a gente conversou e tem que entender de tecnologia como um todo né não tem jeito então você tem que o redim Às vezes você tá ali lidando com o ambiente que é você tem um desenvolvimento em Gol ou daqui a pouco você tá com tem ali ser mais mais não tem sei lá qualquer outra o tipo de linguagem ali então cada canto é um canto cada um tem cada lugar tem sua particularidade e você tem que estar preparado para essa para esse desafio que você tem ali né então e o Haiti ele tem que saber disso aí né você tem as suas particularidades dentro de códigos e tudo mais então assim tem infraestruturas diferentes tem um primer tem tudo Pô você tem que entender de todo esse contexto aí como um todo e não só disso né você tem que entender Pô você tem que ser um cara Versátil você tem que ser um cara que entende de questões comportamentais Igual eu falei isso aí é extremamente importante o cara de team ele tem que analisar tudo ele chega no ambiente ele tá reconhecendo tudo ele tá vendo que pode acontecer ele já pensa no pior cenário possível e eu acho que é isso o cara tem que pensar além sempre o que que pode dar ruim aqui aí você vai lá generalista e fora da caixa Exatamente é isso aí eu acho que é isso e eu complementaria né é um cara inconformado em conforme mesmo tem que fazer parte porque ele vai se deparar com dificuldade e ele tem que burlar a dificuldade esse cara para mim nasce de um bom deve um bom deve é o cara que conhece e aí lógico o tipo de programação vai ajudá-lo muito mas se ele tiver estrutura de desenvolvimento na cabeça esse cara vai vai fundo se ele tiver rede [ __ ] aí esse cara domina porque ele vai usar isso como técnica como arte para fazer a coisa acontecer então somando isso pensando fora da Caixa em conformismo e um bom é uma boa base deve esse cara destrói cara esse cara faz faz acontecer vai fundo Vai fundo vai bem essa questão de engenharia social pode ser treinada ou o cara tem que ter um tino ali para isso cara você tem que ter um pouco de vamos assim malandragem né nas coisas não tem jeito entendeu Nossa cara reloginho ali que tipo isso eu falar para secretária ali que eu tô atrasado sabe a palavra aqui

77:21viu uma oportunidade Tem que olhar o todo e [ __ ] ali dá para fazer uma uma abordagem e a partir dali ele desenvolve formação para essa galera existe não é Skill experiência existe bastante técnicas ferramentas formas né como um bom deve né E aí você tem um canivete suíço de tecnologias de ferramenta de processo de a a z mas cara sem atitude sem ser o cara em conformismo você não vai chegar né tem que ser é igual é igual tem no meu time né Eu tenho um cara de hipnose Deus além de rei e tal eu tenho um cara que vende droga na porta da escola e é uns caras diferentes mesmo eu trabalho diferente algumas características que o que o cara tem que ajuda que complementa que nem o Paulo falou aqui você tem Claro é extremamente treinar já consegue estudar fazer uma série de coisas mas você às vezes fazer alguma atividade diferente daquilo que você tem por exemplo fora da tecnologia pô que nem esse esse que trabalha comigo lá junto do meu time o ele tem essas particularidades ele é mágica hipnose o cara que da hora é muito interessante e eu gosto muito de estar com ele para fazer engenharia social porque era um cara imagina um cara que olha aqui oh oh oh quanto você põe a sua senha ó ó e foi até um fato interessante a gente tava no escritório esse dia atrás aí um amigo estava com dor de cabeça aí ele pegou Olha para um ponto aqui não sei o que lá não é que passou a dor de cabeça do cara olha só a gente acredita também então Auto sugestão né exato então é interessante esses caras diferentes que pensam de um de uma outra forma é muito bom lidar extremamente interessante eu acho que é um pouco de arte você tá ensina o cara a tocar o violão mas quando o cara tem o dom o cara vai muito mais fácil pra gente finalizar eu queria que vocês contassem dois causos um cada um relacionado algum tipo de exploite alguma vulnerabilidade um caso curioso que vocês passaram como o Ratinho ou com bluetinho ou como gestor que envolva esse tipo de exploração porque deve tá todo mundo pensando e tal que que vocês contassem algum causo aí que que vocês passaram pode analisar a empresa nome etc chamar de algum pseudônimo mas a gente quer conhecer a história Eu tenho um caso interessante né a gente contratar uma empresa para fazer um teste e essa empresa conseguiu através de uma engenharia social Fishing invadir a rede Navegar stellt sem ser identificada e finalizou o trabalho e o cara me liga tudo bem tudo bem Tá em frente sua máquina toda molhada ele tava na minha máquina aí ele foi olha a máquina do seu gestor olha a máquina do seu presidente olha a máquina financeira e abrindo tela então foi algo bem inusitado né óbvio que a gente sabia que tinha vulnerabilidade né mas esse cara ele teve uma inteligência de estudar Quem era um gestores Quem eram as pessoas específicas quais eram as áreas e ele a pessoa a pessoa e ia mostrando Olha que interessante esse aqui ó ele comprou não sei o que tal dia tava na máquina dele esse dia fez isso tal esse cara foi navegando na empresa inteira genial engenharia social e engenharia técnica junto né de quem eram as pessoas de navegar de navegar de forma silenciosa para não ser detectado então foi um belo trabalho da mesma forma que um hacker faria né do meu lado aqui vou falar de algo já de outra década mas é tipo assim um problema específico né de vazamento de uma informação a gente precisava de alguma forma encontrar aonde estava né aquele problema específico E aí a gente fez passou por uma empresa né fazendo algumas questões de marketing época que pen drive era muito normal a gente não tinha uma série de controle esses dispositivos e tudo mais E aí nessa na hora que o pessoal inserir aquele pen drive ali a gente executava um Hatch ali né que é justamente para gravar para a gente tem acesso justamente bem parecido com que o que o Paulo falou para a gente descobrir da onde tava as informações estavam sendo levadas extraídas para um concorrente né Então a partir disso a gente acabou descobrindo um problema que a gente tinha né de informações ali privilegiadas de alguns produtos que estavam sendo desenvolvidos algumas estratégias ali do negócio e essa é uma característica né que a gente utiliza desses meios para a gente conseguir acessar saber da onde tá vindo né o fogo amigo ali né então isso é isso É bem interessante legal muito bom meus amigos muito obrigado pela presença de vocês cara eu tenho certeza que o deve que tá ouvindo agora tá pensando naquele cara ali Acho que será que é bom é manter não é não sei será que tem alguém no retinho aqui tentando pegar minha aplicação né Eu acho que a gente conseguiu dar uma esclarecida nesse tipo de trabalho e acima de tudo dá uma esclarecida e dá uma luz né no trabalho de segurança de informação que eu acho que a gente tem que esclarecer muito mais acho que as pessoas elas acham ainda que principalmente o pessoal do meio de desenvolvimento de que segurança ainda é uma uma commodit que o mundo mudou bastante nos últimos anos né Acho que as pessoas têm valorizado um pouco mais isso mas acho que ainda conscientização é muito muito necessária nesse momento né então acho que a segurança hoje em dia ela tá muito voltada a trabalhar com agilidade para estar junto o pessoal ali a gente não tá para travar ninguém a gente não tá para falar não pode não pode mas e dessa forma aqui a gente encontra alternativos ali para para que o trabalho para que o deplor aconteça dos negócios né então meu grande mantra é a segurança acelerador de negócio e não breque de negócio mas a gente quer estar junto mostrando que pode acelerar e pode acelerar com segurança Esse é o ponto a gente no primeiro episódio sobre segurança falou exatamente algo como isso viu Paulo não tipo a segurança é para você acelerar exato não dá para você acelerar sem poder frear né sem ter segurança né quem tem que botar o cinto de segurança para você botar 200 por hora né então isso faz muito sentido cara meus amigos muito obrigado pela presença de vocês esse papo foi sensacional eu acho que muita gente tem eu tinha curiosidade de saber como funciona esse quem tem cara batizando aquelas distribuição Linux de Jack Spot até hoje tentando trabalhar nessa [ __ ]

85:30sem saber exatamente como funciona a área Eu acho que isso vai dar uma uma uma visão aí para para todo mundo né Isso é muito bom que bom que bom obrigado para vocês agradecer obrigado pela oportunidade de poder falar um pouquinho de segurança ter vindo aqui já há muito tempo né obrigado ter vindo aí agora podemos fazer virar muitas outras vezes ainda tenho certeza Zé Obrigado cara Eu que agradeço a oportunidade de estar com o Paulo com você aí ué todo mundo aqui e sempre vamos falar de segurança e bom falar daquelas coisas que a gente gosta né então a gente sempre prazer e a gente vai continuar né depois daqui falando mais um pouco né normal desculpa tomar cerveja e falar

86:24você que acompanhou a gente até agora obrigado não esquece de acompanhar a gente nas redes sociais vão deixar o perfil dessas duas desses duas feras aqui desses dois bons aqui no na descrição do episódio seja no Spotify seja no YouTube acompanhe os caras também eles vão estar aqui muitas outras vezes ainda para falar desses assuntos então acompanha a gente todas as redes dá o seu like se você ainda não deu o seu like você tá correndo risco de segurança esses caras vão brigar com vocês então dá o like para a gente aí no Spotify no YouTube acompanhe todas as redes sociais Obrigado Valorize ou criador de conteúdo seja qualquer conteúdo que você goste dá trabalho criar conteúdo para você e você vê aqui de graça valeu obrigado valeu [Música] [Aplausos] [Música]