Ztna / Zero Trust: O Que É Essa Tecnologia De Segurança?

0:00funciona essa parada de validação de identidade tem dois conceitos básicos o que é que é autenticação o que que é autorização o conceito de zero trust é assim você confia ao menos possível em tudo questão de cofred senhas Imagino que muita gente escuta isso hoje em dia né o cofred senza é preciso de um cofre de senhas Cadê o cofre de senha só que a gente já vai muito muito mais além como em tudo em ti também é um conceito a gente tem um cofre de senhas de baixo de um conceito muito grande chamado pam o privilege access [Música] [Aplausos] na tabela Sempre que precisar Não não é assim que funciona [Música] de forma rápida tira o de foguete aí das máquinas é o defuga aí o Gueto e padrão de navegação não é mais a empresa é o Gateway local dele é o roteador da da operadora dele local só que aí com isso você criou uma vulnerabilidade essa pessoa precisa começar a pensar nesses conceitos é o primeiro passo na minha opinião por quê se eu tenho um conceito de PM que foi o que a gente comentou aqui eu começo a me preocupar eu protejo as minhas credenciais Então esse é uma pergunta que eu geralmente faço para quase quase todo mundo [Música] muito bem muito bem meus amigos do PPT não compila estamos aqui para mais um episódio desse podcast e depois de muito apanhar de vocês nos comentários estamos aqui finalmente como a pauta de Cyber Security vamos falar sobre segurança na informação hoje é dia de pauta técnica Vamos descer no técnico aqui né é que é o podcast do profissional de tecnologia então falamos sobre negócio falando sobre metodologias do desenvolvimento hoje é dia de pauta técnicas vamos falar sobre sabe-se falar sobre zero trustity e o derivado dele que é os etnaus que você vai entender conceitos de desenvolvimento conceitos de segurança conceito de rede que é muito importante para o seu desenvolvimento profissional para falar disso aqui comigo estou aqui na minha frente com meu amigo Luiz nichmore que é especialista de segurança na Century certo de Security é hoje focado em Cláudio Security pela Century desenvolvendo projetos de arquitetura tenho aí 15 anos de experiência em cyber em grandes empresas né os cara vai dar aula para a gente aqui hoje de dia e aqui na nossa ponta Gabriel Ramos que é engenheiro de sistemas na vault one Certo Gabriel Opa dá um oi para galera falar um pouquinho da volte para gente pessoal obrigado pelo convite Luis sou engenheiro de sistemas na volta não tenho A responsa aí de apresentar uma solução de PM para o mercado a gente tem um objetivo muito grande de trazer uma solução brasileira empresas brasileiras que buscam se proteger no momento de acesso remoto credenciais E por aí vai vamos falar bastante sobre sobre esse assunto muito obrigado pelo convite eu quero agradeço presença de vocês aqui acompanha a gente que hoje é dia de pauta técnica boa hein vamos falar sobre todos esses conceitos vamos falar sobre rede microsseguimentação de rede autenticação autorização como você pode ser um deve melhor no seu desenvolvimento então como é com a gente bora [Música] [Aplausos] antes da gente entrar de fato na nossa pauta sobre sobre zero trust que falaremos hoje o que é zero que a gente fala tanto no mundo de redes etc eu queria que vocês comentasse uma notícia que eu vi hoje na internet recebi de um amigo meu pelo WhatsApp de um vazamento que a gente teve no last pass se vocês chegaram a ver isso cara cheguei inclusive pelo fato de trabalhar em uma empresa que é responsável por proteger credenciais esses assuntos chegam a todo de todo lado até inclusive antes de sair em mídia talvez por ter pessoas profissionais já da área os cara já ficam uma piando ali né ficam mas não é só a primeira vez já tem uns três quatro cinco meses não máximo teve um outro um outro vazamento das peças Inclusive o de hoje foi do mesmo hacker ele Manteve o a brecha a empresa Manteve a brecha disponível e ele se aproveitou e teve um outro vazamento uma outra quebra de credenciais então foi da mesma pessoa inclusive cara e é preocupante né porque é o serviço que deveria proteger as suas credenciais que você coloca todas as suas outras credenciais lá né sim então não é simplesmente um vazamento de um login teu de por exemplo uma rede social que você tem essa só rede social você pode perder em atacado suas credenciais né O que foi exposto foi a sexta que protege os ovos exatamente exato exato e não é a primeira vez Então é um ponto muito preocupante que a gente que a gente enxerga assim no mercado e um que mais me preocupa ainda é que muita empresa não só pessoas pessoais eu era um usuário de flashpass eu sou ainda eu tô pensando se eu continuo eu não recomendo depois desse segundo episódio aí eu tô pensando que se talvez é uma solução que o objetivo dela é muito bom proteger credencial facilitar o uso da credencial né Afinal quem não tem mais de uma credencial aí no seu dia a dia só que se você tem uma solução muito simples para proteger ela acaba sendo um problema então se você usa uma solução gratuita na grande maioria dos casos já até houve um vazamento e você nem sabe existem alguns alertas aí o próprio Google começa a bater nessa tecla Vira e Mexe recebe um e-mail falando Nossa sua senha apareceu em algum vazamento o Chrome atualmente ele avisa né ele falou essa tua senha aí foi encontrada no banco de dados de senhas vazadas né eu achei isso genial cara muito louco mano Preste atenção quando acontecer isso Eu particularmente não vi essa notícia eu só vi a primeira e eu já não usava Então hoje uso menos ainda cara se os dois especialistas de segurança não usam as peças acho que eu já tomei minha decisão eu acho que eu já sei o que eu vou fazer eu parei de usar acho que tem um ano mais ou menos eu acho porque já teve um ano passado também que não foi não foi muito divulgado E aí acabei já deixando de usar mas Vira e Mexe ele vai ter outros também não duvido sim e aí já puxando desse desse assunto né Eu queria que vocês desse uma introdução para a galera que tá ouvindo a gente para a gente poder começar a falar de fato dos Hero trusting pra gente poder falar do trust né O que que é o de fato o trust funciona essa parada de validação de identidade né porque quando a gente tá aprendendo o desenvolvimento ali e tal aprendendo como implementar em qualquer sistema um sistema de login etc a gente tem dois conceitos básicos acho que os nossos amigos deves e profissionais de tecnologia devem ter até esse limite aqui de embasamento né O que é que é autenticação o que que é autorização né autenticação tá mais ligada nessa questão da validação da identidade do saber se você você mesmo e a parte da autorização que é saber o que que você que eu já sei que é você de fato pode fazer né E os Euro trustres ele mexe com um pouco de desses dois conceitos né O que é a identidade e a identificação de alguém em um sistema não é ecossistema não no mundo de ti não precisa ser acadêmico não que a gente tá ok então primeiro que hoje a gente tá acostumado a falar aqui da entidade de uma pessoa né e no mundo de nesse mundo interconectado temos muitas apis Então hoje a identidade É muito mais do que uma pessoa a identidade pode ser um sistema Então as empresas para se conversarem trocarem as informações é através de api hoje em dia e aí entra muito essa parte assim autenticação da própria aplicação então tem a identidade aquela parte que assim você é você mesmo né E se você pode fazer isso pode receber ou requisitar essa informação e a gente tem que ficar mais de olho nessa parte hoje em dia né É principalmente porque os vazamentos hoje tá acontecendo muito por parte de api mal configurada né a gente tem um caso aí de empresas uma distribuidora de energia elétrica que se você colocando simplesmente o CPF da pessoa você conseguia todas as informações dela e isso aconteceu alguns anos atrás Imagina aí você faz um Scan né Passando só trocando parâmetro na pi e famoso escaneamento horizontal nisso que hoje eu reforço muito a teoria de autenticação autorização né porque é muito fácil a gente falar de pessoas mas o pessoal esquece do background né do do back end que os se conversam e não são necessariamente pessoas aí na verdade está falando de autenticação de entidades sejam pessoas sejam sistemas exato e um ponto muito preocupante também entrando nesse assunto de api é que a grande maioria das soluções hoje em dia não só soluções de segurança elas oferecem a p e aberto então para uma empresa ter como diferenciar ou contratar uma solução que ela vai se integrar com outros sistemas no final das contas Às vezes pode ser uma dor de cabeça eu já vi diversos casos de uma pay que trouxe uma dor de cabeça imensa para empresas a gente acaba não citando nomes né mas é um assunto que a gente tem que se preocupar também sempre e entrando um pouco nesse conceito falando de ziral trust e tudo mais até algumas empresas acabam diferenciando um pouquinho o que é os Euro trust E também o que é o ztna pelo fato de entrar nesse assunto de identidade de validação então empresas de segurança que se preocupam em investir em soluções para proteger seja acesso remoto seja credencial e algo do gênero ela já começam pelo menos abordar a parte de dizer o trusting dependendo da empresa a gente começa a ir para um nível de Network access que daí complementa chegando nos DNA ah certo primeiro ponto importante aqui já do episódio ele é mais conceitual é um conceito de uma cultura de que eu não dou Privilégio para ninguém não importa o que o conceito Bem antigo já Na verdade acho que a gente tava até falando começa a trabalhar no provedor BBS em 99 vai e a gente usava o Fire ipttables era negar tudo né E hoje naquela época e até um pouco tempo atrás a gente tinha uma borda da rede hoje em dia aborda não é mais a rede em si né com tanto sais as empresas utilizando tanto faz serviço né soft como serviço hoje em dia a rede não é mais aquela borda definida e sim agora é a identidade eu admito hoje que eu a nova borda das empresas disse que é a identidade Então ela é mais importante quanto um Fire por exemplo que é um ponto desculpa de cortar mas é um ponto que a gente sempre vai ter que se preocupar porque a identidade ela te leva para diversos tipos de caminhos a gente já viu só vazamento credenciais mas vazamento de identidades que no final das contas o atacante ele consegue ter diversos tipos de acessos um vazamento de identidade muito grande que teve recentemente foi de uma empresa de aplicativo em que eles tiveram um vazamento da credencial admin de mim é só de mim só dó de mim da plataforma de gestão de Privilégio dele de usuário privilegiado só o admin da plataforma de Privilégio exato não vou citar o nome da empresa mas foi foi bem divulgado isso foi recente acho que faz um mês dois meses e é uma coisa que a gente vê direto no mercado inclusive empresas que são especializadas por exemplo eles chegam a não diretamente numa credencial de privilidade por exemplo ai não numa recepcionista não uma pessoa que está mais vulnerável até de conhecimento muitas vezes o treinamento de de Security de segurança na informação não chega Nessa pessoa e a pessoa acaba cedendo aí a credencial no pentest né com o ator bem treinado e através dessa credencial simples eles conseguem é atingir outras credenciais dentro do da empresa sim vai vai subindo de nível ali até que nível ele consegue a famosa engenharia social exatamente certo agora descendo até um pouco mais no técnico aqui porque hoje a nossa pauta é técnica a gente tem esse privilégio de de dar uma descer um degrauzinho aqui né vocês falando aqui eu já tô separando os conceitos na minha cabeça que abstraindo como como bom arquiteto deveria fazer né então cara estamos falando de gestão de identidade quem são as pessoas e esse conceito ele é independente dos Euro trustres ele já existe em Way correto os Euro trust ele é um conceito de que eu não acredito em ninguém até que me prove o contrário basicamente e os Etna é quando eu aplico esse conceito para o acesso à rede E aí eu já tô fazendo uma compreensão aqui por isso que ele é tão comparado com VPN provavelmente certo o fornecimento do acesso né fornecimento de acesso quando a gente fala por exemplo da de configuração e segurança de piais como ele falou hoje mesmo sem dizer o trustres quando configuro ali por exemplo um acesso ao Alf tô configurando off 2 para fazer um acesso vipi já é uma boa política que eu tenho um idp para trabalhar essas políticas identidade né ou não o isso já não é um padrão de mercado na opinião de vocês porque eu já vi de tudo nesse mercado tá gente já vi o cara configurar Secret direto no código da ypi Eu já vi o cara fazer isso direto no IPI Gateway né Tem tem de tudo mas eu entendo que talvez uma boa prática seja ter um idp Federado ali onde tem esses caras ou por exemplo ter isso no ponto único pode ser um ponto de vazamento de falha para Essa gestão de identidade que eu entendo que ter ali um gestor de identidade um ponto de autenticação ele vai ser até importante até para poder ter os eternos inclusive falando nesse assunto de credenciais principalmente credenciar em código fonte ainda acontece esse tipo de vazamento credencial de aquelas famosas Quando é o string do banco ainda acontece bastante isso e não pegando esse gancho Mas falando de uma forma que na minha opinião ajuda a proteger esse tipo de quebra de itens sigiloso é o fato de você tirar informação sigilosa do código fonte e substituir Por e-pa que não vai ter nenhuma informação sigilosa é inclusive o que a gente vê a empresas fornecendo de possibilidade para o usuário então eu vou chamar por exemplo uma API que vai puxar essa credencial do banco aquela aplicação vai continuar mandando requisição para o banco da mesma maneira Só que quem tiver acesso aquele código fonte não vai ter acesso à aquela informação sigilosa esse ao meu ver tá sendo o foco de agora utilizando copo de senha né utilizando não só copo de senhas mas indo para o segmento de pam de gestão de usuário privilegiado tem uma plataforma segura pode ser até uma uma plataforma em nuvem aonde você tem a sua conecting armazenada e api chamando essa Conection string toda hora quando a gente está falando de credencial interna para você essa banco etc também tá uma dúvida que eu sempre tive em relação a cofre de senhas eu tô hoje eu tô aqui para aprender tá galera com o pessoal que sai desse kit não fica meio que equivalente por exemplo eu tenho lá um serviço que vai me dar o Conection stream pro banco mas aí para acessar esse serviço não tem que botar credencial no meu código que vai me autorizar esse serviço não porque a api ela não precisa ter a credencial para aplicação que eu consegui acessar o serviço a credencial ela ficar armazenada na plataforma dentro do cofre seguro geralmente em um hsm mas para eu acessar o cofre eu não tenho que ter alguma credencial na aplicação que me dá acesso ao cofre não você precisa ter api do cofre que vai chamar isso a única credencial que você precisa ter de fato é a sua credencial do Coffee para você fazer toda a sua manutenção ou seja você tem uma plataforma onde você acessa e você consequentemente tem acesso às suas credenciais e tudo mais só que não é algo que vai estar disponível na pi por exemplo Mas como que a aplicação chama essa pi ela chama diversos maneiras eu tenho até um códigozinho pronto aqui salvo eu posso mostrar para você depois inclusive que é onde a vautie usa para proteger credencial de Cold fonte é um é um scriptzinho curto até não lembro quantas linhas tem deve ter umas 30 linhas mais ou menos mas é o fato dele chamar o que está cadastrado dentro daquela plataforma entendi e aí eu tenho outra outras formas de proteção ali sei lá por rede por Ipê sim sim só por rede por IP e tudo mais mas pelo fato de ela estar armazenada individualmente seguro geralmente essas empresas que Inclusive a valte faz isso é o fato de você armazenar acidencial em um hsm Começando por esse ponto e também oferecer um ambiente que está protegido por diversos níveis de segurança waff multifador de autenticação e outros pontos Também entendi legal porque o que o outro de questionamento era justamente isso cara mas beleza eu não vou pôr a senha do banco ali exposta mas eu vou Beleza vou pegar a senha do banco numa IPI Mas se a credencial dessa epa aí autenticação do tiver no no Fonte faz sentido eu gosto beleza eu pego a credencial de pia E aí vou lá montou a requisição no Postman e pega sempre de qualquer jeito né mas tem tem uma uma proteção para trás sim porque proteção para quem peça porque para fazer a validação nessa credencial ou seja o que a gente chama de sacar a credencial ela precisa partir de um ponto

21:08uma dificuldade a mais uma barreira a mais ele não vai conseguir chamar o a sacar a o segredo é de um de uma fonte externa por exemplo exato e Você tocou num ponto muito importante Wellington que é questão de cofredências Imagino que muita gente escuta isso hoje em dia né o cofred sem usar eu preciso de um cofre de senha Cadê o cofre de senhas só que a gente já vai muito muito mais além como tudo inteiro também é um conceito a gente tem um cofre de senhas de baixo de um conceito muito grande chamado pam o privilege access Management a ideia de você ter diversos tipos de proteção que envolvam a credencial mas que tem como foco o usuário privilegiado Ou seja eu vou oferecer para você uma solução aonde eu vou proteger as suas credenciais e seus usuários conseguem fazer por exemplo um acesso remoto a um servidor sem ter que passar pelo processo de autenticação isso que é o foco de uma solução de pam que a gente chama hoje em dia tem lá um grande guarda-chuva o cofre de ciências é só uma perninha desse desse grande guarda-chuva e quando a gente fala então de pam eu identificar quem é esse esse usuário esse acesso privilegiado envolve toda essa questão de saber quem de fazer autenticação dessa pessoa e aí que não necessariamente envolve só credencial como senha né e eu acho que essa questão do do zero está muito relacionado a isso né de eu não ter somente uma validação com usuário e senha tem que ter outras outros mecanismos né que me valide autenticidade de quem está lá porque vazar login senha hoje é Pina todo dia a gente ouve né a respeito disso então eu posso dizer que o conceito dos Euro trust tá muito envolvido no sentido de que eu não vou acreditar só que você e você mesmo porque você tem o seu usuário e sua senha sim você é você mesmo e você tem até um E você tá vindo da origem que a gente acredita né então por exemplo você tem lá as condições de acesso então assim você é você mesmo mas você tá você acabou de logar em São Paulo e de repente vem um login da China então tem tem algo errado aí tem algo errado aí ou inventar o teletransporte do Brasil para China ou é alguém usando a senha dele né Isso sim sim esse ponto de validação de localização que comentou é muito importante porque a gente entra em um outro conceito meu bom pensar que eu sou o cara do conceito mas é muito vasto hoje mas focando muito nesse assunto principalmente validação a gente já entra para uma outra parte voltada que é o iam o adent access manageme a ideia de ter uma solução que vai fazer essas validações vai fornecer por exemplo mfa também nos logins vai fornecer também sem gostar não muita empresa se preocupa em investir sem gostar e não também hoje em dia e a gente começa a abordar E outra tem tem uma imagem muito muito bacana que são basicamente três circunferências com esses conceitos e a mp a miga tem a m também e elas se intersex- se intersecção em um ponto muito importante que aquela solução Bem completa ou a empresa que investiu pelo menos em uma de cada de cada vertente Entendi então o iam onde eu coloco a gestão de fato de dentes da identidade de identidade e de usuário como um todo PM já foca mais um usuário privilegiado Ou seja eu resumo de uma maneira bem simples quando me questionou sobre esse assunto e a m eu vou me preocupar com a criação e com a exclusão do usuário quando ele entra na empresa o usuário como um todo ou seja o RH contratou um colaborador ele mesmo já consegue criar aqueles acessos que ele precisa ele não precisa abrir um chamado help desk e o PM ele já vai focar no dia a dia do usuário ou seja o que que o usuário Tá acessando e o que que ele tá fazendo durante aquele acesso com gravação de sessão e outros pontos também seria o equivalente a autorização autenticação e autorização também também mas autenticação e autorização é entra em quase todos esses conceitos também nesses componentes não é assim ele vai analisar também o comportamento né pelo que você tá comentando né também tem solução que a gente já começa a se preocupar nessa vertente de análise comportamental já é um assunto aí que a gente vê inclusive ver no novo conceito que a gente pode comentar daqui a pouquinho que é já um ztna mais avançado estão falando sobre então falando sobre isso hoje em dia cara sensacional quero entender como funciona isso Opa vamos explicar o que é os hidrotrance depois a gente fala sobre essa evolução é Vamos por partes o pessoal fica doido cara que houve esse podcast já não é normal né No mínimo é de ti já não é normal então aqui a gente pode deixar todo mundo meio doido então fazendo um resumo novamente aqui eu não acredito que você e você mesmo só porque você tá com o seu login e sua senha Esse é o ponto principal né então tem faço uma faço outras validações como por exemplo localização origem device provavelmente né com certeza então tem outras questões Ali que fala não Beleza então realmente pareceu seu nishmore e não alguém com a senha do Smart né tem outras características tem um conceito de que é a gestão de identidade desses caras que quem tem de fato quem são essas pessoas que eu vou identificar para poder fazer liberar o acesso tenho o PM que é onde eu vou fazer a gestão do usuário privilegiado né Quais são os privilégios esse cara etc entrando também no assunto de produção de credencial que é uma outra vertente do próprio PM sim e quando eu tô falando de acesso de aplicação por aplicação eu tenho a questão do cofre de senha aqui que eu uso esse conceito de outras validações não só o acesso direto para Api para proteger credenciais etc como dados sigilosos de banco de dados etc né exato Já chegamos a quase uma universidade aqui alguns minutos de Episódio Opa que bom que bom e como é que a gente encaixa os heróis nessa parada toda qual conceito dizer outro Na minha opinião é a ideia de você ter que se preocupar com uma solução que faz essas validações que a gente está comentando até agora ou seja se eu vou comprar uma solução de PM vou dar o exemplo da onde eu trabalho eu vou ter uma solução que vai armazenar os meus usuários Ou seja eu tenho lá os cadastros dos meus usuários que vão fazer esses acessos E por aí vai e esses esses usuários eles vão ter permissões definidas ou seja se eu tenho lá uma solução de PM que o time de marketing vai acessar eu faz sentido ao meu ver eles acessarem redes sociais não faz sentido uma pessoa de marketing acessar um servidor por exemplo

28:38acho que tem alguma coisa errada eu vou gravar um banner direto no FTP do disco então a gente se preocupa com essas validações E permitir que o admin ele consiga dar permissão para quem realmente precisa Ou seja eu vou compartilhar o recurso com aquela pessoa que realmente vai fazer o uso desse recurso não vai ter um uso aberto bem amplo na rede da empresa isso aí você vai ter vários perfis de acesso conforme a necessidade de cada usuário né e a gente tava até conversando aí anteriormente antes do episódio até que é muito fácil o desenvolvedor o gerente do projeto né Principalmente projetos de metodologia ágil que tá com esse cliente atrasada é solicitar um acesso e falar assim eu preciso ter o seu admin do do projeto do esse usuário tem que ser de mim ele tem que fazer tudo porque a gente não pode atrasar eu quero root é isso não a gente vai avaliar vai liberando aos poucos né E conforme a necessidade é claro que tem assim como na metodologia ágil a segurança também tem que se adaptar tem que dar agilidade também na provisão desse acesso né para não impactar e print mas isso tem que ser muito bem validado muito bem estudado cada acesso tanto de back end como de usuário tem que ter uma finalidade certa né não nada mais além daquilo aquilo que você falou antes Maria é o denaial e depois você vai liberando ali De acordo com o que precisa né isso e entendendo de fato o contexto se realmente precisa né porque é o que você falou desenvolvedor atrasado Pensa num bicho Nossa é o desenvolvedor atrasado né então pô me dá o root aí porque eu quero fazer truquete table na tabela Sempre que precisar Não não é assim que funciona porque você pode estar querendo usar Eu acho que o grande eu me coloco muito no papel do desenvolvedor tá por tanto tempo que eu passei desenvolvendo por certo é eu também nasci no desenvolvimento então eu nasci mas fui para mas já foi para ser crente desde sempre só a base de Formação mesmo de ads e depois sim apesar de que era bem gostoso é cara é acho que é o mundo que que todo mundo acaba nascendo né ele para ter até a base e tal mas o que passa geralmente na cabeça dos desenvolvedor e que eu acho que é é um ponto até pra gente Esclarecer aqui e e fazer as pessoas pensarem melhor sobre esse ponto de vista É que geralmente o cara pensa [ __ ] mas por que que eu não posso ter esse acesso porque ele tá sempre pensando pelo lado positivo da parada cara eu não vou fazer nada eu só vou resolver meu trampo eu só vou dar tronquete na minha tabela porque para desenvolver mais rápido mas cara pensa que é alguém no teu lugar mal intencionado poderia fazer algo que que não é tão bacana como você tá querendo fazer para entregar o seu trampo então pode ser um processo um pouco mais chato para você que é bem intencionado que quer resolver o seu trampo mas outras pessoas que podem estar se passando por um cara bem intencionado com você é o que vai um vazamento no last pass por exemplo que pode ser a sua empresa no futuro né acho que um exemplo importante é você rodar uma aplicação web né e o serviço do Web Server por exemplo tá rodando como administrador por exemplo como Rute ou como administrador inteiro uma vulnerabilidade no Apache que tá longe do do né da preocupação daquele desenvolvedor é é explorada aquela vulnerabilidade e o atacante ganha o acesso de administrador de bandeja então é nessa hora que a gente tem que pensar em realmente Qual o usuário Quais as permissões que o usuário precisa e às vezes é um cara que ele tenta [ __ ] eu vou ter que configurar aqui as permissões das pastas e tal vou rodar como root aqui porque eu tenho que terminar esse negócio logo e tal pô não vou fazer nada de errado isso aí dá um segue a molde que é pau sul do Sul a parte já era tá rodando terminei [ __ ] aí não ajeita depois a permissão e tal o que que acontece o cara roda um script um PHP que dá um Cat no etc/pwd pronto tá tudo no Browser a tua senha é uma demonstração que eu gosto de fazer isso aí é tem uma aplicaçãozinha pra pra pra pra estudar tem teste que é o DVW né E você faz o upload de um PHP inocente que roda um webshell E aí com o Apache rodando como root você ganha acesso a todo o sistema a culpa não foi do desenvolvedor a culpa é da infra Mas como que você vai Minimizar esse problema né É realmente diminuindo as os privilégios do usuário do login sim e privilégio Na minha opinião é a palavra da vez hoje em dia pessoas se preocupando cada vez mais se preocupando em investir com soluções para isso é onde a gente tá tentando expandir aí hoje depois de alguns anos de profissão o que eu aprendi é quanto menos privilidade eu tenho melhor mais feliz eu estou porque menos responsabilidade eu vou ter então quando eu entro numa empresa hoje com a cabeça com a maturidade que eu tenho eu nunca vou querer uma senha de administrador por exemplo uma responsa é muito mais responsabilidade sim sem dúvida eu acho que aí fazer até um contraponto né com um cara que veio do desenvolvimento eu acho que privilégio demais é ruim sempre e privilégio de menos também né a gente tem que ser aquele contraponto né porque eu já eu já passei por duas situações por dois extremos digamos assim na minha vida profissional eu já passei por empresas que cara pô tá aqui o root vai lá resolve queria lá o teu projeto vai embora seja feliz né E aí você só não trocava informação do faturamento da nuvem porque não queria né nesse nível e já passei por situações onde [ __ ] eu não conseguia subir script de banco e eu precisava trabalhar né você não posso rodar um script de banco né tinha uns usuário limitado é e e você simplesmente não conseguia e uma um um eu queria até que vocês comentassem esse episódio que eu acho muito interessante que ele tá mais ligado à privacidade do que exatamente de segurança que é sobre mascaramente de dados né algumas vezes o desenvolvedor ele precisa ter acesso algum tipo de dado para poder fazer a homologação da aplicação etc e quando você fala de dados mascarados dados de produção que são mascarados em homologação por exemplo tem os seus dados reais de mascaramento para homologação desvirtuais esses dados etc ou às vezes trabalha em homologação com dados sintético gerado automaticamente e eu já passei por situações por exemplo cara isso para mim é um dilema eu não sei exatamente como resolver que o cara precisava de acesso aos dados reais para homologar aplicação que precisava de validação do dado real tipo saber endereço comparar-se um endereço tá de fato com outra tabela etc e cara no homologava E aí entendeu Tipo pô mas pode ter acesso não acho que é isso é muito ligado a processo também né que você pode ter um processo de cara beleza não vai ter todo mundo acesso mas eu vou pegar dois caras aqui esses dois caras vão no lugar e vão ter um acesso diferenciado talvez particularidade sempre vão existir né a gente tem que saber lidar com essas com essas particularidades e realmente assim como que você vai validar um faturamento com número real como você vai gerar um gráfico da empresa como você vai validar se tá certo se o dado ali É fictício né Você pode manter um ambiente de deve de que há mais protegido né com menos com menos pessoas com menos mais mais fechado e até com o mesmo nível de segurança do que a gente de prod E aí sim para para poder validar o ambiente tem uma uma outra solução para fornecer um acesso privilegiado para quando realmente necessário que é você usar um Paim por quê pegando alguns alguns casos de uso tem lá desenvolvedor que vai fazer acesso a um banco de dados vai fazer uma manutenção algo do gênero e ele precisa quando for fazer o acesso de um usuário mais poderoso com mais privilégios ele faz esse acesso por dentro de uma ferramenta que é uma ferramenta de P.M esse acesso ele é gravado ou seja ele não vai deixar de fazer o acesso com um privilégio mais acessível porém como ele sabe que está sendo gravado já traz um pouquinho mais de segurança porque até o comportamento o cara muda né muda muda você consegue trabalhar muito nessa questão de comportamento incluindo o que o Luiz comentou a respeito de análise comportamental entender como que é o dia a dia do usuário e o mais importante é você tem lá uma gravação você também consegue saber o que que ele fez durante aqueles durante aquele acesso posso afirmar que essa ferramenta que ele citou já salvou minha pele algumas vezes não foi mas enfim eu li o seu LinkedIn trabalhou com essas ferramentas né Sim foi uma delas foi faz uns anos o que que acontece tinha uma empresa terceira que quero os dbas de um banco órgão eles tinham acesso direto no banco não a gente tem que ter acesso direto no banco putz é então um ponto de alerta né é um ponto de alerta E aí que acontece eles apresentavam uma requisição de mudança falando a gente vai rodar esse script né E aí no dia seguinte a gente vê que não foi aquele script que eles rodaram vocês viram com a gravação né não a gente desconfiou Ah eles estão rodando eles estão rodando mais do que eles estão falando o efeito que você notava era diferente do que era proposto na na mudança né porque no dia seguinte dava problema e se fosse aqueles aquele script que eles tinham apresentado na requisição de mudança não era não era para dar o problema então vamos aproveitar uma requisição simples para fazer alguma coisa mais avançada então a gente entrou com um processo para adquirir uma ferramenta para gravar as sessões E aí estocou os gatos então não sou nem pegar o problema né vai simplesmente parou de acontecer Olha que coisa exatamente porque Inclusive essa ferramenta até dropar alguns tipos de comando né sim você consegue bloquear Ou seja eu tô lá no acesso SSH não mente Rute e você pode dar senha de root para pessoa você pode dar geralmente eles têm já entendi menos RF não roda não não você cadastra no banco de dados dessa dessa solução comandos bloqueados e você pode bloquear ou até mesmo travar a sessão Depende do nível do comando então o cara lá deu um surdo por exemplo alguma coisa é assim que ele terminou de escrever a letra O a sessão dele tá bloqueada e só quem consegue liberar um admin por dentro da solução cara que sensacional cara é uma camada acima do root velho segurança é feita em camada porque seria um proxy né ele transmite para o terminal na verdade ele tá antes né Tá entre o cara e o terminal São camadas de segurança né então você tem essa camada que seria um equivalente a um Jump server né então para você acessar o servidor você tem que passar por ele precisa é onde o processo de autenticação é feito na verdade esse tipo server faz toda autenticação e o usuário ele nem vê ele não sabe a senha na verdade ele não tem um root Ele tem acesso a esse essa outra camada que é quem tem de fato o root que transmite aquilo que é permitido é a ferramenta que vai acessar o servidor como root exato entendeu o cara acha que tem o root Mas ele tem um root supervisionar ele tem uma uma auditoria por trás Hoje em dia as empresas focam muito em auditoria né Não só por querer mas também por serem obrigadas a solução porque você não trava o cara se ele tiver de fato fazendo o que ele deveria sim porque inclusive assim quem tem auditoria só tem que ter uma ferramenta dessa porque todas as como executados no servidor tem que ser auditados tem sim tem vários jeitos que dá para fazer isso tem que log que gera que gera esses documentos por aí vai mas um caso de uso muito legal também que essas soluções Podem trazer é o fato de ela trazer benefícios financeiro para empresa porque a gente tem um cliente que ele contratou solução ele tava desconfiando que tinha um fornecedor acessando o ambiente dele e tem fornecedor que cobra por tempo de acesso né então vou contratar um período de horas e você faz a manutenção e por aí vai porém eles estavam percebendo que esse fornecer esse tempo de hora estava ficando muito alto tá ficando cada vez mais caro e com essa solução você consegue acompanhar ou seja o fulano de tal acessou por duas horas só que se ele não podia ter testado por duas horas ele deveria ter uma hora só de acesso você dobrou o meu custo então é uma forma que você tem também de trazer um benefício financeiro para empresa muito bom pesado com você que está vendo esse podcast da hora tá vendo um monte de problema aqui que a gente está colocando né e Quer uma ajuda aí na sua empresa faz o seguinte entra no site aqui da Game Bass que a gente pode te ajudar vem-me versus nós somos uma empresa relacionada à arquitetura de soluções a modernizações de aplicações também atuamos na frente devops para ajudar vocês a serem extremamente ágeis então dá uma olhada no nosso site que vai estar aqui embaixo versa.io e lá você vai poder ver um pouquinho da nossa história do nosso profissionais e aproveitando se você for um profissional da área de tecnologia que tá a fim de trabalhar numa empresa legal monte de colega gente boa e tecnologia de ponta manda um e-mail para pipocar@vermeber.io [Música]

43:33deixa eu puxar mais uma continuação aqui sobre os Euro trustres acho que essa parte mais conceitual e das validações etc pelo menos para mim aqui tá tá mais tá mais claro que bom quando a gente fala do Network Access quer ir vamos aplicar esse conceito então há um acesso remoto para uma empresa por exemplo numa situação da pandemia por exemplo né muita gente teve que trabalhar de casa muita gente foi previdiar e muita gente sabe aplicação que era do ambiente de Intranet de casa etc é um contexto muito bom para gente falar de uma situação mais né E aí eu queria gerar uma contextualização e mais um conceito aqui para a galera que tá ouvindo a gente quando a gente fala de acesso remoto geralmente corporativo a gente fala de acesso e esse tipo de acesso de VPN geralmente ele tem uma construção que é mais de incluir o cara dentro do perímetro daquela rede interna na empresa que a gente chama de proteção Perimetral eu queria que vocês detalhasse um pouco mais isso que é tipo trazer o caráter da rede de alguma maneira de alguma maneira durante a pandemia vou eu tive um caso muito interessante durante a pandemia é porque do dia para noite as pessoas tiveram que para casa trabalhar como davam E aí por padrão né nesse conceito que você vai trazer a marca o usuário remoto para dentro da rede da empresa então a internet também era roteada para dentro da empresa né porque quando você conectava na VPN você acessava a todos os recursos da empresa e também a internet era roteado para dentro da empresa no conceito de 03 né você isolava a máquina do wi-fi da casa dela do de onde que ele qualquer lugar que ele tá para sair 100% pela empresa só que que aconteceu como todos os funcionários ao mesmo tempo estavam fazendo esse tipo de acesso não teve não teve banda então engagalhou né todo mundo conectou na VPN todo mundo Navegando ao mesmo tempo e entrando e saindo pelo link de internet da empresa não deu para o Putin E aí as empresas tiveram que naquele momento liberar o acesso local pela né E aí nesse ponto o zero três perdeu uma força foi um dedo é sem querer no primeiro momento Acessou a internet como que você faz para eliminar esse DDS não Então tira o defugator para rotear pela VPN e deixa sim e deixa o pessoal navegando pela pelo link local dele mesmo vamos dar uma explicação pra galera que não conhece tanto de rede aqui né para o pessoal entender o gargalo que que é VPN né eu vou fazer uma explicação super básica de arquiteto por favor me complementar arquiteto são mais inteligentes que Engenheiros vão abrir uma briga aqui no no PVT o que que é VPN eu me conecto com um servidor de VPN dentro do meu ambiente corporativo e ele vai fazer um o criptografado entre a minha conexão de internet e a conexão da Corporação digamos assim e aí tudo passa a ter essa criptografia e neste momento a minha conexão de rede passa a ter o IP frio da rede interna também daquela Corporação então é como se o meu computador estivesse conectado localmente lá através de um adaptador de rede emulado que vai receber esse perfil e por consequência eu que a gente mora tão explicando o meu Gate de acesso também passa a ser o da rede interna então aquele tráfego de internet que eu faria pelo meu pé quente público queria pelo meu provedor de internet local ele passa a vir do Gueto e da própria da própria procuração do próprio jeito né ou seja além de eu estar dentro da rede da internet da da rede corporativa a empresa passa a ser o provedor de internet de todo mundo na prática é isso se eu não tenho banda suficiente para para escalar isso o que que vai acontecer vai cair né porque o importante não é a banda entre a minha máquina tonelizada e a [Música] empresa né porque aqui eu tô usando o meu link né O problema é que muita gente vai requisitar dado de fora da internet fora da rede da rede interna isso vai sair pelo link de saída da da da Corporação né então é o link da Corporação com a internet e não a conexão comigo né isso e esse usuário remoto ele vai estar usando duas vezes o link né porque é para entrar né na empresa e depois passar aí de novo para para buscar alguma coisa na internet e aí isso causa causou na época o DDS né E aí como que o pessoal de infra resolveu de forma rápida tira o de foguete aí das máquinas é o defugator o Gueto e padrão de navegação não é mais a empresa é o ga o local dele é o roteador da operadora dele local né só que aí com isso você criou uma vulnerabilidade porque quando você cria quando você fecha uma VPN com de foguete a empresa sua máquina fica isolada as demais máquinas os demais dispositivos que estão nessa rede não não conseguem te acessar para você acessar lá porque ela tá numa VPN e a partir do momento que você liberou o Gateway padrão para esse é o da sua casa ou do da sua da do restaurante do Café do aeroporto ali você permite que outras máquinas use a sua máquina como ponte para dentro da empresa eu tô lembrando aqui bicho mole tô indo pessoal não tava me vendo aqui que ele tá me vendo não tá me vendo mas eu tô rindo aqui porque eu aconteceu um caso muito parecido comigo Putz numa empresa que eu trabalhei que eu não vou citar o nome mas quem quiser olha no meu LinkedIn foi a última empresa que eu trabalhei o objetivo é fácil de saber foi bem no começo da pandemia que todo mundo tava em casa e até aí tava tudo bem esse problema que você falou no momento que todo mundo acessou não não aconteceu né Acho que o link deu vazão etc tá tudo bem até aí tudo certo só que aí a festa de fim de ano da empresa teve que ser remota eu não podia ter aglomeração e tal contrataram a banda bacana né Vamos fazer para todo mundo pedir sua cervejinha em casa pensar em tudo sensacional mandar o voucherzinho aí a banda ia fazer um streaming remoto para galera assistir de casa Tomando a cervejinha com seu voucher Alguém teve uma brilhante ideia genial ele falou cara é só para funcionário então o streaming vai servir a VPN então para acessar o stream você vai ter conectar via VPN né enquanto você tá trabalhando ali só com browser e tal o link aguentou tava tudo funcionando só que aí quando o cara falou não para acessar o streaming tem que estar conectado na VPN porque é só para funcionar o que que aconteceu com streaming de vídeo caiu tudo foi um deve ter sido muito a decepção foi uma festa de ano de fim de ano um pouco decepcionante o pessoal já não tava muito feliz por ser remoto né quem quem quer essa experiência coloca 10 dispositivos acessando o Netflix a Quadro 4K né resolução só vai vai ter a mesma experiência vai cair tudo mas tem um ponto muito interessante que você comentou sobre vulnerabilidade não recentemente foi bem nessa época bem forte da pandemia teve uma empresa da área de saúde Serviços Médicos não vou citar nomes que tinha um fornecedor acessando por meio de uma VPN um ambiente de rede deles e pelo fato de ter essa exploração de vulnerabilidade o atacante conseguiu acesso a empresa teve diversos tipos de dados criptografados e eu lembro que no final das contas essa dor aí deu uns 5 milhões de reais mais ou menos eu acho que eu sei que caso foi isso porque eu sou da área de saúde foi bem forte teve bastante divulgação Eu lembro que a empresa não queria assumir Eu lembro que a gente tinha conexão com eles e cortamos tudo que era conexão não tinha com esses caras porque ele não sabia se até algum tipo de vazamento dessa afetar e tal vocês quando estava com medo de VPN com eles não era Vip ai mas cortamos melhor né fez bem Eu lembro que isso daí teve um tava em todo lugar esse esse comentário e sempre usava ele de exemplo e aí voltando para o ponto então do da conexão via perímetro E aí queria que você esclarecesse um ponto que eu ainda não tá muito claro para mim porque aonde eu tenha onde eu tinha estudado até então sobre os Etna Network Axis ele falava muito sobre uma conexão ponto a ponto de usuário e recurso imediato então e que aí tem uma diferença Clara que eu tô tentando entender aqui onde que os Etna atuais Vamos fazer uma analogia não vou fazer um montar um cenário aqui eu estou dentro da rede da empresa quando eu estou indo na empresa menos que eu tenha restrições de Fire a nível de rede que me peça chegar nas aplicações todas que existem eu consigo acessar virtualmente qualquer coisa na internet qualquer IP frio que esteja dentro daquela rede menos que eu tenho esse tipo de restrição então quando eu conecto via VPN virtualmente o efeito é o mesmo eu estou dentro do perímetro daquela rede e eu consigo acessar tudo ali sim e os grandes defensores dos Etna é que eu consigo fazer essa validação tipo você tem que acessar somente aplicação x y z da sua internet então eu vou te dar acesso só diretamente a esse cara essa arquitetura de rede para mim não é muito claro como isso funciona porque eu vou validar esse cara para chegar direto só nessa aplicação como é que eu restrinjo esse IP esse DNS é o ponto do 03 que eles falam isso é microsseguimentação da rede né então você dentro da rede você restringe o acesso então por exemplo não é porque tá no mesmo segmento de rede mas não barra 24 por exemplo que é bem bem comum que eu vou acessar a máquina do lado entendi e até vão voltar um pouco mais para trás antes a gente segmentava a rede assim ah é usava os equipamentos de hardware Ah tem um Rubi no Hub você não segmentava nada todo mundo né Aí vieram suítes Ah não Suites tem os domínios de colisão Então você tem as venetes então cada venete fala com uma venete e os domínios de colisão você diminuia então assim você tem várias Barras 24 mas não é porque tá no mesmo equipamento que eles vão se falar né E aí hoje em dia eles estão segmentando a subnete então mesmo mesmo você tendo estando no mesmo barra 24 no mesmo domínio de colisão você vai ter lá um desktop Fire um host Fire né melhor dizendo restringindo esse acesso então por exemplo por VPN é muito mais fácil explicar porque você dá um perfil de acesso ah você tem um grupo né de no de que que quem tá nesse grupo A VPN só vai liberar para acessar determinada aplicação Então você consegue segmentar agora dentro da própria rede também então por exemplo Você tem uma rede de banco qualquer um pode acessar a porta do banco entende então você coloca uma regra no rosto no Fire do host falando não só aplicação pode vir acessar a porta do banco E aí então deixa eu ver se eu entendi que tem aqui a gente mora isso não necessariamente está ligado aos Etna mas essa micro segmentação de rede eu poderia conseguir fazer com VPN por exemplo consegue fazer por VPN mas porque a microsseguimentação ela é um dos itens dos dtna entendi pré-requisitos Etna mas eu era uma um conceito à parte que os Etna bebe da fonte né isso porque o zero trouxe na verdade é a junção de vários conceitos né tem a identidade tem acesso à rede e tem chega na micropigmentação da rede e tem até desenvolvimento seguro tem acesso a banco criptografia de banco então ele vai Juntando os conceitos por isso que fala que é uma cultura então quando cai também no sítio by design entendeu então assim pô quero fazer uma arquitetura segura quero fazer um construir uma aplicação segura uma você tem que ler os Etna e aplicar todos os conceitos que estão dentro dele né identidade que seriam os acessos seria a micro segmentação seria a o desenvolvimento da aplicação né até o próprio desenvolvimento é banco de dados né porque hoje é difícil assim empresas pequenas Tem esse tipo de acesso mas criptografar alguns Campos do banco de dados né quantas quantas empresas Você conhece que aquele criptografa campo do banco acho que só a senha e olhe lá hein e olha lá e olha lá porque assim na verdade eles nem criptografa pelo banco eles gravam o resto da senha isso é geralmente é um chá dois sem comer que o cara Grava e depois só abate né que chama de criptografia não reverso é exatamente então que é mais simples é menos Custoso né porque quando você vai querer criptografar banco se o banco não tiver uma criptografia Nativa você tem que adquirir uma solução terceira E aí caiu em alguns casos na maioria dos casos vão dizer assim caiu o desempenho da aplicação a aplicação ficou lenta sim Tira esse negócio gastou 1 Milhão E aí voltando para micro segmentação é isso então mesmo dentro da própria rede porque dentro da própria rede com perfil todo mundo acessa todo mundo né tá ali todo mundo se conversando mas você não pode confiar por exemplo eu inclusive um tempo atrás eu participei um projeto desse ó esse departamento é isolado aqui trabalhava como bolhas mesmo entendeu cara na minha época a gente tinha que colocar esses caras em classes diferentes de rede para isso para não acessar né E se você consegue fazer esse tipo de esse tipo de micropigmentação e fazer esse configuração de Privilégio [ __ ] a gente tá namorando muito mais fácil e Inclusive tem soluções de Networks control que faz isso de forma até mais simples né porque você através do 822x você autentica no Switch vai dizer assim e aí ele vai e fala assim ó você pode acessar só isso não chega a ser uma VPN porque aí o tráfico não está criptografado mas o suíte só vai liberar você para acessar conforme o seu nível de acesso entendeu e se uma máquina desconhecida né você até falou de valorização de devivais uma máquina desconhecida plugar o cabo de rede na sua empresa ela não vai ter acesso nenhum mesmo que o DHCP tenha dado um perfil para ela é porque o ou talvez nem dê o IP né vai dar o IP de uma rede de visitante de gesto Ah entendi entendeu porque assim na hora que plugou E aí o Switch vai mandar um sinal para o agente que tá na máquina quem é você e a máquina não responder vai o DHCP vai dar um IP de uma classe diferente uma classe diferente sensacional cara você comentou sobre pegando aquele gancho de diferenciação né acho que é onde o pessoal mais bate a tecla né porque um porque o outro e na minha opinião Esse é o ponto mais importante a questão de segurança ou seja tirar aquele acesso full e determinar acesso a certas aplicações apenas aquilo que ele realmente precisa além de outros pontos né VPN tem uma certa questão de performance que todo mundo conhece né todo mundo várias pessoas vivenciaram isso na pandemia implantação e tudo mais mas os Etna quando eu faço uma conexão Por exemplo agora fazendo uma comparação bem pura simples e tosca entre a e VPN se eu fiz um acesso direto vias Etna para minha rede corporativa por exemplo ele também é criptografado ou eu tenho esse cara exposto só liberado para aquele cara que tá de fato autenticado é VPN por conceito vai estar criptografado também o tráfico entre os dois ou eu tenho um nível de segurança tão grande que eu consigo expor esse cara e só confiar no cara que tem um acesso se você tiver externo na empresa tem que fotografado sempre sempre Então por trás eu vou ter também uma TPM conceitualmente falando o conceito de zero trust é assim você confiar menos possível em tudo né agora quando você já fala de VPN acesso externo aí ele assim por segurança o tráfico tem que grafado porque quando você tá numa rede não aeroporto por exemplo que é muito interessante assim essa coisa do aeroporto uma rede pública gigante né é pública assim o ghast do aeroporto você não domina Quem tá lá dentro né é maior que de um cyber café de um tipo né a VPN vai isolar a sua máquina o seu equipamento e vai colocar um túnel criptografado Então se alguém um autor malicioso tiver na mesma rede que você tentar capturar os seus pacotes por exemplo né Para esnifar né melhor dizendo snifar os seus pacotes ele vai pegar esse tráfico criptografado Então aí é onde que entra o a proteção do 03 né por isso que tem que estar criptografado porque se você simplesmente fala assim não eu é a máquina é confiável pode acessar minha rede e não criptografar se o cara snifal o pacote ali naquele momento ele tá pegando todo sim e aí se o caminho é público eu posso estar aberto a vários tipos de pessoas unifa na rede né E isso exatamente e o que eu achei interessante que aí projetando essa tua analogia essa tua explicação é que então o meu conceito de zirou trust né porque access externo então não porque internamente por mais que eu não esteja criptografada posso ter esse conceito e microsseguimentação para tratar autorização entre a minha rede e as aplicações de Intranet por exemplo certo porque o que acontece é um atacante deu exemplo da máquina recepção né Por exemplo a mocinha da recepção tá trabalhando tá logada na rede usuário e senha autenticado E aí chega alguém lá como uma engenharia social e faz ela aí em algum lugar e ela esqueceu o desktop desbloqueado ela então o cara rapidamente pode acessar a máquina dela e e colocar o artefato malicioso através desse artefato malicioso na máquina da recepção ele consegue fazer um scan para fazer a movimentação lateral na rede então aí ele vai para ele vai procurar por exemplo uma máquina de alguém de ti que provavelmente tem acesso privilegiado de homenageado é a primeira coisa que ele vai fazer entende primeiro ele vai pegar todas tentar pegar todas as credenciais que está em cache nessa máquina por quê Porque ele vai tentar reutilizar o Cash o hash né melhor dizendo ele vai ter reutilizar o resto dessas credencial né provavelmente o cara do suporte que tem admin do Windows logo naquela máquina e o resto tá no cash daquela máquina e aí ele é através desse resto ele vai começar a se movimentar lateralmente entende até já achar uma máquina de que alguém de ti que alguém que tem administrador domínio que é pô ele vai conseguir ele vai ele vai ele vai conseguir com certeza o servidor de arquivo porque ela tem acesso já tá logado né E aí os do fire ele consegue mesmo e aí vai vai embora a brincadeira vai longe e Cara eu acho que eu acho que o grande ponto aqui que dá uma uma até para deixar um pouco mais simples para quem não é de rede entender é que essa questão de você não tratar mais o acesso perimetralmente mais mito segmentado faz toda a diferença faz porque é a mesma coisa de você ter uma você ter uma mansão você tem um monte de quartos na sua casa todos eles têm um monte de dinheiro que que é mais seguro você colocar uma bela de uma porta em cada um dos quartos você cercar com muro a sua casa inteira e todos os quartos estarem abertos né Acho que essa questão da da da da da rede Perimetral E você jogar o cara para dentro o cara caiu dentro do seu perímetro se você não tem controle de acesso dentro dele já era o cara tem acesso como você falou todos os Ipês todos os pontos E aí cara se ele botou um código malicioso na recepção cara virtualmente ele cai em qualquer lugar né exatamente Exatamente é o foco né proteger e só determinar aquilo que realmente a pessoa precisa inclusive assim tem um [Música] já apresentei um laboratório para o cliente que era dessa forma né assim ah não tá é são duas empresas uma floresta de domínio no AD esse outro AD esse outro ambiente aqui é Tá super protegido E aí Então tá vamos lá tá mesmo defina super protegido e aí entra numa máquina simples vai vai pulando até chegar no AD dessa dessa rede um né Aí dessa rede de um como tá federada para rede 2 pronto fiz um já pulou para outra rede muito bom muito bom cara tô tô bem mais claro aqui com com esse conceitos agora é muito conceitual né É muito bom demais como tudo como tudo e que eu acho mais bacana é que é um conceito que depende de uma evolução também de uma arquitetura de rede de não é simplesmente cara vou a minha VPN vou começar a usar o trusty carada você já dançou sim e a gente nem começou a falar de monitoramento disso tudo né a gente tá falando assim arquitetura desenho acessos microcegmentações E no caso de um problema tudo isso todo esse ambiente tem que estar monitorado né você tem que ter uma ação rápida uma detecção rápida quero falar com você agora que ainda não conhece a Kleber kleber é uma empresa que já tem mais de 3 milhões de usuários em 30 países com 30 idiomas diferentes que tem trazido Soluções em blockchain criptomoedas e ativos digitais o objetivo da Clever é te dar liberdade financeira para operar nesse mercado de cripto então se você acredita nisso se você acredita nessa Liberdade você já Pensa como a Kleber vai conhecer os caras é clever.io estão contratando também pessoal para trabalhar com cripto com blockchain então se você tem interesse se você tem com respeito nessa área procura Kleber se você gosta de criptomoedas se você opera no mercado você precisa conhecer a Cléber precisa conhecer as soluções da Kleber então o endereço está aqui embaixo no vídeo para quem não tá no YouTube é cléber.o Vai lá vai conhecer que realmente é o mercado sensacional

68:31falando de desenvolvimento especificamente aí pergunta de arquiteto aqui Pode ser que o que eu perguntei não tem nada a ver com o assunto mas eu eu vejo uma pequena correlação eu queria entender se faz sentido ou não E se não que vocês me explicassem porque quando a gente fala por exemplo de uma arquitetura que ela está baseada em micro serviços existe também essa questão de segurança sobre a rede entre a comunicação dos micro serviços a gente fala de service mexe e tal você até tem através de sair de casa Então olha uma possibilidade de conectar conexão com um serviço ou outro não que que dá essa um efeito semelhante [Música] e quando a gente fala e a gente chega nesse nível de granularidade de conexão de aplicações através de serviço etc e esses frios por exemplo a gente tem muito uma questão que eu vi muito ligadas da autenticação entre essas pontas né Eu já vi a abordagem onde você limita através do protocolo de rede dedicar o que que ele recebe de conexão ou não mas eu vi também muito relacionado aos eu trouxe esse tipo de conexão autenticação via mtls que é o micro tls aqui ao autenticação de criptografia com accept dos dois lados né que geralmente o tls que a gente usa no http normal É de via única né Eu queria que vocês explicassem um pouquinho isso e dizer isso de fato tem alguma coisa a ver com o trust ou se tem alguma coisa a ver com essa questão de micro segmentação ou se é uma fonte de inspiração geral para esse tipo de desenvolvimento

70:36Inclusive tem o que eu já vi inclusive soluções que ficam analisando o tráfico entre container no ambiente cumber né Aí ele tem um container que fica monitorando todos os containers desse ambiente E aí você ele aprende né vem a monitoração a manutenção com aprendizado de quem fala com quem qual porta e aí depois ele sai fechando né E aí ele vai aplicando as regras de Fire é assim ou seja o contêiner x só pode falar com container Y nessa porta porque porque se um desses containers por comprometido ele não consegue sair daquela bolha entendi claro que aí vem a ministrações em cima do container que ele tá tentando fazer alguma coisa fora do padrão E aí você consegue reconstruir o container de forma rápida né que é uma das vantagens do container então sim tem muito a ver com os eletrush e me prosseguimentação monitorar todas essas conexões de um câmbio next e ainda mais se tratando que um ambiente de câmera ele pode escalar de uma forma gigantesca né assim todo dia eu fico pensando Qual o tamanho do cauber Next de um Instagram por exemplo né certo dá para medir né imagina um pouquinho a máquina né poucos containers rodando ali e quantas Se você começar a pensar que cada botão que você aperta pode disparar mais de um micro serviço quantos contêiner né pode estar tendo atender a sua solicitação ali naquele momento Então você tem que ter uma monetração muito agressiva nesses ambientes E aí o equivalente que a gente falou do ataque de rede né que a gente estava falando de oximation eu acho que é o mesmo para para o serviço né exato porque se você consegue colocar dentro de um serviço desse um código malecioso tem acesso a todos os outros né você compromete todo mundo você compromete você compromete a rede toda né isso então se ele tem lá um pode de container se um for comprometido você pode comprometer todos e aí de todos esses aí vai transbordando para os outros podes e o céu é o limite muito legal cara ficou ficou mais claro que é para gente já segmentar aqui o nosso reta final do papo eu queria pedir para vocês darem uma orientação porque quem está nos ouvindo agora duas na verdade porque a gente pode ter dois perfis de pessoas nos ouvindo agora acho que a gente conseguiu cobrir uma boa área conceitual aqui do que de fato é zero trust E aí a gente pode ter aqui perfil do cara que é deve e precisa entender melhor essa parada por onde eu começo o que que eu estudo para onde eu vou para poder evoluir nesse sentido de me tornaram não não vai virar um Gabriel amanhã ele deve né mas ele pode eu acho que todo deve pode se tornar um deve melhor aprendendo Security deveria fazer isso né o famoso deve ser copos exatamente por onde ele começa né e o segundo ponto é a gente tem muito muita administrador de ter muito gestor de ter que nos ouve também esse cara pode falar [ __ ] isso faz sentido para minha empresa Eu Gostaria de adotar não sei por onde começar por onde ele começa Gabriel Na minha opinião quando você indo pela primeira pela primeira caminho trabalho na área de desenvolvimento ou Quero trabalhar na área de desenvolvimento eu não comecei trabalhando na área de desenvolvimento eu trabalhei comecei trabalhando numa empresa de tecnologia sempre com esse foco empresas que tinham parceria com um fabricantes da área de segurança também não só disso mas área de infraestrutura que uma época muito forte que era questão de Hiper convergência Também Então fala faz tempo que eu não toco nesse assunto mas era um assunto que eu gostava de tratar porém eu vinha de tendo uma base na área de desenvolvimento como a gente fomos bastidores eu não curtia muito Java Meu foco era mais fica mexendo em linguagens um pouco mais fáceis só que se você tem um conhecimento na área de segurança vai muito além o que você pode entregar numa empresa não só para você conseguir ter uma entrega mais rápida mas uma entrega mais segura também que é hoje um ponto que as empresas se preocupam eu tenho alguns colegas que fazem diversos tipos de aplicações a vagas algo do gênero e essas pessoas têm que passar por hoje em dia testes de segurança também então a questão é você quer se preocupar em continuar na área de desenvolvimento e ter um desenvolvimento um pouco mais seguro Ou você quer entrar numa área mais voltada para a parte análise de vulnerabilidade por exemplo você quer ser um penteaster Então eu acho que é um ponto que você precisa pensar e definir conhecendo os conceitos que essas duas entregam então eu tive aí uma boa parte faz um uns dois anos mais ou menos de conhecimento na parte de pentese fazer ele mexer no cale por brincadeira assim fazer exploração de porta e por aí vai mas não como o trabalho e eu percebi que o meu foco era um pouco mais além Ou seja eu ter a cabeça de como um atacante vai se comportar e trabalhar numa empresa que vai oferecer uma solução para defender o perímetro do cliente Esse é meu esse é o meu objetivo e tem a questão que você comentou sobre o gestor ou seja só um gestor tem uma responsabilidade imensa na minha empresa porque questão de segurança vai recair sobre mim obviamente e essa pessoa precisa começar a pensar nesses conceitos é o primeiro passo na minha opinião por quê se eu tenho um conceito de PM que foi o que a gente comentou aqui eu começo a me preocupar eu protejo as minhas credenciais Então esse é uma pergunta que eu geralmente faço para quase quase todo mundo quando eu vou conversar sobre sobre a volta mano sobre bater um papo algo do gênero você consegue proteger suas credenciais de que maneira a maioria gagueja conosco a maioria gagueja Com certeza só responde quando é uma pessoa que já investe no assunto então mas a grande maioria não investe E essas pessoas como elas passam a parar para pensar nisso fala nossa eu realmente deveria me preocupar com isso Elas começam a olhar soluções fazer demonstração fazer poque por aí vai só que não só nisso mas também faz sentido você se preocupar com outras áreas da empresa tem muito gestor que se preocupa em proteger realmente tem só que não é só no meditei que um atacante vai focar o seu alvo e nem sempre começa a ter né nem sempre às vezes ele começa por fora até chegar até aí como a gente mora e falou exato exato Eu já vi casos de uso de credenciais vazadas a partir de área comercial que tinham dados sigilosos de da empresa que consequentemente por ter criptografia em cima desses dados ou seja os dados foram criptografados a empresa teve um prejuízo financeiro grande ou seja você tem que se preocupar com outras áreas da empresa também não só com o time de ti é aí que você olha para uma solução você fala essa solução eu consigo encaixar aqui para o meu segmento para minha área de TI consigo mas para as outras áreas não Então faz uma diferença no final das contas isso na minha opinião então se você recapitulando não resumão se você deve quer entrar na área de segurança e tudo mais Para para pensar se você quer Focar apenas em ser um pintere algo do gênero ou se você quer desenvolver o seu trabalho de forma mais segura entrar para um conceito aí que eu recomendo pesquisarem de deve ser copos e por aí vai e se você é um gestor começa a se preocupar em outras áreas da empresa a se fazer perguntas eu estou protegendo que eu realmente deveria proteger E por aí vai legal Quero melhorar o meu desenvolvimento quero quero pelo menos evitar umas querem injection no meu campo do formulário pronto Por onde esse cara começa a ter uma uma interação aí para melhorar o comportamento dele tem muito conteúdo técnico né no YouTube né se você procurar por desenvolvimento seguro né Tem até cursos pagos né que se você quer acelerar o teu conhecimento tem cursos no YouTube por exemplo super baratos né tem outros cursos um pouco mais caro né tem essa aplicação que eu citei aí anteriormente dvwa que é para você ver como a vulnerabilidade é explorada inclusive assim ele te dá a receita né você instala essa aplicação ela roda tanto em máquina virtual como docker e você consegue seguir uma receitinha de bolo e trabalhar as vulnerabilidades né Acho que nessa demonstração você já vê que você cara nossa é muito mais fácil do que eu imaginava né e assim tem muito conteúdo hoje hoje em dia tá muito fácil você acessar procurar no Google desenvolvimento seguro e colar de uma forma mais mais segura né então acho que curso meu meu ponto né E por gestores investindo em campanha de conscientização né Não adianta você investir só em ferramentas né eu conheço muito empresa que investe aí milhões né um dois milhões de por ano em cyber Security e não investe na principal ferramenta que é o ser humano né como eu eu gosto muito de citar assim as pessoas que estão fora do foco do radar da empresa assim é o a recepção é um analista Júnior de administração por exemplo é essas pessoas elas não tem um acesso que a gente tem hoje por exemplo em saber se crítica então uma campanha de conscientização na empresa vai levar muito o nível né de um prevenir uma higiene social um ataque difícil alguma coisa dessa forma e eu acho que é até um pouco mais barato do que ferramenta né claro tem que ter ferramenta né para bloquear mas a ferramenta sem o a campanha não vai adiantar e até de certa forma é contratar empresas para fazer demonstrações para os funcionários que é um complemento da conscientização porque muitas vezes fica muito vaga assim ah ataque hacker é muito é muita ficção né Hoje o pessoal fica pensando assim parece um ataque não existe acontece no Quintal do Vizinho né não como assim só acontece em filme Como assim através de um pen drive de clicar no e-mail e o cara vai ter domínio a todas as credenciais da empresa né um actividade erectory vai ser comprometido isso é muito é surreal para pessoas comuns né Eu acho que vale a pena é uma demonstração é uma demonstração dessa quebra muitos mitos né assim as pessoas ficam mais são mais impactadas eu vi uma vez um amigo que trabalha com segurança ele fez uma comparação que eu achei genial ataque hacker e meteoro é a mesma coisa tá caindo um meteoro na terra o tempo inteiro poucos chegam no solo e de fato atingem a gente mas você tá sendo atacado o tempo inteiro né provavelmente sua empresa está sendo atacado agora mas alguém não encontrou de uma vulnerabilidade e e não conseguiu chegar no solo com teu meteoro mas que tá rolando um portscando o teu no teu IP quente agora amigo Lembrando que a segurança principalmente a Cyber segurança ela é feita em camadas né então os ataques estão tão chegando mas assim tem a camada um zero uma camada dois até chegar nos dado né então e aí é muito mais fácil você fazer mais dinheiro e social hoje em dia é muito mais fácil você fazer uma engenharia social na camada que já tá o dado que é a pessoa do que na cama dela E falando em tempo a empresa demora muito tempo para saber que um acesso externo um atacante externo dentro do ambiente dela questão aí de meses até dependendo do caso o cara tá morando lá exato É onde que a gente faz o 03 né assim monitoramento não adianta a gente ter um monte de ferramenta monitorando acesso monitorando a rede monitorando aplicação né é assim monitora não desculpa é protegendo a identidade protegendo a rede protegendo a aplicação se você não está monitorando porque numa num comportamento anômalo é onde você vai detectar o ataque né E aí você tem que ter uma ferramenta bem calibrada para para pegar esse ponto fora da curva exatamente pessoal fala muito Inteligência Artificial né hoje porque até foi no aws summith imagina se eu tivesse que ter um analista analisando todos os logs do meu banco digital é humanamente impossível então eles estão imaginando inteligência artificial é uma luva para isso né porque se você tem um caso comum você pode treinar com aquele caso comum e pegar o que é exatamente então algoritmo de classificação de é maravilhoso então aquele analista de choque nível 1 né ele já tem que ele ele não tem que ficar olhando o log ele já tem que ele já tem que receber alguma coisa pré analisada para ele tomar uma ação senão é humanamente impossível ferramentas de ciências tô começando a fazer esse esse detalhe principalmente Então eu tenho sim correlacionando os meus blogs e dentro dessa solução por ser uma solução Bem robusta ela começa a analisar o comportamento das aplicações facilita demais a vida do analista de soccerração de eventos aí você vai fazer a investigação essa máquina saiu fora do padrão E aí já apareceu uma conexão em outra máquina que foi para outra máquina você como fazer Opa Cara isso você pega facilmente com análise probabilística de login porque se as máquinas se comunicam frequentemente entre elas você vai ter um caminhão de log entre elas e pô por que que eu tenho que 10 logo com aquela outra máquina que nunca teve né a máquina a sempre fala com a máquina b e eles trocam X Mega de informação por hora Opa falou com a máquina c e um caminhão de informação tem alguma coisa Exatamente exatamente

86:05tecnologias de análise de segurança muito conceito que dá para dá para abordar análise comportamental vai longe porque vai longe o conceito de zero trust é só a ponta do iceberg né então acho que a nossa missão da ponta da iceberg está cumprida e a gente vai descer muito porque se é só o começo da nossa trilha que sabe cerquite depois de levar muita pedrada da Galera pedir para ele falar acho que agora se vocês fizeram sobre lgbd e tudo mais muito bacana aquele episódio mais focado ali em privacidade foi ali que a pessoa falou Pô vocês vão falar de prova sério vou falar de segurança Então cara obrigado pela pela presença de vocês aqui ter compartilhado um pouco desse conhecimento sensacional cara eu tive uma aula de de ztnã imagina foi sensacional mas vocês não vão embora antes de receber o brinde do pt não confio eu deixei olha só a nossa belíssima camiseta muito obrigada a gente já faz por padrão boa é porque a gente é de ti depois da pandemia foi só Ladeira abaixo eu vou falar que esse ano eu consegui eliminar 11 kg Opa já já melhorou Meu foco você tá na contramão da galera que na pandemia deu a bicicleta me salvou Nossa muito bem eu eu tento mas vai vai naquela montanha russa vai e volta meus amigos obrigado pela presença de vocês aqui foi sensacional essa página Eu que agradeço a gente vai ter que continuar esse papo cara com certeza foi foi pouco tempo aqui pra gente bastante assunto para falar sem dúvida tenho certeza que a gente vai poder contribuir bastante aqui com o nosso mundo de tecnologia agradecer aqui nossos ouvintes que acompanharam até agora o PPT Não compila obrigado por esse papo valorize o criador de conteúdo que leva conteúdo para você que te ensina alguma coisa todo dia não só o PPT não compila todos os outros criadores de conteúdo podcast do YouTube se você aprende alguma coisa dá uma moral para esse cara segue a gente nas redes sociais curte dá um joinha aqui põe um comentário o Linkedin desses caras vão estar aqui embaixo tá na nossa descrição e vocês podem trocar ideia Mandar mensagem para os caras aqui por favor e continuarem esse assunto mas sem dúvida a gente vai falar mais isso sobre aqui Valeu galera obrigado até o próximo episódio valeu

88:49[Música] [Aplausos] [Música]