Jump to content

Search the Community

Showing results for tags 'appsec'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Supporter area
    • Tools of the Trade
    • Finance transparency
  • MBConf
    • MBConf v1
    • MBConf v2
    • MBConf v3
  • Mente Binária
    • General
    • Computer Architecture
    • Certifications
    • Quantum computing
    • Cryptography
    • Challenges and CTF
    • Hardware Hacking
    • Electronics
    • Conferences
    • Forensics
    • Games
    • Data privacy and laws
    • Code breaking
    • Networking
    • Pentest
    • Speak to us!
    • Software releases
  • Career
    • Study and profession
    • Jobs
  • Reverse Engineering
    • General
    • Malware Analysis
    • Firmware
    • Linux and UNIX-like
    • Windows
  • Programming
    • Assembly
    • C/C++
    • Python
    • Other languages
  • Operating Systems
    • GNU/Linux and UNIX-like
    • Windows
  • Segurança na Internet's Discussão

Categories

  • Portal Mente Binária
  • Specials

Categories

  • Tech basics
    • Text comprehension
    • English
    • Mathematics
  • Computing Basics
    • Lógica de Programação
    • Computers Architecture
    • Cryptography
    • Data Structures
    • Network
    • Operating Systems
  • Specifics
    • SO Internals
    • Web
    • Python
    • Javascript
    • Infrastructure
    • Go
    • Reverse Engineering
    • DevOps
    • C/C++
    • Log Analysis

Categories

  • Crackmes
  • Documentation
  • Debuggers
  • PE tools
  • Books
  • Util
  • Packers
  • Unpackers
  • Virtual Machines

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


GitHub


Twitter


LinkedIn


Website

Found 4 results

  1. Ao longo dos últimos meses, nós temos compartilhado uma série de artigos sobre o universo da Segurança de Aplicações. A boa notícia para quem se interessou pelo assunto e quer se aprofundar ainda mais no tema é que a Conviso disponibilizou de forma integral e gratuita em seu canal de YouTube o treinamento AppSec Starter - um curso inicial de conscientização em AppSec. Para quem tem interesse em se aprofundar mais sobre Desenvolvimento Seguro e gosta de aprender por meio de cursos, é uma ótima oportunidade de ingressar no universo da AppSec por meio de um curso criado por profissionais que vivem o tema no dia a dia. Além disso, por já estar 100% disponível na íntegra, é possível encaixar as aulas nos horários que melhor se adaptarem na rotina de cada aluno. O treinamento é composto por um total de 15 vídeo-aulas, onde conceitos introdutórios são abordados - em linguagem acessível - pelos especialistas da empresa. Ao longo dos vídeos, temas como Modelagem de Ameaças, Owasp Top 10 e Testes de Segurança de Aplicações são abordados. Para conferir o programa detalhado das 15 aulas, clique aqui. O curso foi criado originalmente para facilitar a entrada de novos colaboradores da Conviso em uma cultura de AppSec. Agora, ele está aberto e acessível na íntegra para que qualquer estudante ou profissional com interesse em aprender mais sobre o tema possa ingressar nos conceitos iniciais de AppSec. 🤗 Público-alvo do treinamento Qualquer estudante ou profissional de áreas relacionadas a tecnologia que tenham interesse no tema podem se beneficiar com o treinamento. No entanto, é altamente indicado para profissionais envolvidos com desenvolvimento de software, que certamente poderão tirar máximo proveito das informações contidas no curso. Se você consumir o treinamento, não se esqueça de deixar seu feedback nos próprios comentários do canal do YouTube da Conviso, para que mais treinamentos possam ser disponibilizados no futuro. E caso você conheça alguém que se interesse pelo treinamento, não deixe de compartilhar esse conteúdo! 😉
  2. Você ainda acha que a função de um analista de segurança é restrita apenas a Pentest? Então este artigo é para você. Afinal, esse é um dos erros mais comuns de profissionais em início de carreira. É claro que Pentest é, sim, uma parte essencial na segurança de aplicações. Mas AppSec vai muito além do Pentest! Na primeira parte deste artigo sobre carreiras em AppSec, abordamos alguns papéis como Product Manager - essencial em empresas de produto, como é o caso da Conviso - bem como profissionais de Sales e de Engineering. Nesta segunda parte, vamos abordar as diferentes possibilidades de direcionamento de carreira que um Analista de Segurança da Informação pode seguir. Na Conviso, por exemplo, há três times diferentes de Professional Services em que um Analista de Segurança da Informação pode trabalhar: PTaaS - Pentest as a Service, Consulting e MSS - Managed Software Services. Isso porque a empresa trabalha com as melhores práticas de segurança de aplicações e, para isso, entre suas ferramentas, utiliza também o modelo da OWASP SAMM, que sugere um conjunto de práticas de segurança que atende todo o ciclo de vida do software. Desenhando soluções seguras O Omayr Zanata (foto ao lado), que é Tech Lead do time de Managed Services, explica que a área de MSS atua em três dos cinco pilares propostos pelo SAMM - Design, Implementação e Verificação. No pilar de Design, por exemplo, ele conta que o time de MSS atua ajudando o cliente a desenhar uma solução pensando em segurança desde o início. "A gente bola a parte da arquitetura segura, executa a modelagem de ameaças, e elencamos os requisitos de segurança necessários, para desenhar uma arquitetura segura. Tudo isso em parceria com o cliente, para garantir a segurança da aplicação desde o início - que é justamente o que manda o famoso conceito Shift Left", explica. "A segurança tem que ser pensada na etapa desde os desenhos iniciais de arquitetura", reforça. Na parte de Implementação, entra a segurança no DevOps, com o building seguro, o deploy seguro e a gestão dos defeitos, por exemplo. Já na fase de Verificação é quando é realizado o Assessment de Arquitetura, bem como os testes baseados em requisitos e os testes de segurança, como por exemplo SAST, DAST, SCA - que, aqui, são automatizados, diferentemente dos Pentests e Code Review, que são manuais. Quanto ao perfil de analista que atua na área de MSS, Omayr explica que é bastante importante que o analista tenha background de desenvolvimento e dois perfis são bastante interessantes para a atuação na área: o primeiro é um perfil mais orientado a DevOps e um segundo perfil mais orientado à arquitetura. "Muita gente acha que precisa ter experiência em pentest para atuar com segurança, e na verdade, os maiores diferenciais nessa área são o background de desenvolvimento e experiência com desenhos de arquitetura, cloud, microsserviços e esteiras de desenvolvimento", afirma. Ele conta ainda que uma boa dica para quem busca uma colocação na área é ganhar familiaridade com o modelo da OWASP SAMM e o OWASP ASVS. Quer trabalhar com o Omayr? Confira as vagas no time dele! Treinamentos e capacitações Dentro dos pilares do SAMM, a área de Consulting é voltada para de Governança e Operações - e atua também em Design. Neste time, o Analista de Segurança tem em sua rotina inúmeras atividades que abrangem desde uma documentação de procedimentos até a condução de treinamentos; além disso, deve prestar uma assessoria aos clientes internos e externos em relação às soluções e boas práticas de desenvolvimento e gerenciamento de segurança em seu ambiente. Evandro Pinheiro de Oliveira (foto o lado), que é Analista de Segurança, conta que faz parte do seu dia a dia na área ministrar treinamentos para os times, com a estratégia de formar Security Champions. Isso significa preparar materiais, capacitar pessoas. Ele também atua na parte política, de dar consultoria no suporte a regras e normas - isso tudo o que faz parte do pilar de Governança do SAMM. Já na fase de Design, atuam com o levantamento de Requisitos, aplicando uma estratégia de análise de ameaças, que ocorre na construção de software. No pilar de Operações, é feita a observação de indicadores. “Para trabalhar em Consulting, o pessoal precisa ser mais comunicativo, justamente por estar mais no dia a dia com o cliente - além, é claro, do conhecimento técnico necessário, uma vez que ainda é essencial conhecer as lógicas de programação, para falar com propriedade, embasamento”, reforça. Ele conta que embora o time conte com profissionais de experiências variadas - de júnior a sênior - trata-se de uma excelente porta de entrada para o mercado de AppSec, justamente por exigir de pesquisas e estudos constantes sobre todo o ciclo de desenvolvimento - assim, o profissional consegue ter uma melhor compreensão de qual área ele se identifica mais. E o próprio Evandro é prova disso - ele trabalhou por 10 anos com desenvolvimento e tinha paixão por Segurança de Aplicações. Estudou bastante, buscou se familiarizar mais com os conceitos da área e foi atrás de uma colocação no mercado - e foi assim que chegou até a Conviso. É claro que tem vaga nesse time, né? Saiba mais! E, enfim, o Pentest! Heitor Pinheiro(foto ao lado), Tech Lead da Área de Pentest as a Service, conta que neste time, em específico, os analistas exercem três grandes práticas: Operations; onde executam todos os projetos, nos mais variados contextos e escopos possíveis. “Resumidamente o objetivo é entregar valor aos nossos clientes através da identificação de vulnerabilidades”, afirma Heitor. A segunda prática é Research, onde os profissionais fazem pesquisa de vulnerabilidade em softwares e serviços utilizados de forma abrangente, buscando proporcionar aprimoramento técnico e comercial através do compartilhamento dos resultados obtidos. Já a terceira se chama Tooling, e eles contam com a ajuda de especialistas em automações, onde eles são responsáveis por nos prover recursos que nos permite operar em alta velocidade e em larga escala. “Um exemplo básico é auxiliar outras equipes especializadas em segurança em seus esforços de automação, definir e possuir métricas e KPIs para determinar a eficácia das automações criadas”, detalha. “De forma muito geral, para atuar em um time de Pentest, o profissional precisa ter uma boa base em desenvolvimento de software/aplicações, redes, sistemas operacionais e muita vontade de aprender, pois nesse universo existem novos desafios todos os dias”, aconselha. Outra dica que ele dá para quem busca trabalhar na área é arriscar-se. Segundo o Tech Lead, boas formas de fazer isso são participando de competições de CTF, contribuindo para a segurança de um projeto open-source; ou mesmo mantendo um projeto ou blog sobre o tema. “Através desses desafios, é mais rápido e divertido de entender o que funciona no mundo do AppSec - e também é uma forma de conseguir maturidade com casos reais”, conclui. Curtiu? Então vem trabalhar com o Heitor!
  3. A presença de Security Champions nas equipes de desenvolvimento pode trazer uma visão mais estruturada acerca da segurança de aplicações. Além disso, ele pode ser um grande influenciador da cultura de segurança dentro da empresa. Mas você sabe qual é o papel deste profissional? Conversamos com o Rodrigo Maués, Tech Lead na Conviso Application Security, para entender melhor quem é e qual o papel do Security Champion dentro de um time de segurança. O que é o Security Champion De acordo com Maués, dentro de empresas que produzem softwares, é comum existir um atrito ocasional entre duas áreas. Para a área de desenvolvimento, as equipes de segurança são pontos de gargalo dentro de um processo já bem pressionado e com prazos apertados. Do outro lado, temos as equipes de segurança que, por vezes, entram em conflito ao buscar introduzir mais segurança nos produtos entregues pelos desenvolvedores. “Este conflito nem sempre é facilmente solucionado, pois vai contra algo que, do ponto de vista comercial, é bem mais forte que a validação de um código: as demandas de um mercado cada vez mais inovador e ágil”, contextualiza o Tech Lead. É aí que entra o papel do Security Champion. No mundo de Segurança de Aplicações, entendemos os Security Champions como sendo os membros das equipes de desenvolvimento que receberam treinamento específico para atuar como ponto focal de segurança de aplicações dentro do time. Quando um membro do time de desenvolvimento se torna um Security Champion, ele estabelece uma melhor comunicação com seus pares e muda a cultura do desenvolvimento de dentro para fora, já que acessa a mesma linguagem dos membros envolvidos na produção do software. “Desta forma, o time de Desenvolvimento consegue compreender muito melhor a informação passada, uma vez que recebe o conhecimento de um dos seus”, esclarece Maués. Ou seja: o Security Champion trabalha como uma ponte entre as duas áreas, de forma conciliadora, para garantir que a cultura da segurança seja mantida sem desgastar as equipes. Quais as responsabilidades de um Security Champion? Entre as principais responsabilidades dos Security Champions está a mudança cultural dos desenvolvedores, que devem passar a ter um olhar mais cuidadoso no trabalho de codificação, aplicando as melhores práticas de desenvolvimento seguro e buscando ter um olhar cada vez mais focado em segurança desde o início da criação de seus produtos. Um Security Champion, de forma geral, é um transformador cultural para as equipes de desenvolvimento, e atua também como uma ponte de ligação entre as áreas de desenvolvimento e de segurança. “É ele quem consegue manter um entendimento dos dois mundos, amenizando os conflitos e disputas”, esclarece Maués. Algumas atividades comuns do dia a dia de um Security Champion são: Ajudar na realização de revisões de segurança; Ajudar com a observação de melhores práticas de segurança; Desenvolver Modelagem de Ameaças para aplicativos novos e em evolução; Participar de movimentos de P&D – Pesquisa e Desenvolvimento; Orientar na identificação de requisitos de segurança; Avaliar e estudar bugs em código; Servir de elo de contato entre as demais equipes da área de segurança. No entanto, é muito importante ressaltar que o Security Champion não realiza essas tarefas sozinho. Tudo é feito em colaboração com o time! Afinal, o papel do Security Champion não é o de centralizar o conhecimento - e sim, de disseminá-lo nas equipes. Como se tornar um Security Champion? Existe um perfil específico? É comum que Security Champions sejam desenvolvedores treinados e devidamente capacitados para suportar as iniciativas de segurança. No entanto, isso não é regra - é possível que profissionais egressos de outras áreas, mas com algum conhecimento em desenvolvimento, recebam treinamento para atuar como Security Champions caso cumpram outros requisitos. De todo modo, é preciso ressaltar que Security Champions não são profissionais de segurança de aplicações que são focados exclusivamente em segurança. Essa confusão é muito comum, mas é uma concepção errada. A escolha dos Security Champions dentro de cada time gera uma noção de pertencimento e ajuda no trabalho com os desenvolvedores. É imprescindível um trabalho cauteloso, que começa por um mapeamento de times. Para isso, é preciso identificar e capacitar membros dos times de desenvolvimento que tenham esse perfil, para que atuem como facilitadores de segurança. E este papel exige características comportamentais, como iniciativa e autogestão. Mas caso você sinta afinidade com essa carreira, esse já é um ótimo indício! Vagas na Conviso A Conviso, mantenedora aqui do Mente Binária, está com muitas vagas abertas. São vagas para áreas variadas dentro da empresa - de Desenvolvedor a Analista de Segurança da Informação. Caso você sinta afinidade com a especialidade da Conviso - Segurança de Aplicações - não deixe de se inscrever, ou mesmo de se cadastrar em nosso banco de talentos. É só clicar no botão abaixo:
  4. O que faz? Existem vários desdobramentos profissionais nessa carreira, normalmente envolvendo programação segura, revisão de código em busca de bugs de segurança e pentest. Que tipo de empresa contrata? Consultorias que ofertam tal serviço, fábricas de software interessadas em entregar softwares mais seguros para o mercado, dentre outras. Materiais obrigatórios Banco de dados Python Go Web Materiais desejáveis Infraestrutura C/C++
×
×
  • Create New...