Jump to content

Search the Community

Showing results for tags 'appsec'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Supporter area
    • Tools of the Trade
    • Finance transparency
  • MBConf
    • MBConf v1
    • MBConf v2
    • MBConf v3
  • Mente Binária
    • General
    • Computer Architecture
    • Certifications
    • Quantum computing
    • Cryptography
    • Challenges and CTF
    • Hardware Hacking
    • Electronics
    • Conferences
    • Forensics
    • Games
    • Data privacy and laws
    • Code breaking
    • Networking
    • Pentest
    • Speak to us!
    • Software releases
  • Career
    • Study and profession
    • Jobs
  • Reverse Engineering
    • General
    • Malware Analysis
    • Firmware
    • Linux and UNIX-like
    • Windows
  • Programming
    • Assembly
    • C/C++
    • Python
    • Other languages
  • Operating Systems
    • GNU/Linux and UNIX-like
    • Windows
  • Segurança na Internet's Discussão

Categories

  • Portal Mente Binária
  • Specials

Categories

  • Tech basics
    • Text comprehension
    • English
    • Mathematics
  • Computing Basics
    • Lógica de Programação
    • Computers Architecture
    • Cryptography
    • Data Structures
    • Network
    • Operating Systems
  • Specifics
    • SO Internals
    • Web
    • Python
    • Javascript
    • Infrastructure
    • Go
    • Reverse Engineering
    • DevOps
    • C/C++
    • Log Analysis

Categories

  • Crackmes
  • Documentation
  • Debuggers
  • PE tools
  • Books
  • Util
  • Packers
  • Unpackers
  • Virtual Machines

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


GitHub


Twitter


LinkedIn


Website

Found 8 results

  1. O que será que o mundo da computação e segurança da informação está mais precisando em termos de especialização? Sabemos que o que mais as empresas necessitam, hoje, é investir em segurança, e para isso é preciso ter profissionais habilitados a trabalhar para que o ambiente das companhias esteja o mais protegido e disponível possível, dentro, é claro, do que está ao seu alcance. Em novembro nós falamos um pouco sobre alguns dos crimes cibernéticos que ocorreram em 2021. A cada dia há mais e mais casos de ataques, e para isso ser mitigado, profissionais da área bem capacitados são requeridos. O que ocorre no Brasil é um déficit desses profissionais. Um estudo da (ISC)² indica que, em 2021, o Brasil alcançou uma defasagem de 441 mil profissionais do segmento, sendo esse número o maior entre os 14 países avaliados pela pesquisa. O estudo sugere ainda que, diante do avanço das ameaças digitais durante a pandemia, essa força especializada precisa crescer 65% em todo o mundo. E o que as empresas veem como as profissões que mais vão precisar de gente este ano? Entrevistamos diretores do Olist, Spod, Conviso e Tempest, e com base nas respostas, fizemos uma listinha das áreas que serão mais demandadas em 2022: 1. Segurança defensiva ou ofensiva Segundo Samuel Riesz, líder do time de segurança no Olist, profissionais experientes e capacitados em segurança da informação (em qualquer vertente) estão em falta no mercado, e a tendência para as empresas é piorar a situação. A Tempest também está sempre muito focada em identificar profissionais especializados e com grande potencial na área de segurança da informação, seja ofensiva ou defensiva, conforme diz Gilberto Pimentel, gerente de Recursos Humanos da empresa. Um profissional em início de carreira na área de SI tem uma remuneração média mensal entre R$ 4 mil e R$ 6 mil, segundo Pimentel. Ele destaca ainda que para se preparar para essa profissão é preciso dominar certas ferramentas e técnicas. "Em geral, é interessante possuir conhecimento geral dos sistemas. Assim, o entendimento da dinâmica de funcionamento será mais eficiente", pontua. 2. Engenharia de software ou de segurança Essa também foi uma profissão que apareceu entre nossos especialistas. Para a Conviso, o engenheiro de segurança de aplicações, mais especificamente, está entre as principais profissões demandadas para este ano. "Este profissional do planejamento e desenho de aplicações seguras", explica Wagner Elias, CEO da Conviso. "Isso envolve a definição de arquiteturas e soluções até o acompanhamento do desenvolvimento e atendimento a requisitos que foram definidos por modelagens de ameaças", continua. Segundo Elias, no Brasil a média salarial deste profissional é de R$8 mil CLT, mas pode alcançar cifras bem mais altas de acordo com a experiência prática do profissional. 3. Analista de Suporte Técnico Para Rafael Cimatti, co-fundador da Spod, essa é a profissão que vai despontar em 2022. "O analista de suporte técnico deve conhecer os produtos (hardware e software) da empresa para poder auxiliar os clientes e executar manutenções quando necessário". A remuneração inicial aproximada é de R$ 2,3 mil, mas o analista pode crescer indo para a área comercial como pré-venda ou ainda para a área técnica de desenvolvimento de produtos, segundo Cimatti. 4. Profissionais de AppSec O Olist também possui uma demanda por bons profissionais de segurança de aplicações (AppSec) que conheçam além do básico, entendam bem de arquitetura de software e de soluções tecnológicas. "Também temos sentido uma grande falta de profissionais de arquitetura de segurança, que conheçam de aspectos de segurança de infraestrutura, gestão de identidade e acesso, operações de segurança e boas práticas de segurança no geral", relata Samuel Riesz. Falando especificamente em funções dentro de segurança, ele acredita que a função de analista de segurança de aplicações e similares serão as mais demandadas. Profissões de segurança da informação em alta no mundo inteiro Não importa muito com qual dessas áreas você se identifica mais. "Todas, repito, todas as profissões dentro de segurança da informação estão em alta no mundo inteiro", reforça Riesz. Segundo ele, não faltam recrutadores assediando diariamente todos os profissionais do ramo. "Cyber security tem, cada vez mais, se consolidado como prioridade do mundo corporativo. O incremento dos investimentos em segurança tem, evidentemente, gerado uma procura considerável por profissionais de segurança da informação", diz Gilberto Pimentel, da Tempest. Wagner Elias, da Conviso, também destaca que a demanda por esses profissionais continuará crescendo, especialmente engenheiros de segurança de aplicações. "Os desafios para construir aplicações resilientes a ataques são cada vez mais altos e as tecnologias evoluem constantemente. Não irá existir em um curto período uma solução ou ferramenta que substituam o trabalho de um bom especialista". Já para quem quiser ir para o suporte técnico, como indicou a Spod, as oportunidades de crescimento também são grandes. "O analista pode crescer indo para a área comercial como pré-venda ou ainda para a área técnica de desenvolvimento de produtos", ressalta Rafael Cimatti. O que estudar? Não fique perdido na hora de buscar especializações em uma das áreas citadas. "Para o analista de suporte técnico é necessário ter conhecimento geral na área de TI e informática e gostar de aprender, já que nessa área sempre temos novas tecnologias e produtos no mercado", diz Cimatti. Cursos como Sistemas de Informação, Ciência da Computação, Engenharia Computacional, Análise e Desenvolvimento de Sistemas são recomendados para esta área. Os profissionais de segurança da informação, tanto ofensiva quanto defensiva, precisam dominar certas ferramentas e técnicas, além de possuir conhecimento geral dos sistemas. "Recomenda-se, ainda, a formação em curso de tecnologia e áreas afins", diz Gilberto Pimentel. "Certificações, ainda que não sejam obrigatórias, também são ótimas fontes de conhecimento". E ele indica trabalhos em configuração de sistemas e suporte como excelentes oportunidades para obter conhecimento básico, além da formação em curso de tecnologia e áreas afins. Já o engenheiro de segurança de aplicações precisa ter uma base sólida em arquitetura e desenvolvimento de aplicações e dominar os padrões de arquitetura e construção de aplicações cloud native, explica Wagner Elias. No caso de AppSec, o profissional que atua nessa área precisa gostar de desenvolvimento de software e ter curiosidade e perseverança para superar desafios é base para evoluir na carreira profissional. "É necessário estudar e se desenvolver em assuntos como Desenvolvimento de Software Seguro, Exploração de Vulnerabilidades em Softwares, Redes de Computadores, Arquitetura de Software e se manter bem atualizado no mundo de segurança", indica Samuel Riesz. E ele já dá a letra: "hoje já existe muito material disponível de maneira gratuita na Internet". Veja o que ele elencou de mais relevante para o estudo da área: Livro: Tangled Web - A Guide to Securing Modern Web Applications - by Michal Zalewski – https://nostarch.com/tangledweb - "Livro essencial para quem quer iniciar na área de segurança de aplicações. Apesar de já estar um pouco datado ainda é referência na área"; Livro: Real-World Bug Hunting - A Field Guide to Web Hacking - by Peter Yaworski - https://nostarch.com/bughunting - "Um pouco mais recente, aborda direto ao assunto técnicas reais para testes em aplicações"; https://www.hackthebox.com/ - "Um playground para segurança ofensiva de todas as maneiras, essencial para quem está na área e quer se manter sempre em evolução"; https://pentesterlab.com/ - "Ótima plataforma para desenvolver habilidades ofensivas em web hacking"; https://gohacking.com.br/cursos - "Atualmente uma das melhores escolas de segurança cibernética e é brasileira!" https://ine.com/pages/cybersecurity - "Ótimos cursos com ótima didática"; https://www.offensive-security.com/courses-and-certifications/ - "Must have para quem quer realmente se diferenciar na área. Os cursos e certificações da Offsec estão entre os mais valorizados do mercado". Para quem conhece um pouquinho de lógica de programação, temos o curso certo aqui mesmo no Mente Binária, que é nosso treinamento gratuito de programação em C e fornece bases computacionais importantes para qualquer futuro (e presente) programador: Aproveite as oportunidades, se habilite e esteja preparado para iniciar ou decolar em sua carreira em 2022, suprindo umas das principais demandas do mercado de trabalho atual!
  2. Não, você não leu errado, e nem nós cometemos um erro de digitação. O que queremos propor aqui é um exercício de imaginação e expectativas. O que esperamos que evolua no mercado de Segurança de Aplicações ao longo dos próximos 10 anos? Quais são as maiores mudanças - tecnológicas, culturais, comportamentais, educacionais - que gostaríamos de testemunhar ao longo da próxima década neste mercado? Para começar, perguntamos aos especialistas da Conviso, que vivem este tema no dia a dia. Na sequência, queremos saber a sua opinião por meio dos comentários, combinado? Conte para nós: o que você acha - ou espera - que mude neste mercado ao longo dos próximos anos? Gustavo Marinho, Analista da Segurança da Informação do time de MSS, conta que já atuou em times de Desenvolvimento ao longo de três anos antes de trabalhar na Conviso, e que o conhecimento sobre AppSec raramente chegava até estes times. “Era algo exclusivo de Infosec”, relata. Confira o que ele vê para este mercado ao longo da próxima década: Enxergo que, nos próximos 10 anos, programas de Security Champions terão uma alta demanda, de forma que os próprios desenvolvedores vão aprender mais sobre segurança e defender a bandeira do desenvolvimento seguro. Imagino que cada vez mais os times de produto e as squads de desenvolvimento terão uma preocupação em desenvolver softwares de forma segura. Resumidamente, vejo que AppSec será algo abraçado pelos times de desenvolvimento e possivelmente até pelos profissionais de produto (Product Owner de squads, por exemplo), deixando de se tornar algo majoritariamente do interesse dos profissionais de segurança. Já o Analista de Segurança da Informação do time de Consulting Evandro Pinheiro de Oliveira aposta na evolução das ferramentas. Confira: Uma tendência que percebemos no mercado é a parte de ferramentas. Uma amostra disso é o assistente do Azure, a Nuvem da Microsoft, que fica monitorando e dando recomendações para melhorar a postura de segurança dos seus clientes. Claro, temos mais exemplos da evolução de ferramentas da segurança que podem ser combinadas com o aprendizado de máquina/ inteligência artificial para uma nova geração dessas ferramentas. Como das categorias de Security Information and Event Management (SIEM) ou de web application firewall (WAF) que monitoram, registram, alertam e podem tomar decisões ao analisar o tráfego de dados nas aplicações. O Tech Lead Rodrigo Maués, também da área de Consulting, diz que acha complicado fazer previsões acerca de uma área que muda a cada dia, mas aposta em uma mudança de perfil cultural muito grande quando o tema é desenvolvimento de aplicações. Confira: Passaremos a olhar profissionais de desenvolvimento não apenas como criadores de uma aplicação, mas como donos da solução, pois é no desenvolvimento que AppSec acontece. Essa visão vai moldar um novo ponto, onde equipes de segurança começam a deixar de ser o centro para se tornarem parte do processo - e isso é uma mudança cultural grande nos dias de hoje. Além disso, pontos que entendemos hoje como diferenciais se tornarão obrigatórios, como o conhecimento do dev, que obrigatoriamente vai passar a contemplar conhecimento de práticas de AppSec. Também acredito que programas de Security Champions serão os novos "hits" e a existência de um security champion dentro do processo de AppSec será quase que obrigatório. Gerencialmente, eu imagino que a principal mudança vai ser na percepção da importância do processo de segurança de aplicação. Não é de hoje que quase todos os negócios se baseiam em soluções de software, que na grande maioria estão expostas, então é natural pensar que isso deve ser um foco de segurança. As legislações estão aí para mostrar que isso deve ser olhado de forma diferente. Bom, essas foram algumas previsões dos especialistas da Conviso para os próximos dez anos. Mas para melhor compreender como está o mercado neste momento, a empresa especialista em AppSec está realizando uma pesquisa sobre o mercado de Segurança de Aplicações no Brasil, voltada para empresas brasileiras de todos os setores e portes, que lidem com dados sensíveis de usuários. São apenas 11 perguntas, que podem ser respondidas em menos de cinco minutos. A pesquisa pode ser respondida anonimamente. O ideal é que ela seja respondida por algum profissional ligado à TI, Segurança ou Desenvolvimento da empresa, com conhecimento acerca do orçamento da empresa para a área. Se você se encaixa neste perfil, não deixe de participar da pesquisa sobre o Mercado de AppSec em 2022!
  3. Você já ouviu falar em Developer Advocate? Papel ainda pouco difundido no Brasil, o termo refere-se à pessoa responsável por intermediar os interesses de desenvolvedores. Quando atua em nome de uma empresa de software, este profissional faz uma ponte de contato entre os desenvolvedores e a plataforma e se envolve com as comunidades de devs. A pessoa developer advocate busca então difundir o produto, indo atrás de feedbacks confiáveis com os usuários para, assim, garantir a melhoria contínua do produto para esse público. Mas como isso funciona, na prática? Na Conviso, existe há tempos a ideia de evangelizar o mercado sobre a importância da Segurança de Aplicações – e neste contexto, o Developer Advocate tem papel fundamental. Além disso, o papel deste profissional é também garantir que o produto da empresa – o AppSec Flow, uma plataforma completa de DevSecOps – esteja cumprindo bem a função de empoderar devs na construção de aplicações mais seguras. Para isso, é necessário que esse profissional – que na Conviso é o Gabriel Galdino – torne-se usuário da plataforma, para ter uma compreensão completa acerca de como ela funciona, e também quais são os seus gaps e pontos de melhoria, para que ela seja sempre otimizada. O que é preciso para se tornar Developer Advocate? Os pré-requisitos para trabalhar como Developer Advocate envolvem ter um conhecimento prévio em desenvolvimento de software e comunidade open source; bem como habilidades interpessoais, como ser sociável e ter um perfil inovador. Ter um bom inglês também ajuda muito. Além disso, é preciso saber que sua rotina envolverá desenvolver e manter recursos para desenvolvedores, bem como representar a empresa e participar do ecossistema e da comunidade de desenvolvedores, construindo relacionamentos sólidos com a comunidade. Trocamos uma ideia com o Gabriel Galdino (foto ao lado), Developer Advocate da Conviso, para ele contar um pouco sobre os desafios e a rotina deste cargo. Ele é formado em Relações Internacionais, e foi durante um mestrado, quando estudava sobre as cadeias produtivas da Apple, que decidiu buscar novos ares para a carreira e ingressou de cabeça nas comunidades de desenvolvedores. Atualmente está em uma graduação em Análise e Desenvolvimento de Sistemas. Enquanto Developer Advocate na Conviso, quais têm sido seus desafios desempenhando esse papel? Tenho dedicado meu tempo para ajudar os Insiders a serem bem-sucedidos e produtivos com a ferramenta que amam e usam, o AppSec Flow. Para isso, tem sido necessário conhecer cada um dos desenvolvedores, além de construir relacionamentos com as comunidades externas de devs. Construir conexões genuínas é a minha paixão, entretanto, exige tempo. A capacidade de fazer conexões humanas é de longe o aspecto mais importante desse trabalho. Outro desafio é a definição de métricas para uma função que não é tradicional. Dado aos vários planos de fundo e às tarefas exclusivas do Developer Advocate, pode ser difícil encaixar métricas tradicionais a uma função em que um dos seus papéis principais é construir relacionamentos e criar elo entre a empresa e a comunidade. Como busca referências para executar seu trabalho no dia a dia? Atualmente faço parte de uma comunidade brasileira de Developer Relations, espaço que tem sido bastante útil para a troca de experiências e desafios. Além disso, acompanho atividades das(os) Developers Advocates Elder Moraes (Red Hat) e Carolina Fonseca (Zup Innovation) no Brasil; e também de Developers Advocates estrangeiras(os) Vickie Li (ShiftLeft) e JJ Asghar (IBM). Grande parte dos Dev Advocates está explorando um território totalmente novo sem um manual, então estamos todos aprendendo juntos e compartilhando novas experiências incríveis a todo momento. Acrescento também à lista de referências o livro THENGVALL, Mary. The Business Value of Developer Relations: How and Why Technical Communities Are Key to Your Success. Nacionalmente, tem os artigos científicos sobre Developer Relations do professor e pesquisador Awdren Fontão, os quais tem me ajudado a entender de modo mais profundo as dinâmicas da função. Você comentou comigo que existem dois "papeis”, um mais externo e um mais interno do developer advocate - quais são eles? O profissional Developer Advocate é responsável por atuar como apoio e agente facilitador na gestão de comunidades de desenvolvedores, levando em consideração o propósito e a cultura do negócio. Na Conviso, seu principal objetivo é empoderar os desenvolvedores sobre a importância do desenvolvimento seguro e garantir que as ferramentas desenvolvidas pela empresa sejam amigáveis e produtivas aos insiders. Nas comunidades externas de desenvolvedores, por meio da disseminação de conteúdo e recursos técnicos, o Advocate age como um “evangelizador”, conscientizando as pessoas sobre a importância da segurança e cultura AppSec no desenvolvimento de aplicações. Se você gostou do tema e quer saber mais sobre o universo da Segurança de Aplicações e Desenvolvimento Seguro, não deixe de assinar a newsletter da Conviso! Inscreva-se na newsletter!
  4. Em nosso último artigo, falamos sobre o treinamento online e gratuito que a Conviso disponibiliza em seu canal de YouTube, o AppSec Starter. E como desenvolvimento seguro é um tema sobre o qual muitos de vocês têm interesse, hoje reunimos algumas dicas de nossos especialistas em AppSec para quem deseja entender ainda mais sobre a importância do desenvolvimento seguro - e aplicá-lo no dia a dia. Mas antes, vamos recapitular um pouco sobre o que é Desenvolvimento Seguro em segurança de aplicações: o termo refere-se a implementar as iniciativas de segurança em todos os estágios do desenvolvimento - ou seja, desde o início do processo. Afinal, em um contexto onde cada vez mais indivíduos mal-intencionados buscam brechas para obter dados por meio de vulnerabilidades nas aplicações, o cuidado com a segurança deve passar por todas as etapas de criação de um software. Você pode ler mais sobre isso por aqui. Agora vamos às dicas: 1 - Passe a encarar o desenvolvimento seguro como uma cultura Desenvolvimento Seguro é uma questão cultural, e exige, portanto, mais do que realizar estudos esporádicos. É necessário “virar a chave” e transformá-lo em um mindset. É uma mudança que envolve 15 práticas, e não apenas os testes, ao contrário do que muitos pensam. Mas como colocar isso em prática? Uma pessoa profissional de desenvolvimento, por exemplo, deve ir além da linguagem de programação e buscar aprender sobre como desenvolver códigos seguros desde sua concepção. Mas vai muito além disso: é imprescindível o foco no processo, prática e desenvolvimento pessoal por parte de todos os envolvidos. É um processo de aprendizado contínuo e que exige disciplina - mas com resultados positivos no final do caminho. Tudo isso faz parte de viver e praticar o desenvolvimento seguro. Leia mais sobre este tema neste artigo. 2 - Familiarize-se com a OWASP Você já ouviu falar da OWASP? Esta sigla é a abreviação para “Open Web Application Security Project” e refere-se a uma entidade sem fins lucrativos e com reconhecimento internacional, que atua com foco na colaboração para o fortalecimento da segurança de softwares em todo o mundo. Referência para quem quer estudar mais sobre o segurança de aplicações - ou até mesmo ingressar em uma carreira em na área - a OWASP é recheada de documentações para quem quer se inteirar mais sobre o tema. Além disso, ela promove eventos - tanto globais quanto regionais. Os regionais ficam a cargo de cada “capítulo” da Organização, que é como são chamadas as divisões locais. Nove dos 270 capítulos da OWASP ficam no Brasil, portanto, procure o mais perto de você. Certamente será uma oportunidade de interagir com outros profissionais, aumentando sua rede de contatos e também a troca de conhecimento. A OWASP mantém ainda uma lista com as 10 principais categorias de riscos em aplicações Web, juntamente com os métodos mais eficazes para lidar com eles. Aqui você encontra um material sobre a última atualização destes riscos, que aconteceu recentemente, em 2021. 3 - Participe de comunidades online sobre o tema Busque comunidades online sobre o tema, para estar em contato com quem já vive o Desenvolvimento Seguro no dia a dia. Familiarize-se com as principais referências sobre o tema e siga-os em suas redes sociais, participe dos webinars gratuitos que oferecem. A Conviso, por exemplo, lança quinzenalmente o Code Challenge em sua conta no Twitter, onde especialistas do time de Pentest as a Service criam desafios para que a comunidade se engaje. Já no Slack, existe também uma comunidade focada em DevSecOps, onde profissionais de todo o mundo têm abertura para conversar sobre o tema. 4 - Entenda que os estudos e treinamentos precisam ser contínuos Sim, os estudos são essenciais. Afinal, apenas com conhecimento é que a jornada de desenvolvimento seguro ficará com pilares sólidos. Se você já trabalha com desenvolvimento, ou mesmo com gestão nesta área, é essencial entender a importância de promover treinamentos relacionados aos temas de segurança para todo o time envolvido no projeto. E estes treinamentos não devem ser realizados pontualmente, e sim, constantemente, para acompanhar a evolução do mercado. E neste processo, o papel do Security Champion - já escrevemos sobre este tema por aqui - é essencial. Inscreva-se na Newsletter da Conviso para receber informações sobre AppSec e Desenvolvimento Seguro.
  5. Ao longo dos últimos meses, nós temos compartilhado uma série de artigos sobre o universo da Segurança de Aplicações. A boa notícia para quem se interessou pelo assunto e quer se aprofundar ainda mais no tema é que a Conviso disponibilizou de forma integral e gratuita em seu canal de YouTube o treinamento AppSec Starter - um curso inicial de conscientização em AppSec. Para quem tem interesse em se aprofundar mais sobre Desenvolvimento Seguro e gosta de aprender por meio de cursos, é uma ótima oportunidade de ingressar no universo da AppSec por meio de um curso criado por profissionais que vivem o tema no dia a dia. Além disso, por já estar 100% disponível na íntegra, é possível encaixar as aulas nos horários que melhor se adaptarem na rotina de cada aluno. O treinamento é composto por um total de 15 vídeo-aulas, onde conceitos introdutórios são abordados - em linguagem acessível - pelos especialistas da empresa. Ao longo dos vídeos, temas como Modelagem de Ameaças, Owasp Top 10 e Testes de Segurança de Aplicações são abordados. Para conferir o programa detalhado das 15 aulas, clique aqui. O curso foi criado originalmente para facilitar a entrada de novos colaboradores da Conviso em uma cultura de AppSec. Agora, ele está aberto e acessível na íntegra para que qualquer estudante ou profissional com interesse em aprender mais sobre o tema possa ingressar nos conceitos iniciais de AppSec. 🤗 Público-alvo do treinamento Qualquer estudante ou profissional de áreas relacionadas a tecnologia que tenham interesse no tema podem se beneficiar com o treinamento. No entanto, é altamente indicado para profissionais envolvidos com desenvolvimento de software, que certamente poderão tirar máximo proveito das informações contidas no curso. Se você consumir o treinamento, não se esqueça de deixar seu feedback nos próprios comentários do canal do YouTube da Conviso, para que mais treinamentos possam ser disponibilizados no futuro. E caso você conheça alguém que se interesse pelo treinamento, não deixe de compartilhar esse conteúdo! 😉
  6. Você ainda acha que a função de um analista de segurança é restrita apenas a Pentest? Então este artigo é para você. Afinal, esse é um dos erros mais comuns de profissionais em início de carreira. É claro que Pentest é, sim, uma parte essencial na segurança de aplicações. Mas AppSec vai muito além do Pentest! Na primeira parte deste artigo sobre carreiras em AppSec, abordamos alguns papéis como Product Manager - essencial em empresas de produto, como é o caso da Conviso - bem como profissionais de Sales e de Engineering. Nesta segunda parte, vamos abordar as diferentes possibilidades de direcionamento de carreira que um Analista de Segurança da Informação pode seguir. Na Conviso, por exemplo, há três times diferentes de Professional Services em que um Analista de Segurança da Informação pode trabalhar: PTaaS - Pentest as a Service, Consulting e MSS - Managed Software Services. Isso porque a empresa trabalha com as melhores práticas de segurança de aplicações e, para isso, entre suas ferramentas, utiliza também o modelo da OWASP SAMM, que sugere um conjunto de práticas de segurança que atende todo o ciclo de vida do software. Desenhando soluções seguras O Omayr Zanata (foto ao lado), que é Tech Lead do time de Managed Services, explica que a área de MSS atua em três dos cinco pilares propostos pelo SAMM - Design, Implementação e Verificação. No pilar de Design, por exemplo, ele conta que o time de MSS atua ajudando o cliente a desenhar uma solução pensando em segurança desde o início. "A gente bola a parte da arquitetura segura, executa a modelagem de ameaças, e elencamos os requisitos de segurança necessários, para desenhar uma arquitetura segura. Tudo isso em parceria com o cliente, para garantir a segurança da aplicação desde o início - que é justamente o que manda o famoso conceito Shift Left", explica. "A segurança tem que ser pensada na etapa desde os desenhos iniciais de arquitetura", reforça. Na parte de Implementação, entra a segurança no DevOps, com o building seguro, o deploy seguro e a gestão dos defeitos, por exemplo. Já na fase de Verificação é quando é realizado o Assessment de Arquitetura, bem como os testes baseados em requisitos e os testes de segurança, como por exemplo SAST, DAST, SCA - que, aqui, são automatizados, diferentemente dos Pentests e Code Review, que são manuais. Quanto ao perfil de analista que atua na área de MSS, Omayr explica que é bastante importante que o analista tenha background de desenvolvimento e dois perfis são bastante interessantes para a atuação na área: o primeiro é um perfil mais orientado a DevOps e um segundo perfil mais orientado à arquitetura. "Muita gente acha que precisa ter experiência em pentest para atuar com segurança, e na verdade, os maiores diferenciais nessa área são o background de desenvolvimento e experiência com desenhos de arquitetura, cloud, microsserviços e esteiras de desenvolvimento", afirma. Ele conta ainda que uma boa dica para quem busca uma colocação na área é ganhar familiaridade com o modelo da OWASP SAMM e o OWASP ASVS. Quer trabalhar com o Omayr? Confira as vagas no time dele! Treinamentos e capacitações Dentro dos pilares do SAMM, a área de Consulting é voltada para de Governança e Operações - e atua também em Design. Neste time, o Analista de Segurança tem em sua rotina inúmeras atividades que abrangem desde uma documentação de procedimentos até a condução de treinamentos; além disso, deve prestar uma assessoria aos clientes internos e externos em relação às soluções e boas práticas de desenvolvimento e gerenciamento de segurança em seu ambiente. Evandro Pinheiro de Oliveira (foto o lado), que é Analista de Segurança, conta que faz parte do seu dia a dia na área ministrar treinamentos para os times, com a estratégia de formar Security Champions. Isso significa preparar materiais, capacitar pessoas. Ele também atua na parte política, de dar consultoria no suporte a regras e normas - isso tudo o que faz parte do pilar de Governança do SAMM. Já na fase de Design, atuam com o levantamento de Requisitos, aplicando uma estratégia de análise de ameaças, que ocorre na construção de software. No pilar de Operações, é feita a observação de indicadores. “Para trabalhar em Consulting, o pessoal precisa ser mais comunicativo, justamente por estar mais no dia a dia com o cliente - além, é claro, do conhecimento técnico necessário, uma vez que ainda é essencial conhecer as lógicas de programação, para falar com propriedade, embasamento”, reforça. Ele conta que embora o time conte com profissionais de experiências variadas - de júnior a sênior - trata-se de uma excelente porta de entrada para o mercado de AppSec, justamente por exigir de pesquisas e estudos constantes sobre todo o ciclo de desenvolvimento - assim, o profissional consegue ter uma melhor compreensão de qual área ele se identifica mais. E o próprio Evandro é prova disso - ele trabalhou por 10 anos com desenvolvimento e tinha paixão por Segurança de Aplicações. Estudou bastante, buscou se familiarizar mais com os conceitos da área e foi atrás de uma colocação no mercado - e foi assim que chegou até a Conviso. É claro que tem vaga nesse time, né? Saiba mais! E, enfim, o Pentest! Heitor Pinheiro(foto ao lado), Tech Lead da Área de Pentest as a Service, conta que neste time, em específico, os analistas exercem três grandes práticas: Operations; onde executam todos os projetos, nos mais variados contextos e escopos possíveis. “Resumidamente o objetivo é entregar valor aos nossos clientes através da identificação de vulnerabilidades”, afirma Heitor. A segunda prática é Research, onde os profissionais fazem pesquisa de vulnerabilidade em softwares e serviços utilizados de forma abrangente, buscando proporcionar aprimoramento técnico e comercial através do compartilhamento dos resultados obtidos. Já a terceira se chama Tooling, e eles contam com a ajuda de especialistas em automações, onde eles são responsáveis por nos prover recursos que nos permite operar em alta velocidade e em larga escala. “Um exemplo básico é auxiliar outras equipes especializadas em segurança em seus esforços de automação, definir e possuir métricas e KPIs para determinar a eficácia das automações criadas”, detalha. “De forma muito geral, para atuar em um time de Pentest, o profissional precisa ter uma boa base em desenvolvimento de software/aplicações, redes, sistemas operacionais e muita vontade de aprender, pois nesse universo existem novos desafios todos os dias”, aconselha. Outra dica que ele dá para quem busca trabalhar na área é arriscar-se. Segundo o Tech Lead, boas formas de fazer isso são participando de competições de CTF, contribuindo para a segurança de um projeto open-source; ou mesmo mantendo um projeto ou blog sobre o tema. “Através desses desafios, é mais rápido e divertido de entender o que funciona no mundo do AppSec - e também é uma forma de conseguir maturidade com casos reais”, conclui. Curtiu? Então vem trabalhar com o Heitor!
  7. A presença de Security Champions nas equipes de desenvolvimento pode trazer uma visão mais estruturada acerca da segurança de aplicações. Além disso, ele pode ser um grande influenciador da cultura de segurança dentro da empresa. Mas você sabe qual é o papel deste profissional? Conversamos com o Rodrigo Maués, Tech Lead na Conviso Application Security, para entender melhor quem é e qual o papel do Security Champion dentro de um time de segurança. O que é o Security Champion De acordo com Maués, dentro de empresas que produzem softwares, é comum existir um atrito ocasional entre duas áreas. Para a área de desenvolvimento, as equipes de segurança são pontos de gargalo dentro de um processo já bem pressionado e com prazos apertados. Do outro lado, temos as equipes de segurança que, por vezes, entram em conflito ao buscar introduzir mais segurança nos produtos entregues pelos desenvolvedores. “Este conflito nem sempre é facilmente solucionado, pois vai contra algo que, do ponto de vista comercial, é bem mais forte que a validação de um código: as demandas de um mercado cada vez mais inovador e ágil”, contextualiza o Tech Lead. É aí que entra o papel do Security Champion. No mundo de Segurança de Aplicações, entendemos os Security Champions como sendo os membros das equipes de desenvolvimento que receberam treinamento específico para atuar como ponto focal de segurança de aplicações dentro do time. Quando um membro do time de desenvolvimento se torna um Security Champion, ele estabelece uma melhor comunicação com seus pares e muda a cultura do desenvolvimento de dentro para fora, já que acessa a mesma linguagem dos membros envolvidos na produção do software. “Desta forma, o time de Desenvolvimento consegue compreender muito melhor a informação passada, uma vez que recebe o conhecimento de um dos seus”, esclarece Maués. Ou seja: o Security Champion trabalha como uma ponte entre as duas áreas, de forma conciliadora, para garantir que a cultura da segurança seja mantida sem desgastar as equipes. Quais as responsabilidades de um Security Champion? Entre as principais responsabilidades dos Security Champions está a mudança cultural dos desenvolvedores, que devem passar a ter um olhar mais cuidadoso no trabalho de codificação, aplicando as melhores práticas de desenvolvimento seguro e buscando ter um olhar cada vez mais focado em segurança desde o início da criação de seus produtos. Um Security Champion, de forma geral, é um transformador cultural para as equipes de desenvolvimento, e atua também como uma ponte de ligação entre as áreas de desenvolvimento e de segurança. “É ele quem consegue manter um entendimento dos dois mundos, amenizando os conflitos e disputas”, esclarece Maués. Algumas atividades comuns do dia a dia de um Security Champion são: Ajudar na realização de revisões de segurança; Ajudar com a observação de melhores práticas de segurança; Desenvolver Modelagem de Ameaças para aplicativos novos e em evolução; Participar de movimentos de P&D – Pesquisa e Desenvolvimento; Orientar na identificação de requisitos de segurança; Avaliar e estudar bugs em código; Servir de elo de contato entre as demais equipes da área de segurança. No entanto, é muito importante ressaltar que o Security Champion não realiza essas tarefas sozinho. Tudo é feito em colaboração com o time! Afinal, o papel do Security Champion não é o de centralizar o conhecimento - e sim, de disseminá-lo nas equipes. Como se tornar um Security Champion? Existe um perfil específico? É comum que Security Champions sejam desenvolvedores treinados e devidamente capacitados para suportar as iniciativas de segurança. No entanto, isso não é regra - é possível que profissionais egressos de outras áreas, mas com algum conhecimento em desenvolvimento, recebam treinamento para atuar como Security Champions caso cumpram outros requisitos. De todo modo, é preciso ressaltar que Security Champions não são profissionais de segurança de aplicações que são focados exclusivamente em segurança. Essa confusão é muito comum, mas é uma concepção errada. A escolha dos Security Champions dentro de cada time gera uma noção de pertencimento e ajuda no trabalho com os desenvolvedores. É imprescindível um trabalho cauteloso, que começa por um mapeamento de times. Para isso, é preciso identificar e capacitar membros dos times de desenvolvimento que tenham esse perfil, para que atuem como facilitadores de segurança. E este papel exige características comportamentais, como iniciativa e autogestão. Mas caso você sinta afinidade com essa carreira, esse já é um ótimo indício! Vagas na Conviso A Conviso, mantenedora aqui do Mente Binária, está com muitas vagas abertas. São vagas para áreas variadas dentro da empresa - de Desenvolvedor a Analista de Segurança da Informação. Caso você sinta afinidade com a especialidade da Conviso - Segurança de Aplicações - não deixe de se inscrever, ou mesmo de se cadastrar em nosso banco de talentos. É só clicar no botão abaixo:
  8. O que faz? Existem vários desdobramentos profissionais nessa carreira, normalmente envolvendo programação segura, revisão de código em busca de bugs de segurança e pentest. Que tipo de empresa contrata? Consultorias que ofertam tal serviço, fábricas de software interessadas em entregar softwares mais seguros para o mercado, dentre outras. Materiais obrigatórios Banco de dados Python Go Web Materiais desejáveis Infraestrutura C/C++
×
×
  • Create New...