Baixe o app para aproveitar ainda mais
Prévia do material em texto
Ataques Hackers têm se intensi�cado e inovado, e muitos tipos de ataques têm se tornado padrões. Estar preparado para eles é um dos itens mais importantes atualmente. Vamos tratar de alguns dos tipos desses ataques e ver como negligenciar essa área pode custar muito caro. Durante a pandemia da Covid-19, o número de ataques foi maior que os últimos 15 anos somados. Alguns desses ataques causaram enormes prejuízos, alguns até causaram problemas diplomáticos entre países. A seguir vamos ver alguns dos principais ataques utilizados: Um dos ataques mais difundidos ultimamente, que se trata de roubar e criptografar os dados da vítima, exigindo um pagamento para que seja descriptografado (MORAIS, 2021). Grandes empresas, cada vez mais, têm sido vítimas desse tipo de golpe cibernético. Ransoware Ataques de Força Bruta Phishing Cryptojacking Keylogger e Screenlogger Ferramentas DevOps de segurança Agora que vimos alguns dos principais ataques, vamos pensar como eles afetam esse ciclo de desenvolvimento usando DevOps e quais ferramentas existem para nos ajudar a mitigar os problemas de segurança. Um problema comum que ocorre no desenvolvimento de software é o desenvolvedor só se preocupar com a funcionalidade, desprezando o quesito segurança que, na mente de muitos desenvolvedores, não é uma preocupação dele, mas de uma equipe especí�ca para isso. Ledo engano, pois, a cada linha de comando inserida ao desenvolver um software, temos que pensar como aquela funcionalidade pode estar criando uma brecha de segurança que pode inviabilizar todo o projeto. Por tudo isso, hoje em dia, costuma-se utilizar o termo DevSecOps, que seria entender que a segurança deve permear todo o ciclo de DevOps, em todas as suas etapas. Dentro do DevSecOps, as ferramentas usadas para segurança são chamadas Application Security Testing (AST), ou Testes de segurança de aplicativos (�gura a seguir). Essas, por sua vez, são divididas em diversas categorias, que dependem de onde estão sendo utilizadas e para qual �nalidade. Infraestrutura Ágil Segurança e centralização de logs em ambientes de infraestrutura ágil Você sabia que seu material didático é interativo e multimídia? Isso signi�ca que você pode interagir com o conteúdo de diversas formas, a qualquer hora e lugar. Na versão impressa, porém, alguns conteúdos interativos �cam desabilitados. Por essa razão, �que atento: sempre que possível, opte pela versão digital. Bons estudos! https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-1 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-1 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-1 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-2 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-2 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-2 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-3 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-3 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-3 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-4 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-4 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-4 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-5 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-5 https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-5 Pirâmide das Ferramentas de AST Fonte: elaborada pelo autor. Análise de Composição de Software (SCA) Todo software desenvolvido, atualmente, utiliza bibliotecas que não são por padrão criadas pelo desenvolvedor. Usar itens que já foram criados auxilia na produtividade, já que não é necessário �car quebrando a cabeça para inventar aquilo que já existe. Sabendo disso, entendemos também que essas bibliotecas importadas para o código podem conter vulnerabilidades. Para veri�car isso existem ferramentas do tipo SCA, que buscam dentro do código bibliotecas importadas que possuem vulnerabilidades conhecidas e também veri�cam se estão em conformidade com as licenças utilizadas na empresa. Podemos citar algumas delas como: Whitesource FOSSA Sonatype BackDuck Varredura de segurança de banco de dados Essas ferramentas fazem uma varredura em banco de dados para veri�car falhas que podem afetar a sua segurança, como versões desatualizadas, patches não aplicados, senhas fracas, erros de con�guração, problemas com ACL (listas de controle de acesso), e muito mais. Podemos citar: • Scuba; • MSSQL DataMask; • BSQL Hacker; • Oracle auditing tools. Vimos alguns tipos de ataques comuns na atualidade, e como devemos con�gurar nossas pipelines para analisar nossa aplicação, desde as primeiras linhas de código até a entrega �nal no servidor. Para ser um pro�ssional completo, pense, questione: O que você está incluindo é seguro? Está abrindo alguma brecha de segurança? Contém vulnerabilidades conhecidas? A versão está atualizada com os patches de segurança? Como tornar meu código mais seguro à medida que o desenvolvo. Esse tem que ser um trabalho em conjunto, entre desenvolvedores e pro�ssionais de operações.
Compartilhar