inf_agi_u4s2_ld_wa

Prévia do material em texto

Ataques Hackers têm se intensi�cado e inovado, e
muitos tipos de ataques têm se tornado padrões. Estar
preparado para eles é um dos itens mais importantes
atualmente.
Vamos tratar de alguns dos tipos desses ataques e
ver como negligenciar essa área pode custar
muito caro.
Durante a pandemia da Covid-19, o número de ataques foi maior que os últimos 15 anos somados.
Alguns desses ataques causaram enormes prejuízos, alguns até causaram problemas diplomáticos entre países. A
seguir vamos ver alguns dos principais ataques utilizados:
Um dos ataques mais difundidos ultimamente, que se trata de roubar e criptografar os dados da vítima,
exigindo um pagamento para que seja descriptografado (MORAIS, 2021). Grandes empresas, cada vez mais,
têm sido vítimas desse tipo de golpe cibernético.
Ransoware Ataques de Força Bruta Phishing Cryptojacking Keylogger e Screenlogger
Ferramentas DevOps de segurança
Agora que vimos alguns dos principais ataques, vamos pensar como eles afetam esse ciclo de desenvolvimento
usando DevOps e quais ferramentas existem para nos ajudar a mitigar os problemas de segurança.
Um problema comum que ocorre no desenvolvimento
de software é o desenvolvedor só se preocupar com a
funcionalidade, desprezando o quesito segurança que,
na mente de muitos desenvolvedores, não é uma
preocupação dele, mas de uma equipe especí�ca para
isso. 
Ledo engano, pois, a cada linha de comando
inserida ao desenvolver um software, temos que
pensar como aquela funcionalidade pode estar
criando uma brecha de segurança que pode
inviabilizar todo o projeto. 
Por tudo isso, hoje em dia, costuma-se utilizar o termo DevSecOps, que seria entender que a segurança deve
permear todo o ciclo de DevOps, em todas as suas etapas.
Dentro do DevSecOps, as ferramentas usadas para segurança são chamadas Application Security Testing (AST), ou
Testes de segurança de aplicativos (�gura a seguir). Essas, por sua vez, são divididas em diversas categorias, que
dependem de onde estão sendo utilizadas e para qual �nalidade.
Infraestrutura Ágil
Segurança e centralização de
logs em ambientes de
infraestrutura ágil
Você sabia que seu material didático é interativo e
multimídia? Isso signi�ca que você pode interagir com o
conteúdo de diversas formas, a qualquer hora e lugar.
Na versão impressa, porém, alguns conteúdos
interativos �cam desabilitados. Por essa razão, �que
atento: sempre que possível, opte pela versão digital.
Bons estudos!
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-1
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-1
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-1
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-2
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-2
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-2
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-3
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-3
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-3
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-4
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-4
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-4
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-5
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-5
https://conteudo.colaboraread.com.br/202102/DISCIPLINAS_EAD/INFRAESTRUTURA_AGIL/U4/S2/index.html#tab-5
Pirâmide das Ferramentas de AST
Fonte: elaborada pelo autor.
Análise de Composição de Software
(SCA) 
Todo software desenvolvido, atualmente, utiliza
bibliotecas que não são por padrão criadas pelo
desenvolvedor. Usar itens que já foram criados auxilia
na produtividade, já que não é necessário �car
quebrando a cabeça para inventar aquilo que já existe.
Sabendo disso, entendemos também que essas
bibliotecas importadas para o código podem conter
vulnerabilidades. 
Para veri�car isso existem ferramentas do tipo
SCA, que buscam dentro do código bibliotecas
importadas que possuem vulnerabilidades
conhecidas e também veri�cam se estão em
conformidade com as licenças utilizadas na
empresa. Podemos citar algumas delas como:
Whitesource
FOSSA
Sonatype
BackDuck
Varredura de segurança de banco de dados 
Essas ferramentas fazem uma varredura em banco de dados para veri�car falhas que podem afetar a sua
segurança, como versões desatualizadas, patches não aplicados, senhas fracas, erros de con�guração, problemas
com ACL (listas de controle de acesso), e muito mais. Podemos citar:
• Scuba;
• MSSQL DataMask;
• BSQL Hacker;
• Oracle auditing tools.
Vimos alguns tipos de ataques comuns na atualidade, e
como devemos con�gurar nossas pipelines para
analisar nossa aplicação, desde as primeiras linhas de
código até a entrega �nal no servidor. Para ser um
pro�ssional completo, pense, questione: 
O que você está incluindo é seguro? Está abrindo
alguma brecha de segurança? Contém
vulnerabilidades conhecidas? A versão está
atualizada com os patches de segurança? Como
tornar meu código mais seguro à medida que o
desenvolvo. Esse tem que ser um trabalho em
conjunto, entre desenvolvedores e pro�ssionais
de operações.