Joas Santos: Hackeando para proteger - Segurança Ofensiva - PODCAFÉ TECH

Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
Speaker 1 (00:13):
Música.
Muito bem, muito bem, muito bem.
Estamos começando mais umPodcafé Tech.
Meu nome é Anderson Fonseca, oMr Anderson, diretor executivo
lá na ACS Pro, e o meu codinomehacker era MegamanX.

Speaker 2 (00:38):
Aqui é Guilherme Gomes, diretor executivo na ACS
Pro, e o meu codinome hacker eraKumar.
Ah, sensacional.

Speaker 3 (00:46):
Era ou é né.

Speaker 2 (00:48):
Que é Diogo Junqueira , ceo da ACS Pro e da AC Cyber
Pro, e é pra mim um prazer estarnovamente na sexta temporada
aqui com meus colegas.
Estava sentindo saudade do seu.
Muito bem, muito bem, muito bem, mr Anderson.

Speaker 1 (01:03):
Surdecendo a galera.
Essa energia, essa energia.

Speaker 2 (01:08):
E o nosso convidado de hoje já esteve conosco em
outras temporadas.
Vou deixar ele mesmo seapresentar é uma fera.

Speaker 3 (01:14):
Opa.
Então sou o Joás Antônio dosSantos e quero agradecer por
estar aqui novamente nessepodcast maravilhoso.
Agradecer éional Enquanto vocêtiver nossos dados, você vai
continuar chamando pra cá.
A gente não tem opção.

Speaker 2 (01:31):
A gente tem que chamar ele sempre.
É o cara precisa ter mais umlivro, Fica tranquilo É
obrigatório né.
Não pode vazar o que tem na mãodele.
Com certeza, antes de a genteaprofundar um pouco o Joás, o
Pote de Caf café agora é pote decafé tech, o que aconteceu Me
conta.

Speaker 1 (01:48):
O pote de café agora é tech, Como é que é o slogan do
agro.

Speaker 2 (01:52):
O pote de café é pop, é tech é tudo né É isso Dá um
de ver essa história cara, jáfaz um tempo que não cabe dentro
da TI tudo que a gente falaaqui.

Speaker 1 (02:06):
A gente tem ido muito além.
a gente tem falado sobre tantacoisa que vai além de gestão de
TI apenas e é assunto deinteresse dos nossos ouvintes,
da gente.
a gente bate um papo aqui sobrecoisas que nos interessam.
Então o nome Tech veio praabraçar e ampliar muito mais
essas redes de possibilidades.

(02:26):
E vai além, vai além.
Não é só isso, ele também vemcom uma nova linha de coisas.
Agora a gente está com redessociais.
tem loja do Podcafé Tec, temloja do Podcafé Tec, tem loja
São essas camisetas bonitinhas.

Speaker 2 (02:45):
Tem caneca o negócio é cheio de larulero.

Speaker 1 (02:48):
A temporada vem com um monte de novidades e o que
marca essa transição é que agoranós somos Podcafé Tech.

Speaker 2 (02:57):
Sensacional.
Muito bem, joas, cara me contaaí pra gente.
Tem gente que ainda não teconhece, tem gente que já te
conhece pra caramba.
Mas eu tenho certeza que vocêsempre conhece as outras pessoas
mais do que elas te conhecem,por que será né Por algum motivo
.
O Joás chegou aqui na portaria,cara a mulher falou você já tem
cadastro, já veio aqui?
Não, aí.

(03:17):
O cara a mulher falou mas vocêjá tem cadastro.
Eu falei preocupa, não, jádeixei meus dados prontos Porque
tá pronto né Basicamente.
ele não perde tempo, Mas contapra gente, cara, como é que você
entrou nesse mundo louco dacibersegurança?
Dá uma pequena introdução aípra galera de quem é o Joás.

Speaker 3 (03:32):
Perfeito.
Então, bom pessoal, sou o JoásAntônio dos Santos.
Né Então, deixando aqui É claro, né A gente tem, eu trabalho
com segurança ofensiva já tem umbom tempo.
Então hoje eu estou liderandoum time de Red Team numa
consultoria.
Atuei em outras empresas também.

(03:52):
Como estou percorrendo essacarreira de segurança ofensiva
Red Team, pentash mas também jáfiz outras coisas também.
Não só fiquei limitado à áreade segurança ofensiva, já fiz
Blue Team, grc, segurança emcloud, devsecops, então já
percorri por várias áreas queessa é a graça.
Né Cybersegurança não é só umaárea, não é só Red Team, não é

(04:14):
só Blue Team.
Eu vejo o Cybersegurança comoum ecossistema completo e eu
acho que todo profissional temque ser um profissional completo
, independente de qual área eleesteja.
Então minha jornada, minhacarreira foi em cima de red team
.
Hoje eu sou profissional de redteam, mas eu sempre embarquei
em outras áreas e bom, acho quemuita gente deve me conhecer

(04:38):
pelo carinha que eu compartilhomuita coisa ali no LinkedIn, em
redes sociais.
Caralho, procuradoria top.
Olha, eu gosto assim.
Então já faço esse trabalhocontribuidor da Mitri do Mitri
também tem comum eu fazeralgumas contribuições aí pra
algumas organizações eu gosto,sem fins lucrativos, nada do

(05:00):
tipo, mas a paixão pela área decyber, a paixão por essa área
que basicamente não vejo só comoum meio de ganhar dinheiro,
ganhar pão, mas a forma de vocêcolocar todas as suas ideias, as
suas loucuras em prática.
Então acho que até para quemtrabalha com cybersegurança vai

(05:22):
entender muito bem A área decyber é uma área que você não
tem limites.
Você tá em qualquer espaço Ecomo aqui a gente tá falando de
tech, né A gente tá cybersegurança, olha pra tudo.
Né Tudo que é tech cybersegurança vai estar lá.
Então a gente tem uma área queé multidisciplinar, uma área que
é vamos dizer que ela éinfinita por si só.

(05:43):
Então essa é a maior graça detrabalhar com o Cyber Segurança,
é algo que eu gosto de fazer ea minha carreira foi em cima
disso.
Né Então comecei a trabalharcom o Cyber.

Speaker 2 (05:55):
Quantos anos você tinha cara quando você começou?

Speaker 3 (05:56):
Quando eu comecei a trabalhar, eu tinha 16 anos,
então eu comecei bem novo.

Speaker 2 (06:00):
Não, não.
Quando ele começou a trabalharTra novo, Não, não.
Quando ele começou a trabalhar,trabalhar já tinha salário, é
outro histórico.

Speaker 3 (06:08):
Quando eu ganhava o meu dinheirinho ali foi com 16.
Fazia pen test.
Então comecei já com essacarreira de fazendo pen test,
invadindo empresas, procurandopor falhas ali.
Né Tudo de forma ética, néSempre a falar isso.
Isso é importante, falar Tudode forma ética E falar.
isso é importante falar e falarnisso, cara, você já tem alguns
livros hoje tá trazendo pragente, ganhou autografados do
pessoal também.

Speaker 1 (06:28):
Sensacional tá aqui a introdução Red.

Speaker 2 (06:31):
Team Operation 2.0 você já tinha escrito 1.0 agora
é o 2.0, conta um pouco maisdesse livro.

Speaker 3 (06:37):
Perfeito.
Esse foi um livro.
Acho que quando eu apresentei oprimeiro no podcast anterior,
era um livro que traz como aessência de como você estruturar
uma área de red team, que faltatalvez essa visão de como os
profissionais que trabalham comred team, os gerentes de uma

(06:58):
forma geral, os executivos nalinha de frente de cyber,
construem essa área dentro dasua organização, dentro da sua
empresa.
Construir essa área dentro dasua organização, dentro da sua
empresa, e que essa área consigaconversar com o negócio, porque
não adianta O Red Team é ah,vou construir um time de Red
Team, colocar meia dúzia dehackers ali com habilidades
multidisciplinares e achar que ésomente isso.

(07:18):
É só dar um terminal e eles vãoinvadir a empresa e já é o
suficiente.
Não existe uma governância portrás esse gerenciamento, os
processos que envolvem o RedTeam, e eu criei esse livro com
essa essência.
Hoje você tem somente conteúdoslá fora sobre o assunto.
Então eu peguei o que tem debom lá fora, reuni e trouxe isso

(07:42):
para o Brasil.
Então eu criei esse livro.
Tive mentoria de grandesprofissionais ali da área de
Reddit de forma internacional.
Peguei conteúdos que eu játinha também desenvolvido,
materiais que isso, os materiaisque eu desenvolvi, eu
reaproveitei e coloquei no livrocom mais detalhes e eu criei

(08:05):
essa série.
Então essa série de introdução,o Reddit in Operations, é uma
série de livros que eu não seiquantos volumes vai ter, mas já
estou indo pro terceiro.
Já está indo pro terceiro jáestou indo pro terceiro
escrevendo o terceiro e oterceiro.

Speaker 1 (08:17):
Prometo que vai ser muito mais prático, né tem um
lance que assim aqui você jánesse Operations 2, aqui você já
saiu um pouco da superfície ejá começou a trazer um pouquinho
da maldade tem ali um poucomais de código, né já tem
entregando umas manhas né e euquero mostrar isso pra galera,
mostrar que o Red Team não é sóo Kali Linux, é só ferramenta

(08:40):
que já tem pronta.

Speaker 3 (08:41):
Não, eu quero mostrar que Red Team, ele é algo, ele é
algo tático, ele é algo queenvolve inteligência por trás.
Se a gente, eu, se vocêsnotarem a capa do livro o
primeiro, o livro que foirepublicado, que é a versão 1.0,
que foi publicado pela editoradialética a capa é um soldado

(09:01):
subindo uma colina pra fincar abandeira de red team ali, ele
mostrando essa construção.
Ele É um soldado subindo umacolina pra fincar a bandeira de
Red Team ali, ele mostrando essaconstrução, ele subindo aos
poucos a montanha, entãocoloquei a bandeira, exato, e aí
esse daqui, ele já indo já praOs soldados, já indo pra batalha
, então indo, começando a Essesenso de ir pra batalha, ir pra

(09:22):
guerra, vamos dizer assim.
E aí o próximo, eu querocolocar já uma capa onde tá
rolando uma guerra, mesmo que éremetendo já a operação na
prática e mostrando que essaexploração e é onde eu vou focar
mais na parte prática, ohacking total ali de uma forma
geral, e então eu quero criar acapa.

(09:44):
Eu quero que a capa conte umahistória, a capa mostre o que o
livro você espera do livro e oconteúdo também que é importante
.
Então eu quero trazer no 3.0essa ênfase mais prática e ir
escalando E aí também dandospoiler, spoiler.
De uma forma geral vai terlivros de Purple Team, outros

(10:08):
livros de Blue Team também,porque não adianta só mostrar o
Red Team, tem que mostrar tambéma parte de defesa, porque hoje,
convenhamos, tem muito livrosobre ataque mas tem pouco livro
sobre defesa ou, principalmente, poucos livros sobre mesclar o
Red Team com o Blue Team.
Né Ter essa conversa ali Quenormalmente a galera O glamour.

(10:29):
Exato O glamour tá no red teamné.

Speaker 2 (10:31):
Todo mundo quer Que vai atacar, que vai fazer as
penetrações e tudo mais, e agalera normalmente não quer ali
ir pro lado mais, não vamosdizer sujo, mas o lado de defesa
, que normalmente é o que táapanhando.
Você não quer ser o que táapanhando, você quer ser o que
tá batendo, né, cara, e assimvocê, falando de Red Team, eu
não sei se é dificuldade quevocê tem pra explicar às vezes

(10:53):
pra profissionais que não temnada a ver da área, o que o
profissional de Red Team faz.
Eu lembro, cara, pouco tempoatrás teve um incidente de
segurança e eu tava explicandopra um grande executivo da O que
que era um profissional de RedTeam, e eu explicava, explicava,
explicava e basicamente tiveuma situação paralela pra ele.
Eu falei, cara, basicamente é oseguinte o Red Team, o
profissional, ele invade seusistema pra provar que ele

(11:14):
consegue invadir seu sistema.
É como se um médico tetransmitisse umas doenças, te
colocasse a doença pra podercurar ela.
Mas não existe, entendeu?
Esse foi o paralelo que euconsegui explicar pro cara.
Eu falei, velho, o cara tavaassim entendeu, tipo, você fala
pra que o profissional vai fazerisso, é pra provar que tem
aquela vulnerabilidade.
Né, cara, exato.
O pessoal às vezes ainda Temmuita gente ainda que não
entende o porquê que tem quefazer isso com?

(11:41):
a censura dessa temporada.
Então não vou fazer essa piadasegura, essa piada segura, essa
piada pode fazer, mas não faça émelhor só pra testar.

Speaker 1 (11:55):
Se ele fez a pergunta antes da piada, não faça, mas
basicamente.
Então, entendendo bem, o RedTeam vai te fuder.
Só pra testar, basicamente isso.

Speaker 3 (12:05):
então, entendendo bem , o Red Team vai te fuder, só
pra testar, né Basicamente isso,não, ele não vai te fuder, ele
vai te provar que dá pra testar.

Speaker 2 (12:11):
Vai te provar que você pode ser fudido Vai chegar
lá e vai dizer assim ó hoje não,mas assim poderia ter
acontecido.

Speaker 3 (12:17):
Quem faz isso é os grupos APTs, os cybercriminosos.
Eles são.
A gente antecipa a situação, agente entende até onde vai esse
buraco, né.

Speaker 2 (12:27):
Cara, você tem muito livro que é programação usando C
, c+ né Sim eu tenho um agora eutô construindo pequenos livros
também.

Speaker 3 (12:36):
É um de desenvolvimento voltado à
segurança ofensiva em C C++, queé uma linguagem que eu gosto né
, e o objetivo é mostrardesenvolvimento de malware,
técnicas de evasão, porque nãoadianta a gente ter lá
ferramenta de segurança e acharque está tudo certo.
A gente pega muitos casos queaconteceram de ferramentas de

(12:57):
segurança serem boas mas elasfalharem.
E quando falham, o que acontece?
isso, que é uma das coisas queo Reddit vai responder se a
ferram quando falham, o queacontece?
Isso, que é uma das coisas queo Reddit vai responder Se a
ferramenta falhar.
Até onde o cérebro criminosopode chegar.
Isso muita gente acabaesquecendo né.
Ah, mas eu confio na minhaferramenta.
Minha ferramenta lá vaifuncionar 24 por 7, mas a gente

(13:18):
viu casos por aí de panesglobais né Por conta de soluções
de segurança.
Então, Não.

Speaker 2 (13:23):
E as próprias ferramentas.
Elas podem haver algumavulnerabilidade na própria
ferramenta que a gente sabe queacontece.
É isso A ferramenta.
Querendo ou não, é umdesenvolvimento e pode acontecer
.
Então é importante você estarcoberto de todos os lados
possíveis.
E esse cara sempre tá pensando.

Speaker 3 (13:37):
Exatamente.

Speaker 2 (13:38):
Na melhoria, na melhoria contínua Ou situações
ainda mais ridículas, como agente pode mencionar o caso da
SolarWinds, que deixou umbackdoor aberto.

Speaker 1 (13:50):
Então assim, literalmente, os caras deixaram
um backdoor.
Havia um caminho para.
Era um construto, não foi umafalha.

Speaker 2 (13:56):
Quer dizer, foi uma falha, foi um vacilo, foi uma
falha lá desde a construção.

Speaker 1 (14:01):
Mas meio que proposital a parada né Não sei
se proposital não cara.

Speaker 2 (14:08):
Eu acho que basicamente alguém foi lá dentro
da linha de produção da paradae fez um ataque.

Speaker 1 (14:12):
Deixou a porta, deixou a porta É mas foi
programado.
Muito bem estudado ali, um dosmaiores ataques.

Speaker 2 (14:17):
Ainda sentido Cara curiosidade Por que C++ ainda é
tão relevante em serversegurança Boa.

Speaker 3 (14:24):
Porque ela?

Speaker 2 (14:24):
assim.
não é uma linguagem popular.
Nós não estamos falando dePython, que está todo mundo aí
toda hora.
Sim, né cara, mas ainda eu vejoque o profissional de
cibersegurança utiliza demais oC C++.

Speaker 3 (14:35):
Por quê?
Tem vários motivos, mas umadelas é por conta de ser uma
linguagem ali que flerta combaixo nível.
E quando a gente quer fazerexplorações a baixo nível, a
linguagem em si é uma das maiscompletas porque é uma linguagem
que, além de ser o pai devárias linguagens de programação
, ela tem muitos recursos pravocê trabalhar ali com baixo

(14:56):
nível, com essa camada que agente chama camada de kernel,
que é onde você conversa com ocoração do sistema operacional.
E é sempre aquela questão né,quanto mais você conversa com o
coração do sistema operacional,e é sempre aquela questão,
quanto mais você conversa com ocoração do sistema e mais
controle você tem sobre ele,mais difícil as ferramentas de
detecção chegarem até lá.
A gente tem o exemplo daferramenta que rolou, o PANI,

(15:19):
que é assim.
Todas essas ferramentas,principalmente de detecção de
endpoint, tem um desafio paraolhar para detecção de endpoint,
tem um desafio pra olhar praessa camada de kernel, essa
camada de baixo nível, porque émuito difícil você chegar a
monitorar esse lugar, que é umlugar obscuro, que você não tem
muita documentação, você não temmuitos detalhes e cada vez mais

(15:41):
os atacantes estão sesofisticando.
E o C, ele se torna essalinguagem favorita do Red Team,
justamente para criar provas deconceito, criar técnicas em cima
dessa camada de baixo nível etambém para dificultar um pouco
da engenharia reversa da análisede malware, dificultar um pouco

(16:03):
da atividade do blue team.
Apesar que hoje C, c++, vocêtem muito recurso de casos de
como você fazer uma engenhariareversa, você reverter aquele
código, entender como elefunciona, mas mesmo assim se
torna uma linguagem muito eficazpara você estar trabalhando com
baixo nível.
E aí, quando a gente vaidesenvolver malware, vai

(16:27):
desenvolver alguma técnica, alinguagem em si se torna a nossa
linguagem mais favorita nesseaspecto, por conta das
bibliotecas, das ferramentas.
Porém não é a linguagem maisideal para você programar
softwares, né Por conta dogerenciamento de memória.
Tem outras falhas de segurança.

Speaker 2 (16:38):
Tem muito bug.
Quem achava que servia só paradesenvolver bug?

Speaker 1 (16:42):
na verdade você não explorado também, né Com certeza
, Cara você me abriu a cabeçaagora que assim, quando a gente
fala de hacking, normalmente agente tá pensando na camada mais
superficial né.
Mas assim você tempossibilidade de explorar
hardware, você tem possibilidadede explorar firmware, você tem
possibilidade de explorar tantasoutras coisas que estão em
outras camadas, nãonecessariamente ali, o que está

(17:04):
em tempo de execução da própriaferramenta que, assim cara, isso
é muito lado para olhar, né.

Speaker 3 (17:12):
Exato Assim.
Hoje a maioria dos ataques vematravés de aplicação web.
Porém, para um escalation,movimentações laterais e etc.
Você tem muita coisa que énível de sistema.
Então você tem lá, vocêcomprometeu o seu alvo.
Você está ali no sistemaoperacional.
O que você faz, você vai sedeparar com antivírus, com EDR,

(17:32):
com DLP, você vai se deparar comfeatures de segurança que os
próprios sistemas operacionaistêm e qual que é a melhor
linguagem para você interagir,apesar que hoje veio linguagens
mais modernas, como o Rush, quehoje é o queridinho da galera do
Red Team porque é uma linguagemque trabalha com baixo nível,
flerta, uma linguagemdesenvolvida ali pela Microsoft

(17:53):
que promete substituir C daqui aalgum tempo não sei quando, mas
hoje a gente tem É candidato néPorque hoje Kernels do Linux,
windows, vários Mac utilizam o Cpor trás.
Então ela está se tornando umaconcorrente e está também.
Você tem uma dificuldade muitomaior de fazer uma engenharia

(18:14):
reversa.
Em Rush Ela tem uma.
Ela tem uma performance e umaotimização do código às vezes
muito melhor que a linguagem C eaté mesmo quando a gente fala
de gerenciamento de memória émelhor que C.
Porém, ainda C se torna umquerido porque você tem muito

(18:34):
mais recurso, muito maisbibliotecas, muito mais exemplos
, muito mais usos práticos deuma forma geral Já tem muita
coisa pronta.
Muita coisa pronta e você flertacom uma linguagem que o próprio
sistema operacional.
Por exemplo, a gente fala dosataques mais recuentes em
Windows ou mais Linux, tambémque usam C, então você consegue
trabalhar com essas bibliotecas.

(18:55):
Essa parte interna do sistemaoperacional, mas de uma forma
geral é o perfeito ponto, essaparte.
A gente só olha o alto nível.
Mas e o baixo nível a gente temmuita coisa.
A gente tem mundo exploração dedrivers que estão vulneráveis.
Você tem exploração do própriokernel do sistema e a gente tem

(19:15):
várias falhas de segurança quegeraram dores de cabeça pro
mundo em geral, que foram feitasem cima de kernel,
vulnerabilidades que foramexploradas em kernel ou em algum
serviço do sistema operacional,com o exemplo o MS-17010, o
EternalBlue que é em cima doprotocolo SMB.

(19:36):
Tudo aquilo dali foi umaexploração em cima, detecção de
vulnerabilidades em cima doserviço, uma análise, uma
pesquisa em cima pra encontrarformas de corromper a memória do
processo, encontrar formas dedigitar o código malicioso e aí,
graças a uma falha como essa,você teve aí o grupo, grupos

(19:58):
APTs explorando, né o gruponorte-coreano explorando ali com
o WannaCry pra ir infectandomilhares de dispositivos.

Speaker 1 (20:06):
Aí deu ruim.
Mais uma vez você me abriu acabeça porque assim, se eu
entendi bem, o cara consegue.
Ele pode estar combinandotécnicas, ele entra a nível de
browser, mas depois que ele estádentro, pra ele lateralizar,
ele começa a explorarpossibilidades em baixo nível
ver qual o hardware, qual osistema operacional, quais são

(20:28):
os buracos que ele consegueexpandir dentro da rede do cara
Exatamente Muitas das operaçõesde rediting até que eu faço.

Speaker 3 (20:37):
a gente segue uma cadeia lógica acesso inicial,
persistência, escalação deprivilégios e etc.
Até chegar ali no objetivoprincipal, percorrendo tudo
aquele que a gente chama decyber keychain, desde o processo
de reconhecimento até oprocesso dos objetivos, que é se
filtrar dados ou criptografaresses dados.

(20:58):
e geralmente o acesso inicialse dá por três fatores uma
vulnerabilidade a nível deaplicação, então se tem uma
aplicação web que estávulnerável, então a gente
encontra uma vulnerabilidade,explora e acessa o sistema e a
partir daí a gente faz asmovimentações laterais, o
pivoting, que é pular de umarede para outra.
Ou a gente faz engenhariasocial, que é o fator principal

(21:22):
na engenharia social hoje.
a criatividade principalmentecom o chat GPT, com IA, você tem
uma criatividade muito ampla,então você utiliza engenharia
social.
ou o terceiro, que é através devulnerabilidades então tem um
dispositivo exposto, um servidorexposto com uma porta, um
serviço que está rodando,vulnerável, a gente explora a

(21:46):
vulnerabilidade e a partir dessavulnerabilidade a gente faz o
comprometimento do ambiente.
Então esses são os três pontosprincipais numa exploração de
vulnerabilidade E aí eu voucolocar o quarto, que agora se
tornou mais comum, que é acadeia de suprimento.
Então, ao invés de atacardiretamente o meu alvo, eu ataco
a cadeia de suprimento dele.

Speaker 2 (22:05):
Que é exatamente o que aconteceu no caso da.

Speaker 3 (22:07):
SolarWinds E aí gera todo esse dano para empresas e
até para outras.
Então, desde que você consegueacessar a cadeia de suprimento,
você consegue acessar qualquerorganização através dela.
Então eu já peguei operações dered team que você atacava a
cadeia de suprimento, vocêcomprometia aquilo que fornecia,

(22:28):
seja a ferramenta de gestão deativos, ferramenta de
gerenciamento de ticket ouqualquer outra ferramenta que
gerencia algo para a empresa, ea partir dela eu só comprometia
o ambiente.
Eu chegava no ambiente que eudesejava ou usava ela aquele

(22:50):
vetor, aquela cadeia desuprimento, como um vetor para
uma engenharia social colocar umphishing, algo ali que a pessoa
clicasse, baixasse, infectava eacabava infectando.
Então hoje você tem muitoscenários, mas esses são pelo
menos os quatro cenários maisutilizados hoje em dia.

(23:12):
E aí, consequentemente, quandoa gente fala de vulnerabilidade,
a gente está falando depesquisadores que fazem, acham
essas vulnerabilidades eencontram esses problemas, esses
zero days, e às vezes essasvulnerabilidades já foram esses
problemas, esses zero days, e àsvezes essas vulnerabilidades já
foram reportadas em algummomento mas não foram atuadas.
Em correção.
Ah, não vamos corrigir porque?

(23:33):
não faz parte, não vamos colocarnossa esteira não tem interesse
.
Só vai ter o interesse nomomento que há uma exploração.
Então você tem muita CVE aíregistrada que às vezes não foi
corrigido, ou tem uma correçãomas não foi divulgada, não
chegou pra galera, ah, corrijaporque é algo crítico.
E aí você vê muita CVS lá, 2020, que sei lá.

(23:54):
Você vê uma reportagem hoje devárias empresas sendo exploradas
, mas você pega a CV que estavasendo explorada, uma CV de 2020,
2016 a gente encontra muitoainda.

Speaker 2 (24:03):
A gente tem um software que faz gestão, que faz
a varredura.
Quando a gente faz a varreduraa primeira varredura é aquele
ataque no coração.
Assim, se o cara vaidescobrindo Windows
desatualizado, vulnerabilidadeque já está há muito tempo lá,
então De browser, então Não e ospróprios, fazendo um pouquinho

(24:25):
de meia culpa aí, porque ospessoais de TI, às vezes a gente
fala muito pra fora, mas àsvezes os próprios sistemas às
vezes já tinha correção e nãofoi atualizado, que já aconteceu
muitas vezes.
Algum plugue tinha ali às vezespra automatizar isso aí né cara
.
Isso aí é fácil de resolver, ésó ligar pro Gomes entendeu, é
isso aí mesmo.

Speaker 1 (24:41):
É uma parada que tem até falado bastante sobre isso.
O que é possível automatizar,não cabe você deixar um humano
fazendo Não mais.

Speaker 2 (24:53):
Imagina em escala, né cara, você ficar atualizando em
escala diversas máquinas.
É quase impossível.
Todo dia tem uma viabilidade,então tem que ser algo A parte
de atualização de patch não temcomo Tem que ser.

Speaker 3 (25:03):
Nós estamos falando de Tem que ser automatizado e
isso no reditinho está sendocomum automatização, uma coisa
que a gente faz no reditinho,até complementando gestão de
vulnerabilidade todo esseprocesso é a gestão da
superfície de ataque, que é algoque é deixado a desejar na
maioria das empresas.
A pergunta que eu faço, até praos executivos que vão assistir

(25:24):
aqui a esse podcast, é você sabecomo está a sua superfície de
ataque?
Você já parou para entender oque está exposto Ou que algum?
vamos supor você tem um time dedesenvolvedores.
Será que eles vão deixar umaAPI, uma chave de API, lá no
GitHub, no GitLab, ou umacollection do Postman, uma senha

(25:46):
chumbada no script é hardcodede tudo.
Então assim será que você temessa noção hoje em dia, você tem
noção de quantos ativos estãoexpostos no Shodan, no Sense,
entre outras ferramentas.
É um problema estar exposto?
não é um problema você nãoestar olhando e você achar que
que tem lá um servidor que todomundo mexe, aí alguém sobe um

(26:08):
serviço vulnerável e bom, já era.
Eu já peguei casos de pen test,assim tem um servidor né em
produção e aí os analistas foramtestar nesse servidor, foram
subir um ambiente de teste eesse ambiente de teste tinha
vulnerabilidades porque elesestavam subindo uma aplicação
pronta, um docker com aplicaçãopronta, porque eles estavam

(26:29):
querendo testar alguma coisa.
Lá foi encontrado, a genteexplorou, tinha um monte de
falha e a gente reportou.
Depois que chegou na hora deapresentar o relatório, ah não,
mas isso daqui era um ambientede teste.
Não sei o que.
Pior ainda, vocês colocaramalgo de teste.
Não sei o que.
Pior ainda, vocês colocaramalgo de teste numa máquina que
está exposta, está em produçãode alguma forma, e isso se torna

(26:51):
um vetor para você acessar asua cloud.
Eu exploro o ambiente de vocês,eu entro no ambiente, eu faço
um escape do Docker, uso umatécnica para escapar do Docker,
sair daquele ambiente decontainer para ir para a sua
máquina física e eu assumir ocontrole da sua cloud E aí, e
como você vai explicar isso proseu?

Speaker 2 (27:10):
Relaxa.
Foi só um vídeo de teste.
Mas foi sem querer, querendo néVocê falou alguma coisa
interessante aí, cara, como éque Tá?
a gente falou de dark web, vocêfalou de investigação.
É muito importante pra isso.
Como é que se dá esse processodentro do Red Team E os cuidados
que o profissional tem quetomar, né Como é que qualquer um
que chega lá e começa a fazer apesquisa.
Não tem um Google, né cara, nãoé assim que funciona.

(27:32):
Conta um pouco pra gente aí,mata um pouco dessa curiosidade
como é que funciona essa partede pesquisa realmente na Dark
Web?

Speaker 3 (27:38):
Excelente, boa pergunta.
Hoje é fato que o red team eletem que consumir de threat intel
, inteligência de ameaça.
Tudo é inteligência, tudo édados, tudo é informação que a
gente coleta e tenta transformarisso em inteligência pra nosso
negócio, pra gente entenderquais são os nossos calcanhares

(28:00):
de Aquiles, as nossas joias decoroa.
E threat intel ele tem queolhar pra vários cenários.
A gente olha pra darkários, agente olha para a Dark Web
também.
A gente olha para essescenários e a Dark Web não é só a
gente falar que a Dark Web éacessar a rede Tor.
Não, não é só isso.
A Dark Web está em Discord, emTelegram, em Signal, em página

(28:22):
que não é indexada no Google.
Por exemplo, você tem fóruns dehacking, de venda de dados, né
que estão aí na Surface.
Então você dá um Google, vocêRecentemente, né esse fórum É,
não tá indexado E alguns até táindexado.
Você pega o exemplo do BridgeFóruns, né que é um fórum que
sempre tá caindo mas é preso umdos donos, mas é igual, é hidra.

(28:46):
Né Você corta uma cabeça, surgeinsetos, então é, e todas elas
estão na Surface.
Mas por quê?
Ah, mas pera aí.
Mas por que tá na Surface?
Porque eles utilizam técnicasde anonimato.
A gente chama de OPSECavançados.
Né, então, hoje tá muito mais.
Hoje você consegue subir umservidor na sua face e
dificultar o seu rastreamento.

(29:07):
Tem recursos para isso, temformas de você fazer isso.
Porque a tecnologia foievoluindo.
Conforme a tecnologia vaievoluindo, o cybercrime vai
evoluindo junto com ela.
Então, quando a gente faz umainvestigação como essa, a gente
tem que pensar o primeiro danossa responsabilidade.
A gente não pode chegar lá é,por exemplo, começa a interrogar

(29:31):
um usuário que vem de base dedados e perguntar olha, você tem
base de dados dessa empresaaqui.
Ah, peraí, ok, mas por que?
ah, não, eu tenho aqui essabase de dados.
Aqui você começa a Você tem quefazer todo o trabalho de
inteligência econtra-inteligência também, mas

(29:51):
tem que ser sábio nesse processo.
Tem muita gente que já querchegar criando uma thread lá no
fórum perguntando ah, preciso,quero comprar bases dessa
empresa aqui Não Monitora, vaientendendo, gera reputação.
Existe todo esse esquema deinvestigação antes.
Né Você tem que se passardespercebido.
Tem fóruns que pra você acessar, você tem que responder um

(30:14):
questionário.
Eles têm uma que até perguntavocê é algum policial ou algo
nesse sentido.

Speaker 2 (30:20):
Você tá com intenção de me prender.
Você tá falando a verdade.

Speaker 3 (30:24):
Então eles sempre vão monitorando toda essa série de
comportamento.
Então você também tem que tercuidado, né Até pra você também
não cair num phishing ali.
Ah, não tem o sim, Olha aqui,toma pra lá.
Aí você clica.

Speaker 1 (30:40):
Clica aqui, né cara.

Speaker 3 (30:41):
Olha, maravilhoso, né Você não sabe quais técnicas
ele tem É um campo minado né,cara Você tem que saber onde
pisar Exato É um campo minadosempre.
Então você tem que tomar cuidado, porque isso também pode gerar
problemas para a sua empresa.
E como que você vai provar quevocê não era a pessoa, que você
não fazia parte do esquema?
né Porque os executivos, oboard não quer, não entende isso

(31:07):
a gente que é de red team queperaí o que ele estava fazendo
nesses fóruns aí porque eleestava olhando, não é porque eu
estava levantando inteligência,estava fazendo contra
inteligência ali também.
Peraí, calma, não quero saber oque você estava fazendo.
Você fez uma ação ali queprejudicou a minha consultoria

(31:27):
que a gente contratou aqui.
Detectou lá alguma coisa?
Não, mas era um teste que euestava fazendo para ver se
alguém se interessava.
Tem muita gente que faz o testeque é o seguinte ah, quero
testar o Threat Intel.
Eu entro no fórum e falo vendodados da empresa XYZ.
Ah, coloca um pseudo dados alida empresa XYZ.
Ah, coloca um pseudo dados alida empresa e fala agora vamos

(31:48):
testar o Threat Intel.
Só que você, se você não fizerisso de uma forma responsável,
você gera um alvo pra suaempresa.

Speaker 2 (31:55):
Você tá chamando atenção porque as vezes o cara
fica tão puto.

Speaker 3 (32:00):
Ele fala é, essa coisa é falsa deixa eu pegar um
verdadeiro peraí, deixa eu temostrar, tá criando um advertise
ali pro seu cliente.

Speaker 1 (32:08):
Toma muito cuidado se você fala assim.
Vendo dados da Coca-Cola,beleza ele tá querendo agora
quando você pega uma empresa XYZe faz isso, você, tá botando
uma mira na resposta do cara.

Speaker 3 (32:22):
Nunca ouvi falar dessa empresa.
Olha, essa empresa processa 100milhões de dados por mês.
Resposta do cara entendeu, Faun, que interessante.
Eu nunca ouvi falar dessaempresa.
Olha, Deixa eu ver aqui.
Essa empresa processa 100milhões de dados por mês.

Speaker 2 (32:29):
Ei, você aí já se inscreveu no nosso canal, já
ativou o sininho dasnotificações E aquele comentário
E as nossas redes sociais.
Você já seguiu a dos apoiadoresda CESPRO, da CESPRO, da
CESCYBER.
Bora, lá, tá tudo aqui nadescrição, cara, aí chegamos no
termo né Decepção cybernética oucyberdeception, cara, que conta

(32:50):
pra gente?
que história é essa?

Speaker 3 (32:51):
Perfeito né.

Speaker 1 (32:54):
Informação falsa Deception e decepção são dois
caminhos diferentes.
É, Então?

Speaker 3 (32:58):
assim, a gente, olhando pra, entendendo um
contexto também de de red team,de dark web, essas coisas, a
gente vai e faz o processo deinvestigação, então a gente
coleta esses dados, a gente trazesses dados pra empresa e traz

(33:27):
inteligência em cima.
A gente coletou dados, a gentetraz com responsabilidade.
Então isso pra concluir oassunto, ali da parte da dark
web.
Agora sobre server deception,esse é um termo que eu como é
que traduz ele em?
português cara decepçãocybernética.

Speaker 2 (33:46):
Decepção cybernética decepção cybernética o conceito
do deception é você gerar umafalsa expectativa em alguém,
como é que a gente traduzirianão tem em português acho que
isso é um assunto meio polêmico.

Speaker 3 (34:04):
Isso é um assunto meio polêmico isso é um assunto
meio polêmico, é uma trairagemmais ou menos o que você está
explicando exato.
Assim é que, de uma forma geral, essa parte de cyber deception
a gente não usa com essa ênfasede cyber deception, a gente não

(34:25):
usa com essa ênfase cyberdeception.
Acho que é um assunto você nãoseria como uma ratoeira digital.

Speaker 1 (34:34):
Você deixa?

Speaker 3 (34:34):
ali uma coisa dando mole mas essa coisa que está
dando mole na verdade é umaarmadilha.
Ela pega quem quer pegar vocêcomo se fosse um ronin pot, uma
roninete ou algo nesse sentido éque isso é referente a.
É que a gente não usa essetermo.
Esse é um termo até que eu jáouvi em alguns lugares, mas não

(34:58):
é um termo que a gente usa, táno nosso cotidiano não faz parte
do nosso cotidiano então como éque tá sendo.

Speaker 2 (35:04):
IAiano, então, e IA cara, como é que tá sendo?
IA Tão utilizando muito IA hojejá em IA Team, cara Bastante.

Speaker 3 (35:10):
Assim, hoje ainda a IA ela tá nesse hype, né Que é
um hype que veio pra ficar, néNão vou nem chamar mais de hype,
é um fato.
É um fato hoje em dia E é hojecada novas tecnologias de IA
mais avançadas.
Então hoje, por exemplo, oJetEPT está criando, tem o

(35:33):
Operator.
Então eu vi muitos casos dagalera usando o Operator para
automatizar testes de segurança,de gestão de SQL, alguns testes
ali, usando IA, um botautomatizado.
Mas também tem até um projetoda própria NVIDIA que eles
criaram, que agora esqueci onome acho que é GARAC, alguma

(35:55):
coisa nesse sentido que é focadopara segurança ofensiva.
Então estão surgindo muitosprojetos voltados à segurança
ofensiva para testar qualidadede código, testar resiliência de
aplicação, criar cenários desimulação de adversário, de
emulação de adversário.
Porém ainda não tem algo tãocompleto que explora uma cadeia
completa de ataque.
Tem empresas que estãoprometendo criar uma IA que

(36:19):
consiga automatizar muitoscenários de ataques dentro de um
pentest de aplicação web.
Tem uma mesmo que já pegouferramenta, o PortSwig Labs, o
Pentest Labs, entre outroslaboratórios, e colocou a IA
para resolver.
Então algumas estão resolvendoali, tem 80% do laboratório já
resolvido.
Então isso só mostra que agente está indo para uma área,

(36:42):
para um mundo que IA, ela não émais um algo que a gente tem que
descartar no nosso dia a dia Eumesmo particularmente util tem
que descartar no nosso dia a dia.
Eu mesmo particularmenteutilizo, eu utilizo bastante.
Principalmente eu crio meuspróprios modelos prontos ali,
coloco o conhecimento que euquero né e uso ela pra me cuspir

(37:03):
resultados, cuspir dados maisvoltados a negócio, cuspir
informações mais precisas decenários de ataques.
Então eu tenho um IaaS que, ah,eu preciso gerar uma campanha,
um script, um script pro AtomicRed Team, por exemplo.
Então eu já criei, já trabalheipra IaaS, gerar esses scripts.

(37:24):
Eu só passo os requisitos E aíeu diminuo o meu tempo
desenvolvendo automação,desenvolvendo scripts de
automações, e eu fico mais naparte de execução e gerar e
consolidar os resultados.
Daqui um tempo eu vejo queconsigo até consolidar melhor os
resultados.
Faz o processo de execução evocê só vai ficar com mais a

(37:45):
parte analítica transcreveraqueles resultados para nível de
negócio.
Mas acho que ainda vai demorar,não muito, mas um pouquinho,
pra gente chegar nesse nível quetá evoluindo rápido, tem certa
resistência tem preconceito comIA.

Speaker 1 (38:02):
Eu vejo essa situação da IA construindo código, você
deixa de ser construtor de pianopra ser pianista, ao invés de
você ir lá fazer toda a base,toda a escritura, pra depois
você compor a música.
Você já tá tudo pronto, ali Vaimuito mais rápido.

Speaker 2 (38:19):
A velocidade é outra.

Speaker 3 (38:20):
E aí até falando até mesmo sobre a IA.
A gente também usa muito IA prainvestigação também.
Então Threat, intel, entreoutras coisas, a gente vai fazer
uma investigação na Deep ouDark.
A gente trabalha com muitosdados.
Então se você tem um LLM, seunão uso algo que você tem ali

(38:46):
pronto dentro do seu ambientecontrolado, você consegue fazer,
minerar os dados que tem ali etransformar aqueles dados em
inteligência, criar indicadoresprecisos para a empresa, para a
gente também, melhorar nossasferramentas.
Então, até dentro deinteligência de ameaça, entre
outros pontos, ia está começandoa se envolver um pouco mais.

(39:06):
Tem profissionais que estãoresistentes, tem outros
profissionais que já usam no diaa dia, porém tem profissionais
que estão resistentes.
Tem outros profissionais que jáusam no dia a dia.
Porém a gente começa a vermuitas ferramentas, até
ferramentas de inteligência,usando essas soluções até pra
gente percorrer, porque é muitacoisa.
Quando a gente fala deinvestigação de uma forma geral,
é muitos horizontes que vocêvai entrar, é muito amplo.

(39:28):
Então IA se tornou algo docotidiano.
Não tem como você falar, nãouso IA até pra coisas mais
bestas.
Assim você pega IA e utiliza,porque eu falo que a IA
substitui o Google né.
Então você não vai mais noGoogle lá e escrever, você vai
no.

Speaker 2 (39:48):
IA ou.
LNM ao invés de perguntar proGoogle, você pergunta pro chat
PT eu fui longe de uma viagem.

Speaker 1 (39:56):
Aqui você falou sobre a capa do teu livro e eu sou um
cara de raiz de design.
Sempre gostei muito.
Você escolheu os soldados praestar aqui, porque estamos em
guerra digital, isso é muitoclaro.
Do teu livro.
Um você escolheu a cena dossoldados levantando a bandeira.

(40:18):
É exatamente a cena do, a fotofamosa, o Raising the Flag, lá
de Hiroshima, que os EstadosUnidos usaram aquela foto
basicamente como propaganda pravender bônus de guerra, cara que
assim já não tinha mais granapra financiar a guerra.
Eles começaram a vender bônusde guerra e o povo começa a
botar dinheiro e aquilo ali foiuma virada de propaganda muito

(40:40):
forte.
E aí o que que me ocorre Sobrered team, sobre investimento em
cibersegurança é precisolevantar essa bandeira de
propaganda também da importânciada cibersegurança, porque para
você angariar investimento agalera botar grana, você tem que
realmente mostrar ali osresultados.

(41:02):
Acho que esse foi o grandelance, a grande virada foi essa.

Speaker 2 (41:06):
E mandando a pergunta dele qual a importância?
porque a gente sempre estábatalhando aqui para tentar
conscientizar os executivos, osboards, o pessoal que não está
de TI, o pessoal que libera agrana para ele conscientizar que
segurança é investimento e nãocusto, não gasto.
Então, qual o papel, na suaopinião, o papel do Red Team
dentro desse contexto,utilizando essa deixa aí do Mr

(41:29):
Anderson, Boa.

Speaker 3 (41:32):
Então, quando a gente olha pra um cenário Hoje Reddit
, é muito difícil você venderpro negócio porque é um mundo
totalmente, é um mundototalmente fora da curva
Comparado a outras áreas decyber.
O Reddit ele chegar e mostrarqual que é o valor do trabalho
dele e pedir budget, pedirinvestimentos, segurança,

(41:55):
ofensiva por si só é até ummundo muito complexo de se
entender, é um mundo muito amplo.
Então, o que eu sempre a gentecomo profissional de redit tem
que estar esperto é comoconectar o redit a um negócio.
Se a empresa tem riscos denegócio mapeados, é um ponto.
Se a empresa tem um plano, um,um BIA, um plano de análise de

(42:19):
impacto de negócio, já é outroponto.
A gente tem que estar sempreolhando para o negócio de uma
forma geral.
Se o reditinho ele trabalhasomente na casinha dele, ah, vou
invadir tudo, vou hackear tudo.
As pessoas vão olhar e falarlegal, isso é interessante, mas
não vai ver um valor em retorno,em investimento, em é como se

(42:43):
você fosse pra uma guerra, masessa guerra você não vê um
resultado.
Por que você tá indo pra essaguerra, por que você tá lutando
essa batalha, se eu não estouvendo um resultado claro?
Então, quando você vai para umabatalha e as pessoas começam a
enxergar o resultado, começam aenxergar que aquela batalha faz
sentido, eles começam a investirmais na sua ideia, na sua

(43:05):
crença Propaganda de guerraExato propaganda de guerra.

Speaker 2 (43:08):
Real guerra é verdade .
Propaganda de guerra deixa eupensar é aí que é por aí que
realmente pode ajudar vocêvender a sua área.

Speaker 3 (43:15):
Vender a área de Reddit é um pouco difícil, não é
muito simples.
Até outras áreas sofrem comisso.
Mas você fazer a melhorpropaganda, mostrar valor ao seu
trabalho como que você mostra ovalor ao seu trabalho.
Você tem que gerar métricas.
Você tem que gerar algoqualitativo, quantitativo.
Você tem que gerar métricas.
Você tem que gerar algoqualitativo quantitativo.
Você tem que gerar algo quedemonstre para a empresa que

(43:35):
você está trabalhando, queaquilo que você faz sentido de
existência, que você não é só apessoa que está ali para hackear
, para invadir coisas.
Você está ali para mostrar paraa empresa que ela está segura
ou que ela tem algum problema.
Mas você tem que saber fazer apropaganda.
Você tem que vender o seutrabalho como um trabalho mais
estratégico possível para onegócio.
Porque se você vende um trabalhonão sendo totalmente

(43:57):
estratégico, mostrar que ésomente um trabalho, que você
está ali só como operacional,como execução, como Não vai ter
verba, não vai vir o dinheiro,não vai vir o budget, apesar que
o Reddit consegue se virar sembudget, consegue de alguma forma
ou outra.
Mas mesmo assim, com budget ascoisas ficam mais fáceis e a

(44:18):
gente fala de grupos APTs, deameaças mais avançadas.
Eles tem dinheiro.
Eles tem mais recursos quemuitas das vezes red teams
dentro de uma empresa, entãoeles testam bem mais.
Tem mais pessoas, tem o focodeles são aquilo.

Speaker 2 (44:33):
É o negócio deles.
É o business deles.
É o business né É um businessbilionário pra quem precisa
Inclusive através da C-Cyberpro.

Speaker 1 (44:42):
Nós temos viajado o Brasil inteiro, estado em
algumas empresas.
Me lembrei do trabalho que foifeito lá em Jaraguá do Sul, lá
na Malve Um abraço para o nossoamigo Alex lá Mas o que eles
fizeram na empresa Eles têm lá asemana de cibersegurança É
sensacional.

Speaker 2 (44:59):
Onde tem né Eu tive o prazer de palestrar lá.

Speaker 1 (45:02):
A galera é bem bacana , abre para a comunidade E fazem
palestras de cibersegurança,elevando o nível de conhecimento
de todo mundo.

Speaker 2 (45:12):
E não só da empresa.
Tá Tem inclusive pra comunidadepessoal em volta bem
interessante.

Speaker 1 (45:16):
Alertando pra o que é o universo de cibersegurança, o
que assim?
porque quanto mais elitizadatambém a informação, mais
complicada e inacessível é até aprópria propaganda.
Sim, eu vejo aqui no nossorelacionamento com gestão, né
Diogo, o nosso CEO, então assimalgumas vezes, diogo, eu acho

(45:38):
que isso aqui vai dar problema,aí ele ah, vai dar nada.
Aí o Gomes vira e fala assim ó,eu também acho, aí ele opa.

Speaker 2 (45:47):
São duas pessoas Pera aí.
E alguma coisa deve estar.

Speaker 1 (45:53):
Então, assim você difundir o conhecimento que às
vezes chegando só do Red Teamtambém chega assim.
Ah, essa galera é pessimistademais.
É exatamente A gente tem queaumentar o investimento em
cibersegurança.

Speaker 2 (46:06):
Apesar de tudo Todo mundo pedindo dinheiro, O
vermelhinho aí chegou né.

Speaker 3 (46:11):
Apesar de tudo, tem uma coisa que é muito
interessante né Acho que a áreade cibersegurança dependendo da
empresa que você está, a áreainteira pode ser uma decepção.
Por quê O olhar para acibersegurança às vezes só vem
como um meio de propaganda?
Ah, eu tenho cibersegurança, eutenho um time de segurança.
Mas e o investimento E osprocessos, como esses processos

(46:35):
são aplicados?
Eles são respeitados?
Os ritos de segurança sãorespeitados dentro de uma
organização?
Não acontece isso Às vezes emalgumas empresas?
Ah, tem o cyber segurança, maso cyber segurança está muito
mais como o apagador de incêndio.
Mas poxa, se eu sei que tem umaafiação solta, se eu tenho algo
que pode causar um incêndio,por que eu não vou lá e corrijo,

(46:58):
não vou tratar.
Não, não espera o incêndioacontecer, que aí você vem, não
espera aí.

Speaker 2 (47:03):
Aí é difícil né cara.

Speaker 3 (47:04):
E aí quando você vai ver o dano, mas primeiro você
sabe o quanto.

Speaker 2 (47:08):
Mas em cyber é muito assim né cara É infelizmente
ainda né cara Nossa ano após ano, a gente continua né lidando
com clientes que é exatamenteisso.
A gente trata o projeto porseis meses, não tem verba.
Aí do dia pra noite surgiuverba.
Você pode ter certeza, cara.

Speaker 1 (47:24):
É muitas vezes é em conta.

Speaker 2 (47:25):
Aconteceu isso a XYZ e a verba apareceu do dia pra
noite.
Isso é muito errado, né cara.
Custa muito mais caro.

Speaker 3 (47:30):
E tem um ponto também que agora eu tinha até uma
frase de um amigo meu que eu atéesqueci, como que era a frase
de uma forma geral mascybersegurança é a área que todo
mundo sabe que precisa.

(47:51):
Você pode ir na rua qualquerpergunta pro pessoal.
Você acredita que tem queexistir.
Cibersegurança é fundamental,cibersegurança é fundamental,
mas na prática é um custo é umcusto, é uma pessoal vê como
custo ainda.

(48:12):
É um custo, é uma chatice, é umaburocracia, é tão burocrático
às vezes, é tão burocrático comose fosse uma fila de lotérica,
como se fosse guia de exame prapassar num convênio.
Essas pequenas burocracias.
Tem carimbado tem Não carimbou,Volta lá do apartamento A mesma

(48:33):
coisa se fosse um cartórioSegurança.
A governança é só o cartório daadesão.

Speaker 2 (48:38):
Lá vem aquele cara chato E bloquear mais alguma
coisa.

Speaker 1 (48:44):
Eu vou te dizer uma outra coisa também que me
incomoda.
A gente vê o nosso dia a dia.
A gente vê no nosso dia a dia,a gente tem ferramentas de
segurança, mas o que acontece?
Vou contar uma história.
Uma vez chegou eu estava com umamigo num bar, aí chegou um
cara pedindo dinheiro.
O cara virou e falou assim Cara, eu estou com fome, preciso
comer Bababá.
Abri a carteira, tirei 20 reais, obrigado, valeu, e foi embora.

(49:07):
O meu amigo falou assim Eujamais faria isso, de jeito
nenhum.
Como que você dá 20 reais, eunão dou 20 reais na mão do
mendigo.
Eu tenho que ver se ele vaicomprar o pão, ou então eu vou
com ele na padaria, compro o pão, compro não sei o que, porque
senão o cara pode comprarcachaça, não sei o que.
Eu falei assim amigo, deixa eute falar uma coisa Eu não sou

(49:28):
consultor de mendigo.
O que ele vai fazer com odinheiro dele com certeza não
vai ser bom, porque senão elenão era um mendigo.
Vamos partir do princípio podenão ser, bom, pode não ser, mas
não cabe a mim ficar velando aexpectativa do cara o cara me
pediu ajuda, eu ajudo e euacredito seriamente que em algum

(49:51):
grau, em algum grau a área desegurança tem que ter liberdade
do que ela vai fazer com a verba, porque às vezes o cara diz
assim não peraí, eu tenho essebudget aqui e o teu especialista
entende que ele tem queinvestir naquilo, e aí você não,
mas peraí, isso aí não éimportante.

(50:12):
Agora O cara que é oespecialista, ele que está
dizendo que é aqueleinvestimento.

Speaker 2 (50:17):
A galera tem que saber realmente priorizar,
porque é muito amplo e oinvestimento vai ser muito longo
.

Speaker 1 (50:23):
Você é um especialista e você quer ser
consultor dele.
Mas assim cara em algum grau éuma faca de dois, uma faca de
dois lados.
Tem que ser avaliado.

Speaker 2 (50:34):
O budget, ele tem que O rating, ele tem que conseguir
explicar pro board o porquê queé importante o investimento.
Cara, ninguém chega a dizerassim ou eu vou te, Não é 20
reais que o cara tá dando é umpouquinho mais, Tem que ser
justificado.
Tem que ser bem explicado.
E quando tem justificado e ocara assume o risco, tudo bem.

(50:55):
Aí o cara de segurança passapra frente, assume o risco.
beleza, O risco é seu.

Speaker 3 (50:59):
Tem um site chamado Red Team Guide.
Ele foi criado por um Eu tô.
Eu ia lembrar o nome do autoraqui Eu vou lembrar pra você.
Ele tem um livro chamado RedTeam Development Operations, que
foi um livro que acho que eraBen Clark.
Se puder pesquisar agora achoque o Ben Clark era do RTFM, mas

(51:22):
ele tem o livro dele.
É muito bom porque ele tambémfala um pouco dessa questão da
área de negócios.
Ele ensina você a criar umaoperação de Red Team,
desenvolver essa operação de redteam e lá e você vê que não é
algo só exclusivo do Brasil,esses problemas Também que eu
queria trazer a gente tem muitagente falando.

Speaker 1 (51:42):
Ben Clark.

Speaker 3 (51:43):
Ben Clark, ele mesmo.
O Ben Clark, acertei.
Ele tem o.
O livro dele é muito bom, é umlivro de cabeceira.
Ele tem o.
O livro dele é muito bom, é umlivro de cabeceira que também eu
recomendo, o meu primeirovolume também.
Eu me inspirei nas obras, nosartigos também que ele tem, e
ele coloca muito essa questãosobre o Red Team, o Red Team

(52:07):
hoje ele é visto como algo que éfundamental para a área de
cibersegurança.
Não tem nenhuma empresa quefala que não precisa de Red Team
.
Hoje é visto como algo que éfundamental para a área de Cyber
Segurança.
Não tem nenhuma empresa quefala que não precisa de Red Team
.
Só que ele é uma de todas asáreas.
Dependendo de como você vendeela, ela pode ser uma área que

(52:27):
todas as outras se beneficiam.
Porque o Red Team está.
Hoje a gente fala de CyberSegurança, a gente fala de risco
E o que que é risco?
né Risco em forma geral, é tudoaquilo que pode te dar um
problema, tudo aquilo que podegerar algo pra sua empresa,
algum dano de forma geral, o queé alguém melhor para comprovar
que aquele risco existe.
O red team, só que se você nãoé um red team que conversa com

(52:53):
as outras áreas, que você tá alimuito isolado na sua caixinha,
você já vai ter um problema evocê também não vai conseguir se
vender pro board, porque comoque o board vai entender o que o
red team faz, como que vaichegar a falar, como que o red
team vai transcrever as entregasdele.
Então as vezes você precisa doendosso de outras áreas para

(53:15):
isso.
Propaganda de guerra, propagandade guerra.
Você não escutou bem a nossapropaganda.

Speaker 1 (53:19):
Essa propaganda foi muito boa, isso inclusive,
deveria se tornar uma fatia daeducação em cibersegurança.

Speaker 3 (53:27):
Propaganda de guerra também é importante, é isso.

Speaker 2 (53:32):
Joás, cara, você está envolvido em outros projetos
que não só é segurança ofensivahoje, né cara, sim, e conta pra
gente como é que você tem vistoaí na questão estratégica,
realmente das empresas na partede cibersegurança, resposta de
ataques, e também conta um poucoo que você tem visto da
evolução da cibersegurança noBrasil nos últimos anos.
Perfeito da evolução dacibersegurança no Brasil nos
últimos anos, perfeito.

Speaker 3 (53:51):
Eu vejo que as empresas ainda são muito
imaturas na hora de responder umataque.
Fica muito daquela coisa Estáacontecendo um ataque, todo
mundo correndo para o lugar.

Speaker 1 (54:02):
Vamos desenhar um.

Speaker 3 (54:04):
Um correndo para cá, outro correndo para lá, Tipo
filme.
Aconteceu um negócio, masninguém sabe o que faz.
Vamos desligar Porque às nãotem um.
Às vezes tem um plano deresposta acidente.
Só que esse plano de respostanão é divulgado, só existe ali
porque não é testado.

Speaker 2 (54:18):
Se não é testado, como é que o povo vai saber?
Você não faz exercícios.
Vamos ler o plano.
Olha, estudar o plano não dá né, cara.

Speaker 3 (54:25):
Tá tudo pegando fogo.

Speaker 2 (54:26):
você lá sentado, vamos Sentado vamos ler o plano
como apagar o fogo.

Speaker 3 (54:29):
Uma coisa que é muito crucial é exercícios de mesa,
né Os tabletops.
Então você criar exercícios deresposta incidente, falar opa,
peraí pessoal.
Esse cenário como que funciona,só que também não pode ficar só
na teoria.

Speaker 1 (54:42):
Aí, é onde entra o red team.

Speaker 3 (54:43):
novamente O red team, ele vai pra A gente chega lá
pra fazer uma simulação deransomware, pra fazer a
infiltração de dados e provar ever qual que é a reação da
galera de resposta incidente, doC-Search de uma forma geral.
Mas eu vejo que ainda tem essamaturidade Muitas das vezes
pergunta pra depois agir Não évocês que estão fazendo o ataque

(55:09):
, Não Bloqueia.
Depois você pergunta foramvocês que fizeram?

Speaker 2 (55:13):
A gente bloqueou.

Speaker 3 (55:15):
Começa a procurar quem que está fazendo o ataque.
Não bloqueia.
Você está vendo o comportamentomalicioso, mas isso não ocorre.
Um outro ponto também um arrum.
Ah, tá acontecendo um incidente.
Abre um arrum, joga todo mundono arrum.
Tá o que vocês tem deinformação desse?
não, a gente não tem nenhumainformação.

Speaker 2 (55:31):
Mas tá todo mundo aqui junto, então beleza, mas
vamos rezar.

Speaker 3 (55:37):
Cadê a galera do Faro , a galera do Cien, a galera do
pegar Cláudio, pegar Logs noCláudio.

Speaker 2 (55:43):
Eles não tão de plantão hoje inclusive vamos
rezarzar.

Speaker 1 (55:47):
Acho que faz parte.
Você pergunta qual a religião?

Speaker 3 (55:51):
do cara que você está contratando do hacker que você
está contratando pode ser útilisso é útil mesmo e você tem
muito nesse, num aspecto geral,essas situações que vão
acontecendo no dia a dia depessoas sabendo qual direção

(56:13):
responder a um ataque porque nãotem playbooks, não tem runbooks
, não tem documentação, não fazexercícios, não faz purple team.
O red team não faz o trabalhodele, não faz o dever dele de
olhar para o que realmenteimporta e o que que as vezes
acontece.
Muitas dessas áreas elascomeçam a brigar.
Red team não faz o trabalhodele, não faz o dever dele de
olhar pro que realmente importaentão e o que que as vezes
acontece.
Muitas dessas áreas elascomeçam a brigar com as outras.

(56:33):
Né poxa, o red team ficagerando fazendo ataques no
feriado.
Não é pra fazer isso.
A gente tá, mas peraí, a gentetá testando como que tá a
eficácia dos controles em várioscenários.

Speaker 2 (56:47):
É sim, cara, eu tô feriado, que a galera tá
queimando Você tem que avisarque você tá fazendo um ataque.

Speaker 3 (56:51):
Mas peraí só avisar, já fica pesado Fazer um gemude
de ataque.

Speaker 2 (56:54):
É isso Então, um gemude de ataque?
É um gemude de ataque.

Speaker 1 (56:58):
Fazer um ataque na hora.
Agora tem uma coisa isso tudoCara.
aqui, por exemplo, nós játivemos longas discussões sobre
o que é um SOC, por quê, qual éa definição de um SOC?
A gente começa com pequenasações de segurança englobadas
ali no serviço.
Cara, isso aqui já é um SOC, tá, mas é pequenininho.

(57:21):
Aí você tem um SOC grande comred team, com blue team, com não
sei o quê, e também chama SOC,entendeu, tipo assim.
peraí, a gente já viu coisasvariando num nível muito grande,
entendeu?

Speaker 3 (57:35):
hoje, quando a gente fala de assim.
Eu talvez não seja a melhorpessoa pra falar de SOC em si,
mas eu acho que tem pessoas comcom nível de qualificações que
trabalham.

Speaker 2 (57:48):
Vivem um mundo de blue team mais do que eu, mas o
que eu posso dizer, eu soucamisa vermelha.

Speaker 3 (57:54):
É, eu sou, eu gosto, eu prefiro, mas o que eu posso
dizer, O negocinho do copo deletá azul.
O produção dele tem que ser odo Gomes É vermelho.
Ele é um time vermelho Eu voufazer o seguinte Eu vou trazer o
ponto pra você sobre o SOC.
Eu vou mudar a abordagem.

Speaker 1 (58:10):
Vamos fazer o seguinte Você, ouvinte, quer
saber sobre SOC.
Você fala com a C Cyber Pro, éisso.
E aí a gente pega a mesma coisa,a mesma pergunta, porque ao
mesmo tempo você aplica ao RedTeam Que assim, quais são os
básicos, o que é o mínimo que umRed Team Tem que ter de
processos Pra ser chamado de aoRed Team.
Sim, que assim, quais são osbásicos, o que é o mínimo que um
Red Team tem que ter deprocessos para ser chamado de um
Red Team, porque se tu botarcinco hackers dentro de uma sala

(58:33):
não quer dizer que você tem umRed Team.

Speaker 3 (58:35):
Exato E eu vou fazer esse paralelo para ambos.
Né Tanto para o Blue Team comopara o Red Team.
Hoje, para um Blue Teamfuncionar para ter um SOC, muita
o team funcionar pra ter um SOC, muita gente.
Ah, pra ter um SOC eu precisoter um CIEM.
Calma, aí é tecnologia, é opilar, só que é tecnologia,
processos e pessoas.
Red Team também é a mesma coisa, também tem tecnologia,

(58:58):
processos e pessoas, só que qualque é o principal?
todo mundo começa pelatecnologia.
Vou contratar milhões desoluções e peraí o processo não
tem o processo, não tem oprocesso, não tem aquela parte
de.
Ah, eu vou desenvolver umprocesso de um processo no meu
SOC.
Designar os processos adequadospro meu SOC, criar playbooks,

(59:24):
criar o processo de engenhariade detecção, ter todo esse
refinamento SOC, criar playbooks, criar o processo de engenharia
de detecção, ter todo esserefinamento das detecções, o que
o meu cliente precisa.
Refinamento das regras.
Então coloca a tecnologia,deixa ela coletando os logs e o
que entregar é isso.
Mas espera, aí eu já pegueicenários com clientes.

(59:46):
Está acontecendo uma coisamuito crítica.
Aqui está acontecendo umí.
Eu já peguei cenários comclientes.
Tá acontecendo uma coisa muitocrítica, aqui tá acontecendo um
ataque.
Deixa eu olhar aqui ó retornoucomo crítico, mas peraí será que
isso é um problema mesmo.
Será que isso não é um falsopositivo.
Ah, não, mas aqui tá aparecendo, aqui tá falando ah, mas é um
SQL Injection.
Beleza, vamos validar quandovocê faz a validação, o SQL

(01:00:06):
Injection.
Beleza, vamos validar quandovocê faz a validação, o SQL
Injection nem existe.
Por quê?
É uma ferramenta automatizada,é um atacante que tá rodando um
dash ali, mas gerou alertascríticas.
Então será que não tem querefinar as regras E falta esse
processo.
Ah, eu preciso ter um processono meu SOC, eu preciso ter um
processo no meu Red Team, eupreciso ter um processo que A

(01:00:28):
galera realmente muitas vezesesquece que o processo é
fundamental.

Speaker 2 (01:00:31):
Não é a melhor ferramenta, nem os melhores
profissionais, nem os melhoresprofissionais.

Speaker 3 (01:00:35):
Se você tem que desenhar.

Speaker 2 (01:00:36):
Um depende do outro né.

Speaker 3 (01:00:38):
Você tem que desenhar até onde vai o N1, até onde vai
o N2, até onde vai o N3, amesma coisa.
Até onde vai o red team dentrode uma empresa?
Qual que é o limite dele, o queque ele tem que olhar?

Speaker 1 (01:00:50):
O limite dele é extremamente importante É
importante se você não defineQual o limite do red team, eu
vou citar aqui Será que tem Nãotem, mas tem que ter chance É
igual o limite do humor.

Speaker 2 (01:01:03):
Tem o limite do humor .
Depende é o ser antes ou não.

Speaker 1 (01:01:07):
Eu vou citar aqui uma das maiores catástrofes da
história, a bomba de Hiroshimanão a piada do Lynch da
catástrofe da históriacinematográfica.
Vamos falar de Jurassic Park.
Qual deles?
o 1?
Jurassic Park 1, o início daparada.
Ah, putz cara, tudo aconteceupor causa de uma questão.

Speaker 2 (01:01:32):
Não foi exatamente um ataque cibernético foi uma
sabotagem, porque era um carainterno então esse lance de você
ter não, não, não foi um errohumano.

Speaker 1 (01:01:41):
Tinha um cara que hackeou o sistema inteiro e
soltou todos os dinossauros.
Ele fez aquilo pra ele roubaroutodos os dinossauros.
Ele fez aquilo pra ele roubar oDNA dos dinossauros lá, roubar
a informação privilegiada efugir Porque ele tava vendendo
Exatamente ele tava vendendo aparada Mas essa que é a parada.
Então aí vem a pergunta do RedTeam, que faz todo sentido,

(01:02:03):
Porque assim a gente semprepensa.
A gente tá falando aqui sobredefesa, ataque, não sei o que
olhando pra fora, Mas olhar pradentro também é importante.

Speaker 2 (01:02:11):
Também é importante Ah, eu ia se brincar talvez mais
importante nesse momento,porque a maioria dos ataques às
vezes tá na questão interna, néPorque o cara.

Speaker 1 (01:02:17):
Você quer se proteger do cara que pode roubar a
credencial, mas o cara que játem a cred E esse cara E gestão
de identidade está crítico.

Speaker 2 (01:02:25):
Você vê os principais ataques hoje em dia a galera E
até por engenharia social.
Você vai pegar um cara quenormalmente é uma ponta mais
fraca e aí você não tem umgerenciamento de acesso bem feio
.
E aí o Red Team conseguepesquisar e achar esses caras lá
e te mostrar como é que vocêestá fazendo a gestão de
identidade de forma errada.

Speaker 1 (01:02:42):
Eu sei que você consegue fazer é levantar também
um background dos executivos.
Sim, exato, isso é um processoque está lá.
Todo o Red Team tem que fazerisso ou não.
Alguns fazem, outros não.

Speaker 3 (01:02:58):
Essa é uma boa pergunta.
Não é comum, você ver, fazerlevantamento de background de
pessoas estratégicas da empresaOu pessoas?

Speaker 2 (01:03:07):
que têm acesso demais .

Speaker 3 (01:03:09):
Exato Puxar ficha índole.

Speaker 2 (01:03:12):
Talvez isso fica muito Geralmente é RH né, rh faz
esse processo de, mas a partede credenciais, a busca por
credenciais dessas pessoaschaves, com certeza né, ah,
também.

Speaker 3 (01:03:23):
Aí sim, monitoramento , a gente chama de monitoramento
de VIP por exemplo, que a gentemonitora para ver se essas
pessoas não estão tendo os dadosvazados, porque esses são
profissionais com níveiselevados de privilégio.
Mas um ponto importantegerenciamento de acesso, zero
trust.
Se tem a questão de zero trust,que é confiança zero em tudo,

(01:03:43):
ali você só dá acesso para quemtem que dar.

Speaker 1 (01:03:47):
E quando precisar E quando precisar e ainda vai
questionar precisa mesmo pra quesempre tem.

Speaker 3 (01:03:55):
Mas apesar disso você tem inúmeras falhas.
E aí volta toda aquela questãodo processo.
Como que tá o processo deliberação de acesso?
como que tá o processo dedesligamento?
ah, você será, ah, masgeralmente quando eu demito
alguém que é do time corporativo, demora um dia.

Speaker 2 (01:04:12):
Às vezes demora mais, fica meio chamada, etc.
Não tem nada automatizado.
Falta solução.

Speaker 3 (01:04:16):
Será que é o mesmo problema de segurança, não é o
problema de segurança é umproblema interno.

Speaker 2 (01:04:21):
Ali é questão de processo.

Speaker 3 (01:04:23):
Esse é o ponto principal.
Uma pessoa que é do corporativo, ela tem que ter o mesmo e que
demora um dia pra ser desligada.
Alguém de segurança tem que tero mesmo prazo.

Speaker 2 (01:04:33):
O SLA do cara que tem o nível de acesso ou o nível de
conhecimento, maior tem que serigual.
Não velho, primeiro vocêdesliga as cadencials e depois
você avisa o cara que ele foidemitido.

Speaker 3 (01:04:44):
Teve um caso numa empresa indiana que foi demitido
, e aí o funcionário ainda tinhaacesso e fez um deleitou a base
de dados inteira.

Speaker 2 (01:04:55):
Cara.
A gente simplesmente tem umasolução que é automático se a
hora que o cara está sendodesligado, o acesso dele já
acaba E hoje tem Tem muitassoluções.

Speaker 1 (01:05:06):
A gente oferece um para o mercado.
Lá na CS Pro o procedimento éesse O Gomes, de vez em quando a
gente liga um para o outro.
Se a gente tenta logar e nãoconsegue, ele fala assim velho,
eu fui demitido, é brincadeiramas é verdade Já aconteceu
várias vezes.
O Gomes me ligou.

Speaker 2 (01:05:23):
Aconteceu alguma coisa aí.
O CRM está funcionando.

Speaker 3 (01:05:30):
O.
O CRM tá funcionando, o e-mailtambém.
Valeu, foi muito bom trabalharcom você.

Speaker 1 (01:05:32):
É porque a notícia vem depois.

Speaker 2 (01:05:38):
Os caras são meus amigos, pra eles serem
desligados, teria que ser eutentar ligar pra eles esse
pergunto ainda não é amizade, éamizade, mas liga pra mim esse
pergunta ainda imagina, não é agente fala que a gente leva as
coisas amizade é amizade é, masliga pra mim pergunta né cara
você tá puta, eu vou ligar.
Se eu tô puta, eu tenho motivofica claro, estamos chegando no

(01:05:59):
tempo aqui, mas eu tenho quefalar que o Joás é um dos caras
mais generosos que eu conheço,principalmente ali no LinkedIn,
auxiliando a comunidade, osprofissionais, que muita gente
faz muita pergunta pro Joás eele tem a puta paciência de
responder todo mundo e ajudar agalera que tá iniciando.
Cara, você tem uma experiênciabacana em mentoria ali, né, cara
?
Eu vou fazer duas perguntas emuma.
Primeiro, como é que você, quemque você escolhe pra mentorar?

(01:06:22):
Como é que funciona essenegócio?
E o cara que tá iniciando táouvindo a gente aqui, tá gamadão
, quer ser red team, quer atacar.
Que pronto, ele tem que começar, que às vezes não é simples.
Fica bem claro que cara levatempo, é muito conhecimento,
muito estudo e dedicação.
E você falou algo no início queàs vezes não é por causa da

(01:06:42):
grana você gosta daquilo, vocêtem que ter uma paixão por
aquilo, algo que o Prado falar.
Você tem que estar a correr acybersegurança na veia né cara
Conta pra gente.

Speaker 3 (01:06:48):
Exato, não isso.
Eu sempre olho pras pessoas queeu vou ajudar de alguma forma.
Eu vejo o quão elas estão, oquanto elas acreditam na ideia
de uma forma geral.
Elas acreditam emcybersegurança.
Tem muita gente que tá pelodinheiro.
Ok, normal, o dinheiro tá aíTodo mundo ninguém trabalha de

(01:07:08):
graça né Só que você tem quepensar que existe uma
responsabilidade E às vezessempre tem aquela frase né Não
tem dinheiro que pague parafazer alguma coisa que eu não
quero.
E saber a segurança tem muitosobre isso.
Né Não que você vai chegar nummomento que você vai estar ali

(01:07:29):
numa situação complicada, masvocê vai ter o estresse.
Então, se você só tá pelodinheiro, você vai falar ah poxa
, esse estresse aqui nãocompensa.
Então você, ah, acho que eu voume ligar pra outra área, o que
acontece.
Muita gente fala acho que nãotem pessoas que migram, não saem

(01:07:51):
de cibersegurança, tem.
Tem muita gente que sai decibersegurança e vai pra outras
áreas.

Speaker 1 (01:07:54):
O cara que é red team e tá ali só pelo dinheiro, ele
acaba virando hacker ele vai pramaldade ele sai do red vai pro
black team ele vai pro, ele vaipro lado negro da força

Speaker 3 (01:08:09):
então assim você vai passar por muitas burocracias
dentro de empresas, você vaipassar por várias situações.
Então eu sempre deixo claropessoas que pedem ajuda.
Eu tento entender aonde vocêquer ir com o cyber segurança e
como você vê cyber segurança.
Se a pessoa vê Cyber Segurançacomo somente algo, uma

(01:08:35):
oportunidade de fazer dinheiro,eu falo beleza, você está com
uma mentalidade, você tem a suaprópria mentalidade.
Mas você vai desanimar noprimeiro momento que você olhar
o material de estudos que eu voute passar.
Esse é o material de estudos.
Estuda aí os preços dascertificações, os preços das
formações de uma forma geral,fala ah, não, olha mil dólares

(01:08:56):
numa certificação, acho que nãovale a pena, não vou conseguir
pagar.
E aí muita gente fala porquetem esse o processo pra quem tá
iniciando é muito complicado.
Você conseguir sua primeiraoportunidade, você conseguir
entrar no mercado, etc.
Isso gera um cyber deception.
É Então você gera uma decepçãoali de uma forma geral.

(01:09:20):
E eu falo pessoal beleza, vocêtá, tem muita gente que chega.
Já vi muitos amigos falam pô,eu tô decepcionado com o red
team, mas por quê É muita?
muitos amigos falam eu tôdecepcionado com o red team, mas
por quê é muita burocracia.
Eu não posso fazer nada.
Aí eu tenho outros amigos.
Ah, tô decepcionado com o blueteam, por quê eu só fico em
ferramenta, é muita ferramenta.
Parece que eu não tô fazendocyber segurança.

Speaker 1 (01:09:38):
Aí eu falo é isso então não tem muito como eu falo
não tem muito, falou assim.

Speaker 3 (01:09:45):
Você tem que buscar o que é bom pra você.
Se você não se encontra em BlueTeam, vai pra AppSec, vai pra
outras.
O profissional de CyberSegurança tem que entender que
ele é um profissional de CyberSegurança.
Aqui tá o Joage e Red Team, maseu não posso deixar de entender
de Blue Team, de AppSec, deCloud Security.
Eu tenho que entender dessemundo.
Mas óbvio se perguntar, joás,qual que é o seu, sua ênfase

(01:10:07):
principal?
Red team, porque é uma coisaque eu gosto E você faz o que
você gosta, mas também só vaifazer o que você não gosta.
Então eu sempre deixo claroisso pras pessoas que eu mentoro
eu não seleciono idade público,eu seleciono pessoas que querem
entrar pra essa área e ser umdiferencial com propósito,
porque o mercado vai ficar cadavez mais um pouco complicado.

(01:10:31):
Eu não vou usar aquele discursode que falta profissionais para
trabalhar.
A gente sabe que o mercado vaiinflando, várias empresas vão
surgindo e vai ter mais vagas.
A questão é profissionais queentendam de negócio e que sabem
executar.
Hoje a gente tem já um problemaque questão é profissionais que
entendam de negócio e que sabemexecutar.
Hoje a gente tem um problemaque é pegar profissionais que

(01:10:53):
sejam pesquisadores.
Hoje talvez a gente vive na eradas coisas rápidas, né Do short
, dos reels, do chat GPT, dascoisas, e aí você tem um monte
de informação.
só que às vezes essasinformações elas não vêm de uma
forma limpa.
Então, em vez de você pegar umartigo de alguém que escreveu um
artigo lá no Medium 20 minutosde artigo explicando toda a

(01:11:15):
teoria, todo o conceito, a gentevai no chat de EPT e coloca o
que é isso E a gente já ficasomente com aquele conceito
Pesquisa é importante.
Eu vejo esse perfil deprofissional como um diferencial
e vai ser um diferencial nofuturo um profissional que saiba
pesquisar e que seja autodidatae não um profissional que ele
só pega e só sabe executar.
então executa lá, mas vocêpergunta o que você está fazendo

(01:11:38):
?
Ah, eu não sei.
eu só rodei esse comando,peguei o resultado porque eu
aprendi que era assim no curso.
o chat de EPT me ensinou dessaforma E isso cada vez mais vai
ficando evidente conforme vaipassando as gerações, novas
gerações que estão vindo, quevamos ter esse problema no

(01:12:00):
mercado.
A gente vai ter mais executorese menos talvez analistas, menos
pessoas com esse grau depercepção e de trazer resultados
consistentes para o negócio,agregar valor ao trabalho.
Então o que eu falo assim paraquem quer entrar na área de

(01:12:22):
cibersegurança, não é somenteabrir o Calilino e estudar, é
você entender o que você estáestudando, pegar os conceitos,
entender, adquirir essa base,colocar em prática, mas também
fazer.
o ponto principal é o que vocêestá fazendo, o que você está

(01:12:46):
estudando, o que você estádesenvolvendo.
o que você tá desenvolvendo,como que eu vendo esse trabalho
pra alguém que não conhece ele,porque você chega lá, tô fazendo
um pen test.
o que você tá fazendo falandoAh, tô fazendo um pen test.
Você encontrou o que?
Ah, encontrei um SQL inject,xss.
O que que é essavulnerabilidade?
Ah, não sei, mas eu sei que elaé alta, ela é crítica, eu sei

(01:13:09):
que isso pode dar problema.

Speaker 1 (01:13:11):
Não sabe como faz Exato, não sabe o que é.

Speaker 2 (01:13:16):
Busca o que Conhecimento Busca.
Conhecimento É tebilu.

Speaker 3 (01:13:22):
E aí uma coisa principal qual que é o impacto
no meu negócio?
Ah, você reportou essavulnerabilidade aí, mas qual que
O que que isso, o impacto nomeu negócio?
ah, você reportou essavulnerabilidade aí, mas qual que
o que que isso?

Speaker 2 (01:13:30):
impacta no meu negócio.
É crítico por quê?
não tem nenhuma máquina que nãovai usar pra nada?

Speaker 3 (01:13:36):
me diga porque eu devo corrigir essa
vulnerabilidade, não porque elaé alta vai.
Porque ela é alta porque táescrito na UASP, no CWE é o
profissional, tem que entenderdo negócio.

Speaker 2 (01:13:47):
hoje é um diferencial tremendo, é um diferencial.

Speaker 3 (01:13:51):
Não adianta.
Você não vai trabalhar com ocybersegurança sem você entender
de negócio.
É um desafio.
Você vai trabalhar com váriostipos de negócios, vários tipos
de empresas e até mesmo, àsvezes, os próprios executivos.
Eles estão com uma direção nonegócio e eles mudam, e você tem
que acompanhar isso também, sevocê não acompanhar.

(01:14:12):
Ele vai entender e falar, masperaí, o Reddit ainda está ali,
o segurança ainda está ali, masa gente já está indo para essa
direção, onde que vocês estãoolhando.
Então vai faltar profissionaiscom essa capacidade E se você
está querendo procurar umaoportunidade no mercado de
trabalho, entenda que você temque se desenvolver, você tem que
ir atrás do conhecimento.
Você vai ter que fazer algunssacrifícios.

(01:14:33):
Eu fiz vários sacrifícios sobrepagar curso, ter certificações.
Você ficar a noite sem dormirvai priorizar outras coisas.

Speaker 2 (01:14:44):
Noites ali para estudar, né Carlos.

Speaker 3 (01:14:46):
Você vai ter que fazer algum sacrifício.
Não ache que, ah, porque acybersegurança está aquecido.
está aquecido, só que é umacorrida E a gente até pra
contratação, eu ajudo, às vezesna contratação de algum
profissional.
você pergunta ô, flano, por quevocê se candidatou na vaga?
Ah, porque eu vi na reportagem,lá, que a cyberer Segurança
estava aquecido, estavaprecisando de gente Aí você

(01:15:08):
pergunta você sabe o que éconfidencialidade, integridade e
disponibilidade?
Aí vai lá no chat de EPT ah, euvi aqui confidencialidade.
Me dá um exemplo?
Aí, já era Como assim.
Um exemplo de confidencialidade.
Me dá um exemplo.
Me fala de integridade, me falade disponibilidade.
Umidade Fala de disponibilidade.
Um exemplo Fala um ataque queafeta a disponibilidade, um

(01:15:31):
ataque que afeta a integridade.
As pessoas travam Ah, pen test,vagas de pen test.
Você está se adiantando em umavaga de pen test.
Chega lá, você já fez pen test?
Não, já fiz.
Já mexi com Kali Linux.
Beleza, se eu te dar umamáquina Windows 10, windows 11,
aqui, ah, eu vou instalar o Kali.

(01:15:53):
Não, você não pode instalar avirtualização, você não pode
instalar a WSL.
E tem como fazer o pen testusando o Windows Uai.

Speaker 2 (01:16:03):
Como assim, só Kali.

Speaker 3 (01:16:04):
Como não Você E isso, Como, assim Só calha, Como não
Você.
E isso Isso até foi umaconversa que eu tive com um
pentester.
Eu falei que ele tinha muitadificuldade pra fazer pentest em
ambientes adesos.
Eu falei cara, mas se vocêtiver ali uma máquina com

(01:16:25):
Windows, com PowerShell, o céu élimite.
Já conectado num domínio, vocêjá pode fazer muita coisa.
Tiver ali uma máquina comWindows com PowerShell, o céu é
limite.
Se já tá conectado no domínio,você já pode fazer muita coisa.
Ah, e tem como Eu não sabia quedaria pra usar PowerShell pra
fazer pen test, Porque eu faloperaí, aonde, como que?
como que você acha que a galerafazia pen test antes do
Carlinhos?

Speaker 1 (01:16:44):
Antes do backtrack Não existia, não existia, não
existia.
eu falo assim aquele aquelememe tem um cara eu descobri o
Carlinhos é o cara nas peças,cara sabe o idiota que volta no
tempo e aí, quando ele chega nopassado, ele fala não, no futuro
vai ter um negócio que vocêbota assim a água e vira não sei
o que e tá pronto.

(01:17:06):
Mas como é que faz?
Não sei, não sei.

Speaker 3 (01:17:09):
É exatamente isso.

Speaker 1 (01:17:12):
Vai ter uma máquina que você aperta liga se sai a
imagem ou sai a comida.
Você acende o fogo.
Você só arrisca.
Aperta o botão, o fogo acende,Acende uma fogueira, aí Cadê o
fósforo.
O cara não sabe como fazer ascoisas.

Speaker 3 (01:17:28):
E isso vale pra qualquer área, eu cito o Pentax
aqui.
Mas pra quem vai pra SOC, umacoisa que eu falo assim, eu já
trabalhei com SOC, já lidereitimes de resposta incidente
também, mas a parte de respostaincidente não fiquei muito ali
no monitoramento.
Mas eu falo pra galera pessoal.
So que não é só você estarolhando para eventos de

(01:17:52):
segurança, ligando para ocliente e falando olha,
percebemos um alerta aqui.
Não, você entende o que aqueleataque está fazendo.
Se eu tenho uma empresa queestá monitorando o meu ambiente
e o analista não entende oataque, ele só está pegando pelo
nível de criticidade.
Eu falo beleza, e se a minhatécnica que eu estou utilizando

(01:18:13):
o EDR, o CIEM, os logs do CIEM,ele joga com baixa o seu SLA,
vai ser, você vai usar o SLA decritério baixo, sendo que aquela
técnica pode ser uma evasão queocorreu no dispositivo de
matéria que as vezes o próprioEDR não detectou.
Ele detectou algumcomportamento específico, por
isso que ele levou com baixa.

(01:18:34):
Como que você usa o critérioali de análise das ameaças.
Você está por dentro das ameaçasdo dia.
Ah, não, eu já vi essescenários.
Ah, o que é mimiquete?
aí olhei assim pra pessoa,pessoa com o beret Mimikatz.
É aqui um alerta de Mimikatz namáquina.
Por que você não avisou antes?
Estava rodando o Mimikatzestava fazendo um dump dos

(01:18:55):
credenciais da máquina ali Não,mas eu não sabia Mas.
E outra Por que você não deu oGoogle O que é Mimikatz.

Speaker 2 (01:19:04):
O que é Mimikatz Estava lá.

Speaker 1 (01:19:05):
Curiosidade né cara, Não Google.

Speaker 3 (01:19:07):
Fulano, o que é Mimikatz Não dá um Google Ou o
GTPT.
O que é Mimikatz É um problema.
Você ver um alerta, é sócolocar um problema.

Speaker 2 (01:19:14):
O GTPT é um problema, né Sim nossa pergunta.
Quem pergunta quer saber.

Speaker 3 (01:19:19):
E aí é isso.

Speaker 2 (01:19:28):
Então, E eu vejo que o cenário do mercado de
cibersegurança está, a genteainda está engatinhando.
Vai continuar muito tempoaquecido, porque tem muito para
evoluir.

Speaker 3 (01:19:31):
A gente está evoluindo, está engatinhando
para coisas melhores.
A IA está vindo aí paraauxiliar, mas os profissionais
têm que estar, têm que entendera função que ele, a função dele.
Tem muitos profissionional quechega trabalhando mas ele não
entende o que faz.
E se você não entende o que faz, não entende a sua função, você
não vai conseguir vender prasua diretoria, até mesmo o seu

(01:19:54):
trabalho, pro seu chefe, comoque você vai pedir uma promoção,
se você não sabe vender o seutrabalho.
Então eu deixo essa dica praqualquer profissional que vai
entrar agora no mercado deciberseg, cyber, segurança, que
quer se especializar saiba comovender o seu trampo.
Então você está estudando o RedTeam, está estudando o Blue
Team, devsecops, estude, adquiraa parte técnica, adquira também

(01:20:17):
a soft skill para aprender avender o seu trampo, para você
divulgar melhor o seu trampo ali.
mas você também tem que sabervender o seu trampo pra qualquer
tipo de pessoa, o que você faz.

Speaker 2 (01:20:31):
Ah, eu faço cibersegurança, mas o que você
faz necessariamente Defina.
Então é isso, Galera o papo tábom, mas, mr Anzzi, que hora que
nós chegamos, mr.

Speaker 1 (01:20:40):
Anzzi, vamos chegar agora em considerações finais,
onde você tem espaço pra fazeraí suas declarações.

Speaker 3 (01:20:49):
Passar link do livro falar do seu campo, falar onde
vai o seu campo falar sobre darconselho vender o que você quer
vender e é claro, faça o seujabá.

Speaker 1 (01:21:01):
É claro que também, considerações finais, é um
oferecimento de AciaCyberPro.
Vamos que vamos.

Speaker 3 (01:21:07):
Perfeito.
Então, pessoal, quem quiseradquirir o livro é só acessar a
Amazon, procurar lá Introdução aRed Team Operations.
Tem outros livros também, tem oIntrodução à Segurança Ofensiva
, tem a Parte 1, tem outrasobras também, tem o
Desenvolvimento em Linguagem C.
Está surgindo outros livrostambém desenvolvimento de
exploit, evasão de defesa,segurança ofensiva 3.0, purple

(01:21:33):
team, blue team e etc.
Se você também quiser entrar emcontato comigo ali no LinkedIn,
fica à vontade.
Eu tô sempre à disposição.
Nem tudo eu sei, mas a gente vaijunto atrás das respostas,
procurar conhecimento, porqueessa é a parte divertida da área
de cibersegurança E ofundamental se você é alguém que
quer entrar na área decibersegurança, busque

(01:21:53):
conhecimento.
Não espere as coisas caírem noseu colo, não espere as coisas
virem até você vá atrás delas Equestione, pegue ali aquele
profissional que você senteconfortável e beba da fonte do
conhecimento dele, fala aondequais foram os seus erros, seus
acertos.
Tem muito profissional,principalmente os que vêm aqui

(01:22:14):
no podcast, que estão àdisposição pra ajudar você de
alguma forma.
Então eu também estou, assimcomo os outros convidados que já
vieram aqui.
Com certeza eles vão estar àdisposição pra ajudar você.
E é isso Eu deixo aqui como orecado final.

Speaker 1 (01:22:29):
Não, não é só isso.
Você que não quer comprar, vocênão quer investir num livro de
cibersegurança, tira essa camisavermelha que tu não é Red velho
.

Speaker 2 (01:22:37):
Busque conhecimento, busque conhecimento.

Speaker 1 (01:22:41):
Busque conhecimento pra lá baixo.

Speaker 2 (01:22:44):
Joss, muitíssimo obrigado, cara, obrigado pela
sua generosidade de sempre praauxiliar a comunidade,
compartilhar o conhecimento.
Ó a galera falou, eu não sei detudo.
Se ele não souber, pode saberque você não sabe obrigado pra
caramba valeu, até a próxima.

Speaker 3 (01:23:07):
Que é o café.
Que é o café.

All Episodes

Joas Santos: Hackeando para proteger - Segurança Ofensiva

Episode Transcript

Popular Podcasts

On Purpose with Jay Shetty

The Breakfast Club

The Joe Rogan Experience

.css-15opob5{left:0;position:absolute;top:0.8rem;} All Episodes

.css-14f5ked{margin:0;word-break:break-word;display:-webkit-box;-webkit-box-orient:vertical;box-orient:vertical;-webkit-line-clamp:2;overflow:hidden;}Joas Santos: Hackeando para proteger - Segurança Ofensiva