May 27, 2025 • 50 mins
Neste episódio, damos continuidade à série sobre Programa de Segurança de Aplicações com foco em como introduzir a modelagem de ameaças no ciclo de desenvolvimento seguro (SDL). Discutimos o momento ideal para aplicar essa prática, os principais métodos utilizados (como STRIDE e PASTA), os desafios mais comuns enfrentados pelas equipes e estratégias para integrar a modelagem de forma leve e eficiente no fluxo de desenvolvimento. Se você está estruturando ou amadurecendo seu programa de AppSec, este episódio é essencial!
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:13):
vou fazer pouco de share.
Eu tava com saudade desse vinhetinho, ano já que gente não grava, todo mundo de férias,passeando, vai pro Brasil, o outro já tá no Brasil, virou uma bagunça isso aqui.
(00:36):
A verdade é que estamos de volta pra mais episódio de Devisecops Podcast.
Eu sou o Cássio Pereira.
Eu sou o Ben Hur.
E eu sou Marcos Santos.
Aí, o time completo.
Como é foi as férias?
Vocês descansaram?
Férias remuneradas?
Porque aqui é tudo ordem.
(00:57):
Boa, Boa.
Pô, tá marcado.
Os espois aí, cara.
Não pode ter esse tipo de conversa entre funcionários.
Deu treta.
aí, eu recebo em papel higiênico, se não tá ligado.
Essa é mercadoria, é mercadoria.
(01:17):
Cara, é bom estar de volta porque eu passei três semanas aí no Brasil, Viver família etal, deu pra descansar bastante, eu vou tomar um sol, que como vocês podem ver, quem tá
vendo no vídeo aí, vê que já tirou, já tô branco de voltei a ficar branco de novo, famosobranco europeu, Já não tenho mais o sol de novo, mas deu pra descansar, os meninos também
deram uma boa descansada, eu creio.
(01:39):
E a gente não esqueceu...
daquela série que a gente estava fazendo de montar programa de Epsec do zero.
Então a gente já teve dois episódios, hoje é o terceiro episódio, onde a vai falarpouquinho mais sobre o próximo passo nessa jornada.
Que jornada é essa?
Você vai escutar no episódio número episódio número dois, anteriores a esse, onde gentecomeça a falar ali sobre como montar programa de Epsec, não vou fazer resumo não, você vai
(02:02):
lá e deixa de ser preguiçoso, lá, escuta, assiste, enfim.
Bom, para começar o episódio de hoje, eu queria...
antes de começar o episódio, verdade, anunciar aqui os nossos parceiros, os nossospatrocinadores.
Então, o DevSecOps Podcast tem sempre o apoio da Checkmarks, SNIC e da Nova8, que sãoespecializadas em segurança de sistemas e código seguro.
(02:23):
O link da Nova8, é a distribuidora da Checkmarks no Brasil, está abaixo na descrição doepisódio no YouTube e também no nosso site, devsecopspodcast.com.br.
Inclusive, site novo, caso você ainda não tenha acessado.
Se você está buscando soluções de AppSec, a DigitalWoke tem portfólio completo para você.
E se você já se perguntou, estou sob ataque, algum dado ou informação sensível foi roubadoou ainda estou risco, a Purple Bird Security tem as respostas para você.
(02:51):
Fale com a Purple Bird que o pessoal é especialista forense, investigação, mano.
Inclusive, se você fez merda, fala com os caras.
Não, não é brincadeira.
Se você fez merda, você vai responder à justiça, vai falar com ninguém, não.
Pessoal, negócio é seguinte, vamos lá.
primeiros dois episódios, a falou pouco de como começar programa de AppSec, e gente chegouno terceiro episódio, que é tema que eu gosto bastante, mas é tema polêmico.
(03:11):
Por quê?
Modelagem de ameaças, eu adoro, gosto muito de...
Eu brinco que é a arte de encontrar problemas antes do software existir, modelagem deameaças.
Existem vários frameworks, a gente vai discutir isso hoje.
Mas por que é tema polêmico?
Porque muita gente fala, mas pouca gente faz.
E eu tenho uma opinião pessoal e eu vou...
(03:32):
pegar essa opinião já como primeiro tópico aqui pra gente discutir.
E aí eu queria começar pelo Benyur e depois o Marcos, dar resposta dele.
A minha visão é que ninguém faz porque é trabalho manual.
Não tem nada, tem uma outra ferramenta aí que ajuda a criar pelo menos diagrama, gerar alialguns requisitos.
Mas é trabalho de você sentar a bunda e dar input ali pra ferramenta, pro framework, o quequer que seja, pra ter output disso.
(03:58):
esse trabalho empírico manual extra...
Extra no sentido de completamente barra fora do desenvolvimento, não é fora porque a gentesabe que deveria estar embutido e essa é ideia aqui, mas pouca gente faz porque ele está
ali fora e demanda tempo, de fato, e a galera não está disposta a pagar esse preço detempo.
Essa é minha opinião, porque a galera não faz Street Modeling, porque o que não falta éframework, não falta é ferramenta, que não falta é informação, inclusive tem uma que eu
(04:25):
descobri esse disco que eu vou passar daqui a pouco, a pergunta é essa, o que você acha,Bimber?
Você acha que por ser trabalho manual...
a galera não faz, evita, ou é falta de conhecimento, como que você enxerga isso aí?
O que eu acho, que a galera não faz modelagem de ameaças, é porque eles têm poucaconfiança sobre o resultado que eles mesmos vão gerar com esse trabalho, se eles fizerem
(04:49):
por eles mesmos.
Então tipo assim, por exemplo, pega desenvolvedor e coloca ele pra fazer uma modelagem deameaças, a primeira coisa que ele vai olhar é, cara, será que eu vi tudo?
Será que eu sei fazer isso aqui?
Será que eu tenho conhecimento sobre as...
Porque a modidade de ameaça é você pegar ameaças e modelar ela lendo software, né?
(05:12):
Eu conheço as ameaças?
Muitas vezes eles não conhecem.
Então, eles olham assim, cara, eu vou fazer, mas eu posso não ser 30 % eficiente.
20 % eficiente.
Aí a questão é, se eu vou fazer algo que eu não sei que eu sou eficiente, por que eu voufazê-lo?
Por que eu vou fazer isso aqui?
Né?
ponto, bom ponto.
(05:33):
Bom ponto, que eu ainda vou pouquinho mais além.
acho que é porque o cara não sabe nem por onde começar.
Eu acho que quando o cara começa ali, pô, tem Stride, tem Octave, tem Dread, tem 500frameworks ali e o cara não conhece nenhum, fica até mais difícil.
Então eu acho que o principal problema é esse.
(05:54):
Que a tem ali, sei lá, o Microsoft Threat Modeler Tools que vai usar Stride.
A gente tem ferramentas no mercado como Threat Modeler, tem o próprio
a própria metodologia, Então o cara fica perdido, fala, por qual que eu começo?
Aí tem empresas que até hoje usam bisagem ainda, não sei por que, mas já vi muito isso.
de Process Modeler.
(06:14):
Caralho, isso na faculdade, velho.
Anos atrás.
Puta que pariu.
acho que isso dificulta, além do cara ser manual, ter toda essa dificuldade, eu acho queessa distribuição de frameworks e o cara não saber por onde começar também acaba
dificultando fazer uma modelagem de ameaças.
Vou fazer comentário cima disso que o Ben Hur comentou, que é o seguinte, cara...
(06:40):
Você pôs ponto importante, cara falou assim, eu sou 20%, 30 % eficiente nisso, então praque que eu vou fazer?
Eu acho que quando...
ótimo colocação.
Mas acho que o cara tinha que pensar proativamente, porra, minha mãe dizia muito, melhorpingar do que secar.
No quanto a segurança, é melhor você ter 20 % ou 30 % de efetividade ou 0 % deefetividade?
(07:03):
Então vou fazer um pouquinho aqui, vou fazer esse pouquinho.
Depois talvez eu vou aprender mais.
O Marcos trouxe outro ponto também que eu acho que é uma falha.
Eu não vou dizer nossa, porque a gente tenta educar e passa bastante sobre isso, mas umafalha pouco do pessoal de proativamente.
Então pera aí, eu entender isso, deixa eu pegar framework aqui, deixa eu fazer Hello Worldaqui numa ferramenta.
(07:25):
Tem o Asp.ThreatDragon também que implementa três frameworks por trás dele, acho que oPasta, o Lindoon e tem outro lá que eles implementam que eu esqueci agora.
Mas assim, acho que falta pouquinho dessa proatividade pra...
Deixa eu ver o que é isso, Então vejo todo mundo falando, mas eu não sei, eu...
Acho que como tudo, tem coisa que a gente simplesmente para e fala, não, deixa eu entenderpouco melhor isso aqui, deixa eu ir pra cima, porque isso vai me beneficiar e beneficiar
(07:47):
empresa de uma maneira geral, né?
Mas enfim, algum comentário é, se vocês querem fazer, se não, eu já vou suitar aqui propróximo top.
Manda aí, Bayer, manda aí.
tem que eu acho que é importante para levar consideração, que acho que o Mario comentou,que é dos, realmente, de muitas dinâmicas que já realizei com os times de desenvolvimento
sobre track modeling, acho que esse é o principal ponto, que é o cara, por onde que eucomeço, né?
(08:09):
E várias dinâmicas, pode ver, quer ver, ó, pega vários devs, porque eu fiz isso uma sériede vezes e é realmente verdade, pega vários devs e coloca numa sala e tipo assim, ó
pessoal, vamos aprender a fazer track modeling, né?
Vamos lá.
ninguém sabe por onde começar.
E aí vamos entender os níveis dos threat modeling, Porque uma coisa também que é bem comumé dentro de do processo de hiring dos caras de APSEC ter exercício de threat modeling.
(08:36):
Pra mim esse é o bagulho mais trique que existe, né?
Porque olha só, vamos lá, tu tá fazendo threat modeling do quê?
De uma ameaça de fluxo de negócio?
Porque daí tu vai olhar o fluxo do negócio, o produto sendo desenvolvido e dizer olha...
Se fizer uma compra aqui, não cancelar negócio lá, o cara vai ter reembolso indevido.
Você pode fazer uma modelagem ameaça do negócio, da funcionalidade do negócio.
(08:58):
Depois disso, você vai começar descendo camadas no mundo.
Poxa, viu o desenho do negócio, do produto, é uma modelagem ameaça.
Cara, vamos partir para a parte técnica do código.
Cara, qual o framework que vai usar?
Como é que está as comunicações?
Tá HTTPS, como é tá conexão com a base de dados, isso aqui tá encriptado, como é que tá oacesso a base de dados?
(09:20):
Entende que vai começando a baixar o nível, é como se fosse dando zoom-in.
Tem que negócio, tu olha e depois tu vai dar zoom-in na tecnologia.
Depois vai dar zoom-in na infraestrutura, vou dar exemplo, tá?
Uma coisa que...
Aí é onde entra a questão da efetividade que eu tava comentando, né?
Porque uma coisa que realmente concordo contigo, Décaso, que é melhor 20 % do que nada.
(09:43):
nesse contexto de segurança.
Exato, aí eu vejo que o deve precisa entender isso que você comentou.
Cara, é melhor 20 % do que nada.
E muitos desistem por não ter 100%, né?
Acho que é essa a mentalidade.
Vou dar exemplo.
Digamos que está lá no threat modeling e está olhando todo o desenho da solução e vêbucket S3.
(10:05):
Que armazena informação confidencial, sensível, whatever lá.
O cara fazer Threat Modem no Bucket S3 e dizer assim ó, qual que é a permissão desseBucket?
Ele é uma permissão de leitura ou de escritura?
E digamos que o cara faça o Threat Modem na permissão do Bucket, beleza?
O cara que parou o Threat Modem ele não sabe o que ele tá fazendo.
(10:25):
Por quê?
É permissão de leitura ou de escritura?
Beleza.
Quem é que tem permissão ou autorização pra mudar as políticas de IAM relacionado àqueleBucket?
Tem uma SCP na AWS pra definir as políticas ou tal de buckets com tags X?
E quem pode adicionar tag, entendeu?
Tipo, quando tu vai no terceiro...
Cara, tu vai muito deep.
(10:46):
Porque só botar bucket como read-only não significa que alguém não tem a poder pra mudarde read-only pra write.
Saca?
Então tu acaba expandindo isso.
E aí o cara olha assim...
Velho, se um desenvolvedor pega cara de AppSec bom...
E cara faz o Threat Modeling junto com ele, aprofundando nesse nível, tá pavoro
(11:07):
Exato.
Inclusive, comentou um ponto aí, né?
Esse é o DevSecOps de fato.
Cara, ter bucket que aplicação consome.
É leitura, beleza, lindo, maravilhoso, acabou.
Não.
Quem tem permissão lá no IAM pra mexer nessa permissão do bucket.
Quem pode ir lá e apagar a parada.
(11:28):
Quem audita isso depois, que alguém foi lá e alterou a permissão.
Isso é Supply Chain e DevSecOps, que se conecta tudo junto.
Então vai negócio...
é muito mais profundo.
E, cara, perfeito.
que essa...
Dei uma boa introduzida, né?
Por que a galera não está fazendo modelagem de ameaça, pouco de falta de conhecimento,pouco de proatividade, pouco do que você falou também, né, Benhor?
(11:50):
E eu queria trazer agora, então, para o nosso programa de Epsec.
Então, a gente entende que episódio 1 e 2 a gente discutiu, então agora seria o momento defalar assim, ó, legal, vamos começar a fazer modelagem de ameaça.
Então gente vai definir processo para isso.
Qual que é o framework, qual que é ferramenta, a vai chegar talvez mais pro final doepisódio, mas eu queria dar passo atrás agora a gente falar sobre o processo.
(12:10):
Como é que a gente traz isso pro time de desenvolvimento?
Aquela história, aquele contexto que a gente deu da empresa, Já existiu lá o hospital,informação sensível, já tem monte de coisa produção.
Vamos introduzir processo de modelagem de ameaças agora.
Qual é o primeiro passo?
O que que a gente faz?
Quem está ouvindo a gente vai sair desse episódio hoje e falar, legal, eu sei que eucomeço, posso começar um...
(12:32):
um processo de modelagem ameaça que o meu time de desenvolvimento.
que vocês...
Vou começar pelo Marcos agora.
O que você jogaria pro time, Marcos?
O que você acha?
Acho que primeiro identificar as aplicações mais críticas, que começa por aí e atravésdelas ali você vai fazendo igual o Benhor falou, Você começa ali pelo risco de negócio, o
que você vai ter nessa aplicação crítica e vai descer no nível.
(12:53):
Mas acho que o primeiro passo mesmo é fazer essa identificação e verificar ali qual onível de proteção que você tem de acordo com a modelagem.
Inclusive, episódio 1, se eu não me engano, a gente fez um assessment, gente falou ali deum catálogo, então dá pra já alimentar esse escopo de modelagem miércia com esse catálogo
(13:16):
de aplicações críticas que gente fez.
qual ferramenta você vai fazer na mão, acho que também é bem importante.
Boa, boa, porque no dia a gente já parava pensar, legal, então isso, definir o meu escopode modelagem ameaça, tá bom.
Então aqui no nosso hospital tem aplicação, tem dez aplicações, né, linhas gerais, duas,três delas são críticas, então é elas a gente vai introduzir processo de modelagem ameaça.
(13:36):
Benhur, definir o meu escopo, eu sei que agora tenho três aplicações que vão fazer partedesse processo.
Qual é o próximo passo?
O que você acha que a gente tem que fazer?
Perfeito, agora só pra gente dar um passinho ali antes pra definir estratégias, Nesse casoa gente tá escolhendo fazer modelagem de ameaças em aplicações, né?
Não em produtos, não funcionalidades de negócio que podem envolver várias aplicações, né?
(14:00):
A gente vai pegar uma aplicação.
Bem, se gente vai pegar essa aplicação, a parte mais fácil pra mim os que queens, beleza?
Vamos pra outra parte de, peguei aplicação crítica.
Eu já sei porque ela é crítica.
Eu já sei para que serve a aplicação.
Eu já sei qual o time que trabalha naquela aplicação.
Se você não sabe, olha o histórico de commits.
(14:21):
Tem uma dica que eu sempre dou para todo mundo que é...
entrevista, a entrevistou a galera antes, então a gente já sabe quem é quem, episódio 2,ouve esse episódio que é o ouro, esse episódio é o ouro.
o GitHub, o desenvolvedor contribuinte está lá também.
tá tudo aí.
tudo lá né?
Pull request, merge request, tudo do lá né?
(14:42):
Então assim, é aquele esquema, uma dica que eu sempre entrego pros profissionais é, sevocê for pesquisar uma informação, primeiro de tudo faça o exercício de, e se ninguém na
face da terra pudesse me dar essa informação?
Como que eu conseguiria ela?
Entende?
Vai atrás, abre o Google Drive, vê se não tem documento vazado, vai no repositório, lê asbagulhas, sabe?
(15:09):
Tipo, só pergunta pra alguém última instância que tu vai aprender muito sobre a empresa eas coisas que tem com isso, né?
Então assim, já sabemos, já entendemos todo o contexto da aplicação, já temos lá o que é,por que e quem é participa da aplicação, beleza?
Que que win?
Cara, pega o Security Baselines e aplica cima da aplicação.
(15:29):
Entende?
Pô, nossa, o security design tá dizendo lá que tudo tem que ter HTTPS, né?
Beleza.
Cara, essa aplicação aqui tá com HTTPS?
Se você encontrar uma forma, determinado momento, de validar automaticamente, porque temoutro nível do security default do baseline, que é eu ser capaz de identificar de forma
(15:50):
automática a falha dele.
Por exemplo, tem algum lugar onde tem o log das requisições e alguma coisa passa a HTTPSpor lá?
Entendeu?
Mas isso aí é outro assunto, O que a gente tem de forma automática.
Vamos lá, pega o Security Baseline que tu tem e olha assim, cara, beleza, aqui fala quetoda API você tem mecanismo de autenticação e autorização implementado para validar quem
(16:13):
pode ou não pode entrar e o que pode fazer não pode ali dentro.
Beleza, você tem esse baseline?
Ok, pessoal, nessa API como que a gente tem resolvido isso?
pra você que tá dúvida se você tem baseline ou não, no episódio 2 a gente fala como montaresse baseline, definir esses, esses, literalmente baseline né, definir esse mínimo ali
(16:33):
aceitável, o que tem que ter pra cada aplicação, tal, tal, tal, então só fazendoparênteses aí, baby, pode continuar.
Por exemplo assim ó cara segredos essa aplicação né?
Porque essa aplicação tem que ser segredos e como que ela está usando segredos né?
E aí a gente começa a ter as boas práticas.
Por que que o Security Baselines ele é tão importante?
Porque percebe você vai estar numa reunião com desenvolvedores conversando com elesfazendo perguntas importantes.
(16:57):
Saiba fazer...
confia e revisa.
Os cara deram a resposta mas faz check.
Faz check como é que tá o bagulho tá?
Então assim, porque no momento que você começar a olhar a cara, isso aqui como é que tá?
Como é que se soluciona?
Nené determinado momento os devs, você vai estar conversando com eles.
(17:21):
Talvez alguém não tenha participado da reunião, talvez alguém tenha esquecido de algumacoisa.
Então a primeira vez você responde, a segunda você tem que enviar link.
Então tenha o baseline de uma forma que você consiga também com...
partilhar com os desenvolvedores dentro disso.
a questão é, como que você registra as ações pendentes desse threat modeling?
(17:51):
Registrar de uma forma que, cara, só, vi aqui que vocês estão usando segredos em variáveisde ambiente, a gente já mudou isso, a gente já tá...
com arquivos em mount, dessa forma ou por Kubernetes SQL, não sei o que, Então isso aquitem que mudar.
Beleza?
Perceba que é uma ação, a gente está gerando uma ação para o time, uma tarefa para o time.
(18:15):
E essa tarefa precisa ter descrita e traqueada.
Aí tem que também estar bem definido que vai ser feito isso.
Bom, acho que seria esse próximo momento agora.
Mas antes de chegar nesse próximo momento, eu queria adicionar minha colaboração tambémnesse ponto, que é o seguinte.
Você falou bem, né?
A gente vai olhar para as ameaças olhando para o nosso baseline.
(18:35):
Legal, ali gente vai ter um catálogo de ameaças.
Mas a gente também vai ter ameaças que não estão lá.
Coisas, por exemplo.
A vai definir, vamos fazer um processo de modelagem de ameaça e algum momento vai serdefinido qual o framework.
Acho que não faz nem sentido a definir aqui e não vamos usar isso ou aquele.
Como exemplo, vamos fazer Stride, beleza.
(18:56):
Mas para esse processo vai depender pouco do time, os testes, o que gosta mais, o que seaplica mais.
Porque o framework, no fim das contas, ele é só um método de você aplicar aquilo.
Mas a ideia é fazer uma modelagem ameaça.
Qual o framework que você vai usar, acho que acaba sendo independente.
Já vi lugar usar dois ao mesmo tempo, porque cobre duas coisas diferentes, enfim.
(19:17):
Mas você vai para o Stride da vida.
O nosso baseline de requisitos de segurança que gente falou pode não ter coberto lá coisascom temperem, por exemplo, elevation of privilege, coisas do tipo.
Então você vai pegar framework que vai te complementar algumas coisas.
E olha só que interessante isso.
Para acabar com o argumento que você falou, Benhor, de 20 30 % de esforço, o próprioframework de modelagem e ameaça não cobre 100 % das ameaças.
(19:43):
É um pedaço.
O stride são algumas categorias de ataques, não tem tudo ali.
Nem tem como ter tudo.
Você vai passar vida fazendo modelagem, a ameaça nunca acaba, não desenvolve nada.
As ameaças são as mais variáveis possíveis.
Então é pegar framework, na minha visão, junto, somado a esse baseline definido, episódio2, ouça lá, e aí você...
(20:03):
Beleza.
Então é isso aqui que eu vou falar.
Para esse sistema, ou para essa funcionalidade, ou para esse requisito funcional, ou paraessa parte aqui da aplicação, vamos pensar nessa, nessa, nessa ameaça.
E aí...
Chega nesse ponto que eu falei agora e vamos entrar na próxima etapa, que é como euregistro isso?
Acho que não tem muito como a gente fugir de ticketing.
(20:24):
A gente tinha falado no começo, se não me engano, no começo, produção, se a produçãoconseguir puxar aí, a gente tinha falado que o uso gira.
Não sei se a gente falou ou não, mas o uso gira.
Boa.
Boa.
também a gente usa C sharp para back-end e react para front-end.
Só resumo.
boa.
vai ser registrado ticket no Gira, como uma história.
(20:49):
Aí vale uma pergunta.
Isso é bug ou não?
A registra como bug, porque tem tipo disso, porque vai ter uma priorização, tem toda umaquestão definida nesse processo agora.
A gente está exatamente fazendo isso.
Se eu registro bug lá, ou uma vulnerabilidade, vamos falar assim, talvez você possa cairnum processo de SLA.
Mas a gente não chegou vulnerabilidade management, então gente não tem isso definido.
(21:09):
Mas vamos imaginar que...
eu criei ticket lá, Jira, como uma história, uma coisa assim, um app, alguma coisa que vaiser analisada.
Ó, legal, então eu tenho que implementar aqui, o Beaver falou muito bem de segredos.
Olha, eu tenho o Hard Code de Credentials aqui.
Então, tem Refactor no código pra tirar isso e implementar lá num cofre de senha, coisa dotipo.
Mas não tenho o cofre ainda, então virou uma task já gigante, né?
(21:31):
Só tirar a do código e uma task mínima, mas onde eu boto ela agora, né?
Então, vira ali trabalho de...
sprint pra fazer isso.
baseline de Secretory Requirements.
Não pode criar nos times de desenvolvimento, sair apontando programas, não tem solução.
exato.
E nesse exemplo específico é uma solução demorada, do dia pra noite.
Tira a senha do código, cria lá cofre, tem todo trabalho de arquitetura, inclusive,envolvido.
(21:54):
Mas beleza, então acho que vai virar um...
Sentou pra discutir isso, vai virar tiquete no gira.
Mas acho que tem passo atrás.
Quando a gente senta pra falar com essa galera?
Que momento a gente senta?
Porque a gente olha, já tem aplicação, já tem desenvolvimento, já tá produção.
é uma vez por semana, na Sprint Planning, se o time usa Agile da vida, Scrum da vida, é noProduct Backlog definido lá atrás, quando você está definindo tudo, nesse caso eu acho que
(22:21):
não, porque você já tem uma aplicação funcional, é só manutenção.
o meu fio de colaboração, e aí eu queria o comentário do Marcos na sequência, beleza.
Time, ó, partir de agora, para essas aplicações.
a cada duas semanas vocês têm uma sprint review e uma sprint planning, né?
Pra planejar a próxima sprint.
Então nesse momento eu estarei lá com vocês, eu, segurança, estarei lá com vocês junto como time de desenvolvimento, porque a gente vai fazer modelagem e ameaça.
(22:44):
Faz parte do processo agora que o time de segurança, ou alguém de segurança, Gepsec,estará envolvido nessas discussões.
Por quê?
Porque é na sprint planning que a gente vai definir o que será desenvolvido próximo.
E aí você chega num nível granular...
Olha, então vamos na próxima...
em próximo Sprint, a vai desenvolver uma nova tela de login, vamos desenvolver novolog-off, vamos desenvolver uma nova tela de cadastro, tem uns bugs que precisa corrigir,
(23:08):
então nos lugares que esses bugs estão, vai fazer a revisão de modelagem de ameaças,exemplo.
E veja, isso não é de fato já correção, é entender as ameaças que vão gerar tickets, que oBayer trouxe muito bem agora, que vão ser priorizados algum momento.
Mas acho que esse seria pouquinho do processo.
Vocês concordam, Marcos?
Bayer, vocês concordam?
O que vocês acham?
(23:29):
concordo acho que assim acho que a linha de pensamentos está correta só que antes de falarcom deve eu acho que tem um passo ainda antes disso né que é informar o deve que está
acontecendo porque eu devo muitas vezes você vai falar para ele pô tô gerando uma testaali por causa de uma delas de ameaça o cara não vai nem saber o que é então acho que fazer
(23:52):
uma comunicação informar o deve que vai começar a chegar novas tasks
que ele vai ter ali um trabalho extra vamos dizer assim né para fazer uma correção a maisele vai ter que dedicar um dia da semana ou dois para fazer ali algumas horas para fazer
aquelas correções e que são prioritárias aí sim acho que começar de ticket e começartambém a colocar dentro da sprint dele uma vez que já está informado e não vai pegar de
(24:17):
surpresa porque de novo se a pegar o dev de surpresa ele corre ele não vai fazer a gentetem que puxar ele para o nosso lado
Então, acho que esse step é step que eu faria de comunicar, trocar uma ideia, antes decomeçar a jogar a task no colo do cara.
Aí eu vou jogar uma bacaxi, bacaxi descascado, bem, essa comunicação que o Marcos falou,eu concordo, essa comunicação que o Marcos falou, concordo, mas ela é pro deve ou pro pio?
(24:51):
Porque eu vou fazer parênteses aqui, A gente esquece que deve é só empregado e faz o que émandado, né?
Assim como nós.
A gente está partindo do princípio, a gente que eu digo geral o mercado, está partindo doprincípio que o desenvolvedor escolhe, faz, dita as regras, segue a vida.
Cara, é empregado, vai fazer...
Eu tenho sistema, o usuário vai falar, eu tenho sistema novo, eu quero que faça isso e elevai executar aquilo.
(25:12):
Então, essa comunicação eu acho que seria para o P.O.
Falar, olha P.O., partir de agora eu, Segurância, estarei nas reuniões porque a gente vaidefinir, você é o produto, então gente vai definir alguns critérios de segurança, no caso
para fazer modelagem-amiace.
que vão gerar novas histórias que, consequentemente, vai gerar uma nova testa para odesenvolvedor no fim do dia, ou daqui a algum tempo.
(25:33):
Mas essa comunicação, não sei se seria pro deve de fato.
Acho que eu acho que precisa, porque necessariamente ele não vai ter uma ação agora, masquando eu entrar na reunião para fazer modalagem de mess com eles, eu preciso dos inputs
deles, porque eles conhecem o sistema muito mais do que eu como segurança.
aí o abacaxi pro bem-ureu, você acha que essa comunicação faz sentido?
(25:54):
nesse contexto, olha, piorou, vai ser assim agora?
se ela tiver alinhada com a estratégia da empresa.
assim, né?
Exato.
Então assim, se lá no topo, segurança agora virou uma prioridade, porque as conversas vãomudando, Por exemplo, cara, segurança agora é tão prioritário quanto entregar produto.
(26:16):
Essa é a conversa que rola lá cima.
A gente sabe que se tiver alguma coisa que pode colocar dinheiro no bolso,
é prioritário.
coisa de segurança que vai ser a prioridade é o que pode tirar esse mesmo dinheiro dooutro bros.
Então o restante vai ficar backlog.
Então assim, aí onde que entra a política é estratégia.
Então digamos que lá cima está alinhado.
(26:39):
Vamos lá.
Segurança é a prioridade junto com o desenvolvimento.
Mas se algum desenvolvimento põe dinheiro no bolso, ganha mais prioridade.
Então você tem que ter alguma coisa que mata esse dinheiro para ganhar prioridade das suastarefas de segurança.
E isso tendo alinhado...
automaticamente tem uma rodada anterior de apresentação das ações de segurança para aempresa ou para grupo, cluster, ou whatever, onde vai ser comunicado que, olha, nós vamos
(27:02):
estar nos comunicando com as equipes para elevar o nível de segurança das nossasaplicações, elevar o nível e tal, por causa de riscos X, Y, etc.
Ok, beleza?
Feito isso, porque a comunicação tem que ser adequada também.
Então, por exemplo, audiência adequada, Por exemplo, cara, tem que chegar e falar com ospioscos, os managers, senior managers, a conversa não é a mesma que eu tenho pro Dev.
(27:32):
A conversa é diferente.
O senso de importância é diferente.
Então, outra coisa que gera muito medo, muito receio, muito ódio, às vezes, nas equipes dedesenvolvimento, é eles não terem previsibilidade do quanto de esforço vai ser necessário
hum...
Resultado das ações de segurança, né?
(27:55):
Do tipo assim, cara, vou largar uma testa por deve lá, eu matei a sprint com deve,entendeu?
Saca?
Porque, vamos lá, aí o chefe do chefe daquele cara quer aquele produto pra agora, porquejá aquele cara prometeu pro outro cara que prometeu pro outro cara que prometeu pro outro
cara, entendeu?
Então, por isso que também tem que estar alinhado e já atacar bem o crítico, né?
(28:20):
Cara, a vamos fazer, focar bem no crítico.
E aí o que define crítico?
Que é outra questão, né?
Cara, gente vai se focar naquilo que é facilmente atacável e que pode deixar ainfraestrutura inoperante, o que pode causar impacto financeiro por fraude ou por roubo de
dinheiro, por falhas nas APIs, que pode levar x coisa.
(28:42):
E aí tu coloca os impactos de negócio que vão ser foco e tomar prioridade daqueledesenvolvimento.
E aí é onde entra, mas eu não sei quanto tempo vai levar essas tarefas e tal, aí tu ganhajogo.
Quanto mais cedo a gente fizer isso na etapa de desenvolvimento, menos impacto tem notempo que vai levar as tarefas para corrigir.
(29:04):
Por exemplo, se o código já existir, já estiver produção, cara, talvez tu vai levar umasprint, duas sprints para corrigir o problema.
Se isso mesmo for feito lá quando gente estiver desenhando, definindo as user stories,
ou estiver planejando o produto, isso talvez leve duas horas.
Entendido?
Exato.
comentário que eu ia fazer para colocar a segurança junto com a parte de história daaplicação até o Cassio já falou sobre isso, já gerou até polêmica o Benyur também é porque
(29:39):
qual o melhor momento de fazer isso?
que acho que também é outro impacto tá pronto, beleza, a gente já tá ali mas se você vaicomeçar uma aplicação nova, você vai fazer depois, a aplicação tá pronta
Vai fazer antes de começar a aplicação, vai fazer junto com a arquitetura ali.
o melhor momento também?
dar umas pinceladas aqui agora.
Tem dois cenários, nova aplicação existente.
(30:03):
gente partiu do princípio que gente está no hospital, que vai fazer transformação digital,olhar para a segurança agora, diretoria aprovou, episódio 1.
Então vamos começar a fazer.
Agora a definiu o processo, Então cada sprint planning a gente vai sentar para fazer essamodelagem, definir novos itens que vão ser priorizados de acordo com o X.
A vai chegar nisso talvez outro episódio, vão ser priorizados de acordo com o X.
(30:25):
Vai fazer agora, fazer sprint, vai demorar duas horas.
Vai ser priorizado, vai ser feito.
Acho que no nível de processo de modelagem e ameaça, gente chegou num acordo de legal.
A gente comunica, define, comunica e senta nas sprintplanes para fazer isso.
Ah, não uso sprintplane, uso waterfall.
Beleza, faz de requisito, você vai sentar lá com o cara.
(30:45):
Beleza, independente disso.
E tem segundo momento que a gente comentou.
O framework é independente.
aplica o A, o B, o C ou todos, o resultado no fim das contas são ameaças e requisitos desegurança que vão ser implementados.
O que eu gostaria de contribuir aqui?
Tem cara chamado Adam Schochstack, Adam Schochstack, eu vou deixar o link aqui no Youtube.
(31:15):
Mano, monstro, esse maluco tem post dele só de games de AppSec que já é fantástica.
Para os livros.
Inclusive, vou soltar spoiler, Pode ser que ele venha gravar com a gente aqui, hein?
Não faz a gente sonhar, não, Cassio.
faz a gente sonhar.
É o sonho de vida.
(31:37):
Esse cara é o sonho de vida, cara.
Como diz o contratação no futebol, conversas avançadas.
Enfim, ele criou um framework chamado Shockstacks for Question Framework for ThreatModeling, ou o framework de quatro perguntas para modelagem e ameaça.
(32:00):
E quais são as quatro perguntas?
resumo, depois o pessoal olha no link, vai estar o link na discussão aqui.
Primeira pergunta, você vai fazer modelagem de MA, você fazer a primeira pergunta.
No que estamos trabalhando?
Nosso time de desenvolvimento, APSEC, nós estamos fazendo o quê?
Na tela de login agora.
Agora é novo cada usuário, agora é novo sistema de pacientes, de gestão de quartos, porexemplo, da UTI, do hospital que a gente está falando.
Legal, primeira pergunta.
(32:20):
Segunda pergunta, e talvez a mais importante, o que pode dar errado do ponto de vista desegurança?
o que pode dar errado?
Terceira pergunta.
Essa na verdade é a mais importante.
O que vamos fazer sobre isso?
What are we going to do about it?
Ou seja, estou fazendo a tela de login.
(32:42):
Beleza, esse é o nosso requisito funcional.
Para quem não sabe, é a matéria prima do software, o requisito funcional.
Então se é software novo, você já consegue modelar só com a lista de requisitos.
Mas a partir do princípio, aqui gente tem um software funcional.
Legal, então vamos fazer uma tela de login nova.
Isso que gente está trabalhando agora.
O que pode dar errado?
usuários sem, tem que estar criptografado, legal, então se não tiver criptografado, possoter vazamento, um eventual vazamento, os dados expostos, tá bom?
(33:05):
Eu posso ter brute force, eu posso ter injection, injection asterisco, porque pode serqualquer injection, três coisas pode dar errado, jogando aqui no ar, tá?
O que vamos fazer sobre isso?
Requisitos de segurança.
Injection, botão af, validos inputs e sei lá.
Brute Force, botão captcha.
E criptografar os dados lá para evitar a exposição usando o algoritmo x, y, z.
(33:30):
Ou seja, três ameaças, estou falando de um exemplo bem prático.
O que estamos fazendo?
Três coisas que podem dar errado, três mitigações.
Não necessariamente é para pode ter uma coisa que dá errado e 500 mitigações e assim pordiante.
E última pergunta, fizemos bom trabalho?
Did we do a good job?
Ou seja, isso é suficiente.
Ponto, matou.
(33:52):
Eu ainda tomo a liberdade de reduzir para um framework.
É só perguntar o que pode dar errado, qual é a merda que pode acontecer nessafuncionalidade aqui.
Eu sou atacante, quero cagar com aplicação, quero invadir.
O que pode dar errado aqui?
Cara, essa pergunta já vai gerar para o desenvolvedor ou para as pessoas envolvidas, cara,mas eu posso fazer isso, posso fazer isso, posso fazer uma fraude.
Ainda que você não responda, que aí o Ben Uro falou bem, com aqueles 20 % 30 % decapacidade que você tem,
(34:17):
Ainda que você não responda, posso fazer uma Skelly Injection?
Mas você pode responder, cara, eu posso colocar qualquer informação aqui e vai passar oscontroles.
Olha, é Injection, por trás você tem uma vulnerabilidade escondida ali.
Porque é essa discussão que eu quero provocar.
Fazer modelagem e ameaça, pode ser, não precisa ter necessariamente diagrama com quentas,mil coisas.
Cara, é o que que pode dar errado do ponto de vista de segurança.
(34:39):
Então eu acho que fica a minha sugestão, não necessariamente, obviamente usar o frameworke dar uma estudada, mas...
discutir só nesse nível, fazer brainstorm, um sprint planning mesmo.
brainstorm, a gente vai fazer isso, isso, isso, isso.
Pega 15 minutos ali pra cada história ali, o que pode dar errado?
E lista, faz uma lista assim, papel de pão mesmo.
(35:01):
Cara, olha isso aqui é relevante, isso aqui não é, descarta, isso aqui é relevante.
Porque dali, aí é que o BenRoot tinha colocado.
Vai gerar ticket, vai gerar histórias, coisas que você vai necessariamente precisar fazerou implementar depois.
Mas acho que minha colaboração era essa, queria deixar esse...
Adam Shoksteck, vai tá o link aqui do framework aqui no YouTube, dar uma olhada aí.
(35:21):
até as quatro perguntas do Shorts of Sac essas, também passar uma tip que elas não sãoflat.
Por exemplo, o que a gente está trabalhando?
Velho, essa pergunta pode ser bem profundizada, tá?
Vamos lá.
O que nós estamos trabalhando, né?
(35:42):
Quando o caso é com outro cara, o que a gente está trabalhando?
Vamos lá, pra você que não conhece ainda essas quatro perguntas, ela é o capítulo.
Ela tem vários subcapítulos, né?
Primeiro, o que a gente está trabalhando?
Conhecer o negócio, conhecer o produto que está sendo desenvolvido, qual que é o problemade negócio que ele vai resolver.
Então, beleza, tem toda a parte do negócio.
Depois, essa pergunta ainda continua, o que a gente está trabalhando?
(36:05):
Quais são as tecnologias?
O que a gente vai desenvolver?
O que a gente vai usar para implementar?
Em que infraestrutura vai rodar?
Essa pergunta pode ter a profundidade que você quiser, inclusive...
Essa profundidade vai levar também a profundidade da próxima pergunta, que é o what can gowrong, o que pode dar de errado.
Ou é produto de negócio, ou tu foi até a parte de negócio, então eu treto moda de negócio,tu foi até a parte...
(36:30):
Porque vamos lá, depende de onde você está na cadeia de desenvolvimento, tu ainda não sabequal tecnologia que vai usar, não sabe qual infraestrutura vai usar.
Então a profundidade das respostas da primeira pergunta te ajuda a uma profundizadasegunda pergunta.
Cara...
vir de negócio, quais são as ameaças de negócio?
Porque quando a faz assim, o que que pode dar de errado também significa assim, o que queas pessoas podem tentar fazer, o que que criminoso pode fazer.
(36:54):
E aí a gente entra duas coisas, a gente entra na parte de threat actors e threat actions,vamos lá, tá?
Ou as ameaças, que você é bom ator.
Será que todo ator que usa o nosso negócio é um racudão lá do burp, do negócio?
Cara, às vezes não, às vezes os caras são fraudadores.
sem conhecimento técnico.
(37:15):
Então não basta a só olhar a parte técnica, como a gente olha assim, cara, o que acontecese o cara pegar cartão de crédito de uma outra pessoa e começar a colocar 10 contas
diferentes?
A gente é capaz de lidar com isso?
Entendeu?
Então pensar tanto quais atores vão atacar a gente, de que forma esses atores vão atacar agente, né?
Então aí começa a pegar o que tem de errado.
(37:36):
E aí, foi negócio, que dá de errado é negócio.
Foi de aplicação, o que dá de errado é aplicação.
Aqui pode ter S-Carry Injection, né?
Beleza, a gente já tem alguma medida automatizada, SAS, alguma coisa assim que tenta pegarisso aqui?
Ou não tem?
Porque os cuidados são meio diferentes, não tem, né?
Então, tipo...
Velho, aí depois do que a gente fez, o que a vai fazer com aquilo, quais são ascontramedidas que a vai fazer para mitigar essas coisas?
(38:02):
E a última pergunta para mim, que é se a fez o meu trabalho a melhor, porque ela é oThreat Modeling do Threat Modeling, né?
Por exemplo, a gente colocou uma mitigação.
Colocamos beleza.
Pode cara pode ter vulnerabilidade na identificação.
dar exemplo clássico tá.
cara vai fazer uma transferência financeira de uma coisa de transferência de dinheiro umaconta para outra.
(38:24):
não olha só se o cara botou mais de 5 mil reais de transferência financeira é bom a gentecolocar uma reautenticação.
Beleza a gente tem reautenticação?
Cara não tem.
Tá então vou fazer o seguinte tá vamos enviar código de seis números para o email do cara.
E o cara tem que confirmar esse código aqui, que depois que ele confirmar, daí sim a gentedeixa ele fazer transferência.
(38:45):
Beleza.
E ninguém botou...
Aí tá feita a mitigação.
Show!
Tá feita a mitigação.
Mas se o cara fizer brute force no código passa, porque ninguém fez o trait modeling daparte de código, entendeu?
Então tem uma vulnerabilidade dentro da mitigação.
É tentar não ficar infinito, mas essa pergunta é muito importante para não achar problemasdentro da solução proposta, né?
(39:08):
Que é...
você falou exemplo legal que é questão de você ter as vezes mitigações para umavulnerabilidade em etapas diferentes.
Você falou do SQL Injection, eu comentei do SQL Injection, Eu tenho uma aplicaçãoprodução?
Tenho.
Como é que eu resolvo isso?
input validez, então você vai ter fazer refactor do código.
Uma coisa.
Segunda coisa, o af.
Você não precisa necessariamente mexer no código.
(39:29):
Você vai lá, aplica o af, habilita regras, monitora isso.
Então você já tem duas mitigações em camadas diferentes.
Os camados são completamente diferentes, não dependem de uma da outra.
Se você fizer bem o input validation, o AFFER, bem entre aspas, se torna dispensável.
Mas não necessariamente, ele acaba sendo uma primeira camada de proteção.
(39:50):
Então você vai ter ameaças que vão demandar mitigações em etapas diferentes dodesenvolvimento.
Vai ter etapa que é código, etapa que é infra, etapa que é produto, etapa que é sómonitoramento.
Então, tenta porque a arquitetura só tem que definir criptografia e criptografar.
Tá, que é o gol de que você vai usar, por quê, qual que melhor, onde vai gravar a chave,onde não sei o quê.
(40:10):
Então, você volta espaço de arquitetura para uma aplicação que já está funcionando, que éo nosso cenário aqui.
Então, tem que tomar pouco de cuidado com isso também, mas isso que você falou, aprofundidade das questões vai te dar, vai...
De fato, né?
Esse é a modelagem ameaça.
Fazer essas perguntas, chegar na profundidade adequada e pegar o tipo de task.
Fala, Marcos.
Tá ansioso aí?
agora já responderam já que eu ia falar agora vou ficar quieto os caras não param velho oscaras são duas metralhadoras de falar do último toque até agora tem 20 minutos
(40:52):
Eu sempre lembro do professor Girafales falando, nunca me enganei, o Chapolin, eu nunca meenganei, só me enganei uma vez, quando achei estar enganado.
Sensacional.
Senhores, deixa eu fazer uma coisa aqui, olha, deixa eu se vai funcionar ainda, estáfuncionando.
(41:14):
do quadro favorito.
gritinho me pega toda vez,
(41:37):
Eu acho que é falar pro Devi assim, seguinte, Devi, eu preciso de diagrama da aplicação,diagrama de fluxos de dados, qualquer diagrama.
Cara, hoje dia a galera sempre não faz mais isso.
Sabe, o cara não sabe mais o que é o ML, Então, eu preciso de diagrama da sua aplicação.
Pra quê?
Não, porque eu vou fazer a modelagem ameaça, vou fazer uma revisão de segurança aqui, eupreciso de diagrama da aplicação.
(42:02):
Por que o cara vai chorar?
Porque não tem.
Então ele vai ter que fazer se necessariamente você tem certo poder para demandar isso.
E ele já vai se sentar e chorar.
Por que ele não tem?
ele às não conhece a aplicação como todo.
Então eu acho que pedir diagrama da FD, da FDzinho simples, pedir para o dev e fazer elechorar.
Cara, olhando as precisas recentes, isso é dado.
(42:25):
especialistas?
pesquisa recente mesmo.
É cerca de 70 % dos devs hoje estão usando IA para acordar.
Então eu falaria, você vai acordar sem IA.
Vó, essa é uma boa, Vai acordar sem iar, boa, gostei, gostei.
Gostei, boa.
E aí, Benyur, tem alguma que você deve chorar hoje?
(42:45):
tenho tenho tenho me passa por descrito o que que faz a aplicação
Nã...hahaha Essa foda também Essa foda também Nossa, o cara não sabe pôr no readme Boa,boa
pode fazer assim que o Tretmol, eu só me descrevo aí que faz a aplicação.
(43:06):
Nossa cara, três pancadas hoje no Dev, Não vai mais usar.
E me dá diagrama e descreve pra mim o que sua aplicação faz.
Cabou, velho, cabou.
Choro não acerta, choro não acerta.
o bicho não chora.
Boa.
Senhores, acho que fechando o episódio de hoje, se querem falar mais algum ponto, acho quegente falou bem ali de por que a galera não está fazendo modelos de ameaça, algumas dicas
(43:27):
de como começar a fazer, implementar processo de forma simples, Começar a comunicar aspessoas envolvidas, vai começar sentar com o pessoal na rotina deles.
Veja que a gente não criou uma rotina nossa, vai sentar uma reunião fazer modelos deameaça, não.
Nós, Epsec, estamos nos...
integrando ao processo deles, na sprint planning, na sprint review, exemplo, paraverificar se o foi discutido foi implementado.
(43:54):
Então, que framework e ferramenta não é irrelevante, mas não necessariamente sejaimportante para esse contexto.
O cara pode usar o framework que quiser, a ferramenta que quiser, enfim.
importante é mitigar problema, é mitigar risco, é mitigar ameaça.
E fica a dica aí, não sei se vocês já viram alguma startup, alguma coisa assim, algo dotipo assim, cara, algum chat que o dev consiga conversar, conversar e daí te entrega uma
(44:24):
modelagem, uma pré-modelagem ameaça, assim, sabe?
Tipo, porque eu vejo algumas coisas, tipo, cara, tu sobe até o mundo, até a alma lá,
de tudo.
aí tu começa a perguntar, aí, assim ó, isso existe vários, até o notebook L.M.
lá do Google faz isso, né?
Mas algo que tipo assim ó, que o, porque por exemplo quando a gente chega com o dev, agente chega lá e conversa com cara, meu, olha só, vamos lá, me explica agora pouquinho
(44:47):
rapidamente qual que é o contexto, tu entende?
cara vai conversando, tem esse bate-volta da conversa, entendeu?
Daí tu começa a sacar as coisas.
Hoje eu ainda não vi, não vi nada assim que tenha modelo similar, sabe?
Na Black Hatch da Europa, que foi agora dezembro dezembro de 2024, tive oportunidade deir.
Inclusive o business, business haul lá é gratuito.
Quem tiver pela por Londres acontece Londres.
(45:09):
O business haul é gratuito.
Tem uma startup, adivinha de onde é?
Adivinha de onde?
Só vale uma tentativa.
Israel.
Tem uma startup de Israel.
Que cara, não é nem fazer propaganda não, mas eu tenho banner algum lugar aqui que estavao papel aqui perto.
Enfim, o que eles fazem cara?
Você integra o agentezinho deles lá, a ferramenta deles lá, eles vão começar a ler o teuSharePoint, o teu Gira, eles vão ler onde você escreve as histórias.
(45:37):
Olha, eu tô fazendo a tela de login, é assim, é assim, assado.
Ele vai ler tudo isso.
Eu porque é SharePoint, Confluence, Gira, enfim, ele lê toda essa base de conhecimento edisso ele vai extrair.
Olha, eu vi aqui que você tá fazendo a tela de login.
Você considerou isso, isso, isso, isso, isso, isso, isso, isso.
Boa!
(45:57):
Boa!
o IA, obviamente, pra fazer...
Tem monte de coisa de linguagem, entendimento e tal.
Mas você só conecta as suas fontes, ó, eu documento tudo no SharePoint ou no Confluence,enfim.
Ele puxa tudo de lá.
Se eu não me engano, estavam...
Inclusive, o próximo passo era chat.
Então, eu quero pegar, monitorar tal chat do Tims, ou tal chat do Slack, porque pega asconversas da galera lá, ele vai mastigar tudo isso, e aí o Output é um...
(46:22):
Tipo cockpitzinho, uma tela.
Falando, olha, eu vi lá no Jira, nesse ticket que está sendo desenvolvido tal coisa.
Eu não vi no GitHub um commit falando disso.
Eu vi commit, mas olha, eu analisei o código porque eu integrei com outras soluções e vique não tem um authentication, vi que não tem cartografia, sei lá.
Então ele vai literalmente olhar o que você está fazendo para essas bases de dados e tedar o output de, olha, você considerou, por exemplo, esse requisito mínimo e esses
(46:50):
requisitos você pode alimentar nele também.
Como gente falou, gente definiu baseline, você pode alimentar.
falou, eu quero usar o Stride ou usar algum framework, ele vai com base no framework quetambém te dá algumas respostas.
ainda é uma startup, eles estão começando, então tem monte de falha, mas eu vi demo e já éalguma coisa assim, isso que você falou, pega já o que você tem aí e me dá um output.
(47:10):
Que eu acho que para fazer um chat, olha, cara interage ali, te gosta de algumas coisas,não tá muito longe, né, eu diria que é só pluguinha mais ali, mas tem.
A única coisa que eu teria assim, não pé atrás, mas eu pensaria duas vezes é o quanto osdevs hoje dia estão realmente explicando sua aplicação, descrevendo, criando histórias
(47:36):
ali, fazendo uns requisitos bonitinhos.
Porque startup, normalmente é na base do foda-se ali.
Pô, eu quero criar app, eu não vou criar uma história, seguir todo o processo ali,Requisito, blá, blá.
trouxe bom ponto.
É...
Exatamente.
bom ponto, mas...
(47:58):
trouxe bom ponto, nem consigo contra-argumentar.
É porque que eu queria dizer, em algum lugar a galera descreve, preciso fazer, ainda queseja só o título, ainda que seja só o título, saca?
Lembrei, cara, o nome da solução, lembrei, não, eu pus no Google aqui e fui mais ou menoslembrando.
É Clover Security.
Product Security Starts with Design.
(48:19):
Clover, C-L-O-V-E-R, ponto security.
Então estou vendo no site que eles pegam informação do conference do gira do Google DriveSharePoint Notion o integra com IDE, GitHub, GitHub, Miru, que você faz uns dashboards
também.
Então basicamente você.
Clover pronto security.
Inclusive o pessoal da Clover já ouvindo a gente.
(48:41):
you are listening to us we will be very happy if you could sponsor us.
O site nem estava pronto agora já está já tem uma landing page então eles estão evoluindoinclusive.
O founder é ex-Chekmarks, trabalhava na Chekmarks que é patrocinador nosso, obviamente aspessoas mudam de carreira e tal e as coisas entram.
(49:03):
Mas fica aí a dica, que isso que o Bayour perguntou, que já tem alguma coisa.
Pessoal, tamo cima da hora, querem fazer agradecimento, mandar beijo.
ou não, tá tudo bem?
pra vocês dois, Seus lindos aí que me acompanham.
até me saudade de vocês.
Saudades, Vocês estão de volta agora.
Então, beleza, pessoal.
Acho que é isso.
Fica as dicas aí.
(49:23):
Não perca.
Próximo episódio tende a ser a quarta parte.
A gente nem sabe quantas partes vai ter isso aqui.
Estamos montando programa de Epsec do Zero.
Então, acompanhem ouça os últimos dois que tem certeza que você vai...
Quer dizer, você não vai se arrepender.
Você não vai se arrepender, vai depender pouco.
Mas enfim, eu não consigo definir isso.
Bom, pessoal, é isso.
Eu sou o Caso Pereira.
(49:45):
Eu sou o Benhor.
E eu sou Marcos Santos.
E nos vemos no próximo episódio.
Tchau, galerinha!
É por isso que eu...
Oh, vai rodar agora.
vou fazer pouco de share.
Eu tava com saudade desse vinhetinho, ano já que gente não grava, todo mundo de férias,passeando, vai pro Brasil, o outro já tá no Brasil, virou uma bagunça isso aqui.
(00:36):
A verdade é que estamos de volta pra mais episódio de Devisecops Podcast.
Eu sou o Cássio Pereira.
Eu sou o Ben Hur.
E eu sou Marcos Santos.
Aí, o time completo.
Como é foi as férias?
Vocês descansaram?
Férias remuneradas?
Porque aqui é tudo ordem.
(00:57):
Boa, Boa.
Pô, tá marcado.
Os espois aí, cara.
Não pode ter esse tipo de conversa entre funcionários.
Deu treta.
aí, eu recebo em papel higiênico, se não tá ligado.
Essa é mercadoria, é mercadoria.
(01:17):
Cara, é bom estar de volta porque eu passei três semanas aí no Brasil, Viver família etal, deu pra descansar bastante, eu vou tomar um sol, que como vocês podem ver, quem tá
vendo no vídeo aí, vê que já tirou, já tô branco de voltei a ficar branco de novo, famosobranco europeu, Já não tenho mais o sol de novo, mas deu pra descansar, os meninos também
deram uma boa descansada, eu creio.
(01:39):
E a gente não esqueceu...
daquela série que a gente estava fazendo de montar programa de Epsec do zero.
Então a gente já teve dois episódios, hoje é o terceiro episódio, onde a vai falarpouquinho mais sobre o próximo passo nessa jornada.
Que jornada é essa?
Você vai escutar no episódio número episódio número dois, anteriores a esse, onde gentecomeça a falar ali sobre como montar programa de Epsec, não vou fazer resumo não, você vai
(02:02):
lá e deixa de ser preguiçoso, lá, escuta, assiste, enfim.
Bom, para começar o episódio de hoje, eu queria...
antes de começar o episódio, verdade, anunciar aqui os nossos parceiros, os nossospatrocinadores.
Então, o DevSecOps Podcast tem sempre o apoio da Checkmarks, SNIC e da Nova8, que sãoespecializadas em segurança de sistemas e código seguro.
(02:23):
O link da Nova8, é a distribuidora da Checkmarks no Brasil, está abaixo na descrição doepisódio no YouTube e também no nosso site, devsecopspodcast.com.br.
Inclusive, site novo, caso você ainda não tenha acessado.
Se você está buscando soluções de AppSec, a DigitalWoke tem portfólio completo para você.
E se você já se perguntou, estou sob ataque, algum dado ou informação sensível foi roubadoou ainda estou risco, a Purple Bird Security tem as respostas para você.
(02:51):
Fale com a Purple Bird que o pessoal é especialista forense, investigação, mano.
Inclusive, se você fez merda, fala com os caras.
Não, não é brincadeira.
Se você fez merda, você vai responder à justiça, vai falar com ninguém, não.
Pessoal, negócio é seguinte, vamos lá.
primeiros dois episódios, a falou pouco de como começar programa de AppSec, e gente chegouno terceiro episódio, que é tema que eu gosto bastante, mas é tema polêmico.
(03:11):
Por quê?
Modelagem de ameaças, eu adoro, gosto muito de...
Eu brinco que é a arte de encontrar problemas antes do software existir, modelagem deameaças.
Existem vários frameworks, a gente vai discutir isso hoje.
Mas por que é tema polêmico?
Porque muita gente fala, mas pouca gente faz.
E eu tenho uma opinião pessoal e eu vou...
(03:32):
pegar essa opinião já como primeiro tópico aqui pra gente discutir.
E aí eu queria começar pelo Benyur e depois o Marcos, dar resposta dele.
A minha visão é que ninguém faz porque é trabalho manual.
Não tem nada, tem uma outra ferramenta aí que ajuda a criar pelo menos diagrama, gerar alialguns requisitos.
Mas é trabalho de você sentar a bunda e dar input ali pra ferramenta, pro framework, o quequer que seja, pra ter output disso.
(03:58):
esse trabalho empírico manual extra...
Extra no sentido de completamente barra fora do desenvolvimento, não é fora porque a gentesabe que deveria estar embutido e essa é ideia aqui, mas pouca gente faz porque ele está
ali fora e demanda tempo, de fato, e a galera não está disposta a pagar esse preço detempo.
Essa é minha opinião, porque a galera não faz Street Modeling, porque o que não falta éframework, não falta é ferramenta, que não falta é informação, inclusive tem uma que eu
(04:25):
descobri esse disco que eu vou passar daqui a pouco, a pergunta é essa, o que você acha,Bimber?
Você acha que por ser trabalho manual...
a galera não faz, evita, ou é falta de conhecimento, como que você enxerga isso aí?
O que eu acho, que a galera não faz modelagem de ameaças, é porque eles têm poucaconfiança sobre o resultado que eles mesmos vão gerar com esse trabalho, se eles fizerem
(04:49):
por eles mesmos.
Então tipo assim, por exemplo, pega desenvolvedor e coloca ele pra fazer uma modelagem deameaças, a primeira coisa que ele vai olhar é, cara, será que eu vi tudo?
Será que eu sei fazer isso aqui?
Será que eu tenho conhecimento sobre as...
Porque a modidade de ameaça é você pegar ameaças e modelar ela lendo software, né?
(05:12):
Eu conheço as ameaças?
Muitas vezes eles não conhecem.
Então, eles olham assim, cara, eu vou fazer, mas eu posso não ser 30 % eficiente.
20 % eficiente.
Aí a questão é, se eu vou fazer algo que eu não sei que eu sou eficiente, por que eu voufazê-lo?
Por que eu vou fazer isso aqui?
Né?
ponto, bom ponto.
(05:33):
Bom ponto, que eu ainda vou pouquinho mais além.
acho que é porque o cara não sabe nem por onde começar.
Eu acho que quando o cara começa ali, pô, tem Stride, tem Octave, tem Dread, tem 500frameworks ali e o cara não conhece nenhum, fica até mais difícil.
Então eu acho que o principal problema é esse.
(05:54):
Que a tem ali, sei lá, o Microsoft Threat Modeler Tools que vai usar Stride.
A gente tem ferramentas no mercado como Threat Modeler, tem o próprio
a própria metodologia, Então o cara fica perdido, fala, por qual que eu começo?
Aí tem empresas que até hoje usam bisagem ainda, não sei por que, mas já vi muito isso.
de Process Modeler.
(06:14):
Caralho, isso na faculdade, velho.
Anos atrás.
Puta que pariu.
acho que isso dificulta, além do cara ser manual, ter toda essa dificuldade, eu acho queessa distribuição de frameworks e o cara não saber por onde começar também acaba
dificultando fazer uma modelagem de ameaças.
Vou fazer comentário cima disso que o Ben Hur comentou, que é o seguinte, cara...
(06:40):
Você pôs ponto importante, cara falou assim, eu sou 20%, 30 % eficiente nisso, então praque que eu vou fazer?
Eu acho que quando...
ótimo colocação.
Mas acho que o cara tinha que pensar proativamente, porra, minha mãe dizia muito, melhorpingar do que secar.
No quanto a segurança, é melhor você ter 20 % ou 30 % de efetividade ou 0 % deefetividade?
(07:03):
Então vou fazer um pouquinho aqui, vou fazer esse pouquinho.
Depois talvez eu vou aprender mais.
O Marcos trouxe outro ponto também que eu acho que é uma falha.
Eu não vou dizer nossa, porque a gente tenta educar e passa bastante sobre isso, mas umafalha pouco do pessoal de proativamente.
Então pera aí, eu entender isso, deixa eu pegar framework aqui, deixa eu fazer Hello Worldaqui numa ferramenta.
(07:25):
Tem o Asp.ThreatDragon também que implementa três frameworks por trás dele, acho que oPasta, o Lindoon e tem outro lá que eles implementam que eu esqueci agora.
Mas assim, acho que falta pouquinho dessa proatividade pra...
Deixa eu ver o que é isso, Então vejo todo mundo falando, mas eu não sei, eu...
Acho que como tudo, tem coisa que a gente simplesmente para e fala, não, deixa eu entenderpouco melhor isso aqui, deixa eu ir pra cima, porque isso vai me beneficiar e beneficiar
(07:47):
empresa de uma maneira geral, né?
Mas enfim, algum comentário é, se vocês querem fazer, se não, eu já vou suitar aqui propróximo top.
Manda aí, Bayer, manda aí.
tem que eu acho que é importante para levar consideração, que acho que o Mario comentou,que é dos, realmente, de muitas dinâmicas que já realizei com os times de desenvolvimento
sobre track modeling, acho que esse é o principal ponto, que é o cara, por onde que eucomeço, né?
(08:09):
E várias dinâmicas, pode ver, quer ver, ó, pega vários devs, porque eu fiz isso uma sériede vezes e é realmente verdade, pega vários devs e coloca numa sala e tipo assim, ó
pessoal, vamos aprender a fazer track modeling, né?
Vamos lá.
ninguém sabe por onde começar.
E aí vamos entender os níveis dos threat modeling, Porque uma coisa também que é bem comumé dentro de do processo de hiring dos caras de APSEC ter exercício de threat modeling.
(08:36):
Pra mim esse é o bagulho mais trique que existe, né?
Porque olha só, vamos lá, tu tá fazendo threat modeling do quê?
De uma ameaça de fluxo de negócio?
Porque daí tu vai olhar o fluxo do negócio, o produto sendo desenvolvido e dizer olha...
Se fizer uma compra aqui, não cancelar negócio lá, o cara vai ter reembolso indevido.
Você pode fazer uma modelagem ameaça do negócio, da funcionalidade do negócio.
(08:58):
Depois disso, você vai começar descendo camadas no mundo.
Poxa, viu o desenho do negócio, do produto, é uma modelagem ameaça.
Cara, vamos partir para a parte técnica do código.
Cara, qual o framework que vai usar?
Como é que está as comunicações?
Tá HTTPS, como é tá conexão com a base de dados, isso aqui tá encriptado, como é que tá oacesso a base de dados?
(09:20):
Entende que vai começando a baixar o nível, é como se fosse dando zoom-in.
Tem que negócio, tu olha e depois tu vai dar zoom-in na tecnologia.
Depois vai dar zoom-in na infraestrutura, vou dar exemplo, tá?
Uma coisa que...
Aí é onde entra a questão da efetividade que eu tava comentando, né?
Porque uma coisa que realmente concordo contigo, Décaso, que é melhor 20 % do que nada.
(09:43):
nesse contexto de segurança.
Exato, aí eu vejo que o deve precisa entender isso que você comentou.
Cara, é melhor 20 % do que nada.
E muitos desistem por não ter 100%, né?
Acho que é essa a mentalidade.
Vou dar exemplo.
Digamos que está lá no threat modeling e está olhando todo o desenho da solução e vêbucket S3.
(10:05):
Que armazena informação confidencial, sensível, whatever lá.
O cara fazer Threat Modem no Bucket S3 e dizer assim ó, qual que é a permissão desseBucket?
Ele é uma permissão de leitura ou de escritura?
E digamos que o cara faça o Threat Modem na permissão do Bucket, beleza?
O cara que parou o Threat Modem ele não sabe o que ele tá fazendo.
(10:25):
Por quê?
É permissão de leitura ou de escritura?
Beleza.
Quem é que tem permissão ou autorização pra mudar as políticas de IAM relacionado àqueleBucket?
Tem uma SCP na AWS pra definir as políticas ou tal de buckets com tags X?
E quem pode adicionar tag, entendeu?
Tipo, quando tu vai no terceiro...
Cara, tu vai muito deep.
(10:46):
Porque só botar bucket como read-only não significa que alguém não tem a poder pra mudarde read-only pra write.
Saca?
Então tu acaba expandindo isso.
E aí o cara olha assim...
Velho, se um desenvolvedor pega cara de AppSec bom...
E cara faz o Threat Modeling junto com ele, aprofundando nesse nível, tá pavoro
(11:07):
Exato.
Inclusive, comentou um ponto aí, né?
Esse é o DevSecOps de fato.
Cara, ter bucket que aplicação consome.
É leitura, beleza, lindo, maravilhoso, acabou.
Não.
Quem tem permissão lá no IAM pra mexer nessa permissão do bucket.
Quem pode ir lá e apagar a parada.
(11:28):
Quem audita isso depois, que alguém foi lá e alterou a permissão.
Isso é Supply Chain e DevSecOps, que se conecta tudo junto.
Então vai negócio...
é muito mais profundo.
E, cara, perfeito.
que essa...
Dei uma boa introduzida, né?
Por que a galera não está fazendo modelagem de ameaça, pouco de falta de conhecimento,pouco de proatividade, pouco do que você falou também, né, Benhor?
(11:50):
E eu queria trazer agora, então, para o nosso programa de Epsec.
Então, a gente entende que episódio 1 e 2 a gente discutiu, então agora seria o momento defalar assim, ó, legal, vamos começar a fazer modelagem de ameaça.
Então gente vai definir processo para isso.
Qual que é o framework, qual que é ferramenta, a vai chegar talvez mais pro final doepisódio, mas eu queria dar passo atrás agora a gente falar sobre o processo.
(12:10):
Como é que a gente traz isso pro time de desenvolvimento?
Aquela história, aquele contexto que a gente deu da empresa, Já existiu lá o hospital,informação sensível, já tem monte de coisa produção.
Vamos introduzir processo de modelagem de ameaças agora.
Qual é o primeiro passo?
O que que a gente faz?
Quem está ouvindo a gente vai sair desse episódio hoje e falar, legal, eu sei que eucomeço, posso começar um...
(12:32):
um processo de modelagem ameaça que o meu time de desenvolvimento.
que vocês...
Vou começar pelo Marcos agora.
O que você jogaria pro time, Marcos?
O que você acha?
Acho que primeiro identificar as aplicações mais críticas, que começa por aí e atravésdelas ali você vai fazendo igual o Benhor falou, Você começa ali pelo risco de negócio, o
que você vai ter nessa aplicação crítica e vai descer no nível.
(12:53):
Mas acho que o primeiro passo mesmo é fazer essa identificação e verificar ali qual onível de proteção que você tem de acordo com a modelagem.
Inclusive, episódio 1, se eu não me engano, a gente fez um assessment, gente falou ali deum catálogo, então dá pra já alimentar esse escopo de modelagem miércia com esse catálogo
(13:16):
de aplicações críticas que gente fez.
qual ferramenta você vai fazer na mão, acho que também é bem importante.
Boa, boa, porque no dia a gente já parava pensar, legal, então isso, definir o meu escopode modelagem ameaça, tá bom.
Então aqui no nosso hospital tem aplicação, tem dez aplicações, né, linhas gerais, duas,três delas são críticas, então é elas a gente vai introduzir processo de modelagem ameaça.
(13:36):
Benhur, definir o meu escopo, eu sei que agora tenho três aplicações que vão fazer partedesse processo.
Qual é o próximo passo?
O que você acha que a gente tem que fazer?
Perfeito, agora só pra gente dar um passinho ali antes pra definir estratégias, Nesse casoa gente tá escolhendo fazer modelagem de ameaças em aplicações, né?
Não em produtos, não funcionalidades de negócio que podem envolver várias aplicações, né?
(14:00):
A gente vai pegar uma aplicação.
Bem, se gente vai pegar essa aplicação, a parte mais fácil pra mim os que queens, beleza?
Vamos pra outra parte de, peguei aplicação crítica.
Eu já sei porque ela é crítica.
Eu já sei para que serve a aplicação.
Eu já sei qual o time que trabalha naquela aplicação.
Se você não sabe, olha o histórico de commits.
(14:21):
Tem uma dica que eu sempre dou para todo mundo que é...
entrevista, a entrevistou a galera antes, então a gente já sabe quem é quem, episódio 2,ouve esse episódio que é o ouro, esse episódio é o ouro.
o GitHub, o desenvolvedor contribuinte está lá também.
tá tudo aí.
tudo lá né?
Pull request, merge request, tudo do lá né?
(14:42):
Então assim, é aquele esquema, uma dica que eu sempre entrego pros profissionais é, sevocê for pesquisar uma informação, primeiro de tudo faça o exercício de, e se ninguém na
face da terra pudesse me dar essa informação?
Como que eu conseguiria ela?
Entende?
Vai atrás, abre o Google Drive, vê se não tem documento vazado, vai no repositório, lê asbagulhas, sabe?
(15:09):
Tipo, só pergunta pra alguém última instância que tu vai aprender muito sobre a empresa eas coisas que tem com isso, né?
Então assim, já sabemos, já entendemos todo o contexto da aplicação, já temos lá o que é,por que e quem é participa da aplicação, beleza?
Que que win?
Cara, pega o Security Baselines e aplica cima da aplicação.
(15:29):
Entende?
Pô, nossa, o security design tá dizendo lá que tudo tem que ter HTTPS, né?
Beleza.
Cara, essa aplicação aqui tá com HTTPS?
Se você encontrar uma forma, determinado momento, de validar automaticamente, porque temoutro nível do security default do baseline, que é eu ser capaz de identificar de forma
(15:50):
automática a falha dele.
Por exemplo, tem algum lugar onde tem o log das requisições e alguma coisa passa a HTTPSpor lá?
Entendeu?
Mas isso aí é outro assunto, O que a gente tem de forma automática.
Vamos lá, pega o Security Baseline que tu tem e olha assim, cara, beleza, aqui fala quetoda API você tem mecanismo de autenticação e autorização implementado para validar quem
(16:13):
pode ou não pode entrar e o que pode fazer não pode ali dentro.
Beleza, você tem esse baseline?
Ok, pessoal, nessa API como que a gente tem resolvido isso?
pra você que tá dúvida se você tem baseline ou não, no episódio 2 a gente fala como montaresse baseline, definir esses, esses, literalmente baseline né, definir esse mínimo ali
(16:33):
aceitável, o que tem que ter pra cada aplicação, tal, tal, tal, então só fazendoparênteses aí, baby, pode continuar.
Por exemplo assim ó cara segredos essa aplicação né?
Porque essa aplicação tem que ser segredos e como que ela está usando segredos né?
E aí a gente começa a ter as boas práticas.
Por que que o Security Baselines ele é tão importante?
Porque percebe você vai estar numa reunião com desenvolvedores conversando com elesfazendo perguntas importantes.
(16:57):
Saiba fazer...
confia e revisa.
Os cara deram a resposta mas faz check.
Faz check como é que tá o bagulho tá?
Então assim, porque no momento que você começar a olhar a cara, isso aqui como é que tá?
Como é que se soluciona?
Nené determinado momento os devs, você vai estar conversando com eles.
(17:21):
Talvez alguém não tenha participado da reunião, talvez alguém tenha esquecido de algumacoisa.
Então a primeira vez você responde, a segunda você tem que enviar link.
Então tenha o baseline de uma forma que você consiga também com...
partilhar com os desenvolvedores dentro disso.
a questão é, como que você registra as ações pendentes desse threat modeling?
(17:51):
Registrar de uma forma que, cara, só, vi aqui que vocês estão usando segredos em variáveisde ambiente, a gente já mudou isso, a gente já tá...
com arquivos em mount, dessa forma ou por Kubernetes SQL, não sei o que, Então isso aquitem que mudar.
Beleza?
Perceba que é uma ação, a gente está gerando uma ação para o time, uma tarefa para o time.
(18:15):
E essa tarefa precisa ter descrita e traqueada.
Aí tem que também estar bem definido que vai ser feito isso.
Bom, acho que seria esse próximo momento agora.
Mas antes de chegar nesse próximo momento, eu queria adicionar minha colaboração tambémnesse ponto, que é o seguinte.
Você falou bem, né?
A gente vai olhar para as ameaças olhando para o nosso baseline.
(18:35):
Legal, ali gente vai ter um catálogo de ameaças.
Mas a gente também vai ter ameaças que não estão lá.
Coisas, por exemplo.
A vai definir, vamos fazer um processo de modelagem de ameaça e algum momento vai serdefinido qual o framework.
Acho que não faz nem sentido a definir aqui e não vamos usar isso ou aquele.
Como exemplo, vamos fazer Stride, beleza.
(18:56):
Mas para esse processo vai depender pouco do time, os testes, o que gosta mais, o que seaplica mais.
Porque o framework, no fim das contas, ele é só um método de você aplicar aquilo.
Mas a ideia é fazer uma modelagem ameaça.
Qual o framework que você vai usar, acho que acaba sendo independente.
Já vi lugar usar dois ao mesmo tempo, porque cobre duas coisas diferentes, enfim.
(19:17):
Mas você vai para o Stride da vida.
O nosso baseline de requisitos de segurança que gente falou pode não ter coberto lá coisascom temperem, por exemplo, elevation of privilege, coisas do tipo.
Então você vai pegar framework que vai te complementar algumas coisas.
E olha só que interessante isso.
Para acabar com o argumento que você falou, Benhor, de 20 30 % de esforço, o próprioframework de modelagem e ameaça não cobre 100 % das ameaças.
(19:43):
É um pedaço.
O stride são algumas categorias de ataques, não tem tudo ali.
Nem tem como ter tudo.
Você vai passar vida fazendo modelagem, a ameaça nunca acaba, não desenvolve nada.
As ameaças são as mais variáveis possíveis.
Então é pegar framework, na minha visão, junto, somado a esse baseline definido, episódio2, ouça lá, e aí você...
(20:03):
Beleza.
Então é isso aqui que eu vou falar.
Para esse sistema, ou para essa funcionalidade, ou para esse requisito funcional, ou paraessa parte aqui da aplicação, vamos pensar nessa, nessa, nessa ameaça.
E aí...
Chega nesse ponto que eu falei agora e vamos entrar na próxima etapa, que é como euregistro isso?
Acho que não tem muito como a gente fugir de ticketing.
(20:24):
A gente tinha falado no começo, se não me engano, no começo, produção, se a produçãoconseguir puxar aí, a gente tinha falado que o uso gira.
Não sei se a gente falou ou não, mas o uso gira.
Boa.
Boa.
também a gente usa C sharp para back-end e react para front-end.
Só resumo.
boa.
vai ser registrado ticket no Gira, como uma história.
(20:49):
Aí vale uma pergunta.
Isso é bug ou não?
A registra como bug, porque tem tipo disso, porque vai ter uma priorização, tem toda umaquestão definida nesse processo agora.
A gente está exatamente fazendo isso.
Se eu registro bug lá, ou uma vulnerabilidade, vamos falar assim, talvez você possa cairnum processo de SLA.
Mas a gente não chegou vulnerabilidade management, então gente não tem isso definido.
(21:09):
Mas vamos imaginar que...
eu criei ticket lá, Jira, como uma história, uma coisa assim, um app, alguma coisa que vaiser analisada.
Ó, legal, então eu tenho que implementar aqui, o Beaver falou muito bem de segredos.
Olha, eu tenho o Hard Code de Credentials aqui.
Então, tem Refactor no código pra tirar isso e implementar lá num cofre de senha, coisa dotipo.
Mas não tenho o cofre ainda, então virou uma task já gigante, né?
(21:31):
Só tirar a do código e uma task mínima, mas onde eu boto ela agora, né?
Então, vira ali trabalho de...
sprint pra fazer isso.
baseline de Secretory Requirements.
Não pode criar nos times de desenvolvimento, sair apontando programas, não tem solução.
exato.
E nesse exemplo específico é uma solução demorada, do dia pra noite.
Tira a senha do código, cria lá cofre, tem todo trabalho de arquitetura, inclusive,envolvido.
(21:54):
Mas beleza, então acho que vai virar um...
Sentou pra discutir isso, vai virar tiquete no gira.
Mas acho que tem passo atrás.
Quando a gente senta pra falar com essa galera?
Que momento a gente senta?
Porque a gente olha, já tem aplicação, já tem desenvolvimento, já tá produção.
é uma vez por semana, na Sprint Planning, se o time usa Agile da vida, Scrum da vida, é noProduct Backlog definido lá atrás, quando você está definindo tudo, nesse caso eu acho que
(22:21):
não, porque você já tem uma aplicação funcional, é só manutenção.
o meu fio de colaboração, e aí eu queria o comentário do Marcos na sequência, beleza.
Time, ó, partir de agora, para essas aplicações.
a cada duas semanas vocês têm uma sprint review e uma sprint planning, né?
Pra planejar a próxima sprint.
Então nesse momento eu estarei lá com vocês, eu, segurança, estarei lá com vocês junto como time de desenvolvimento, porque a gente vai fazer modelagem e ameaça.
(22:44):
Faz parte do processo agora que o time de segurança, ou alguém de segurança, Gepsec,estará envolvido nessas discussões.
Por quê?
Porque é na sprint planning que a gente vai definir o que será desenvolvido próximo.
E aí você chega num nível granular...
Olha, então vamos na próxima...
em próximo Sprint, a vai desenvolver uma nova tela de login, vamos desenvolver novolog-off, vamos desenvolver uma nova tela de cadastro, tem uns bugs que precisa corrigir,
(23:08):
então nos lugares que esses bugs estão, vai fazer a revisão de modelagem de ameaças,exemplo.
E veja, isso não é de fato já correção, é entender as ameaças que vão gerar tickets, que oBayer trouxe muito bem agora, que vão ser priorizados algum momento.
Mas acho que esse seria pouquinho do processo.
Vocês concordam, Marcos?
Bayer, vocês concordam?
O que vocês acham?
(23:29):
concordo acho que assim acho que a linha de pensamentos está correta só que antes de falarcom deve eu acho que tem um passo ainda antes disso né que é informar o deve que está
acontecendo porque eu devo muitas vezes você vai falar para ele pô tô gerando uma testaali por causa de uma delas de ameaça o cara não vai nem saber o que é então acho que fazer
(23:52):
uma comunicação informar o deve que vai começar a chegar novas tasks
que ele vai ter ali um trabalho extra vamos dizer assim né para fazer uma correção a maisele vai ter que dedicar um dia da semana ou dois para fazer ali algumas horas para fazer
aquelas correções e que são prioritárias aí sim acho que começar de ticket e começartambém a colocar dentro da sprint dele uma vez que já está informado e não vai pegar de
(24:17):
surpresa porque de novo se a pegar o dev de surpresa ele corre ele não vai fazer a gentetem que puxar ele para o nosso lado
Então, acho que esse step é step que eu faria de comunicar, trocar uma ideia, antes decomeçar a jogar a task no colo do cara.
Aí eu vou jogar uma bacaxi, bacaxi descascado, bem, essa comunicação que o Marcos falou,eu concordo, essa comunicação que o Marcos falou, concordo, mas ela é pro deve ou pro pio?
(24:51):
Porque eu vou fazer parênteses aqui, A gente esquece que deve é só empregado e faz o que émandado, né?
Assim como nós.
A gente está partindo do princípio, a gente que eu digo geral o mercado, está partindo doprincípio que o desenvolvedor escolhe, faz, dita as regras, segue a vida.
Cara, é empregado, vai fazer...
Eu tenho sistema, o usuário vai falar, eu tenho sistema novo, eu quero que faça isso e elevai executar aquilo.
(25:12):
Então, essa comunicação eu acho que seria para o P.O.
Falar, olha P.O., partir de agora eu, Segurância, estarei nas reuniões porque a gente vaidefinir, você é o produto, então gente vai definir alguns critérios de segurança, no caso
para fazer modelagem-amiace.
que vão gerar novas histórias que, consequentemente, vai gerar uma nova testa para odesenvolvedor no fim do dia, ou daqui a algum tempo.
(25:33):
Mas essa comunicação, não sei se seria pro deve de fato.
Acho que eu acho que precisa, porque necessariamente ele não vai ter uma ação agora, masquando eu entrar na reunião para fazer modalagem de mess com eles, eu preciso dos inputs
deles, porque eles conhecem o sistema muito mais do que eu como segurança.
aí o abacaxi pro bem-ureu, você acha que essa comunicação faz sentido?
(25:54):
nesse contexto, olha, piorou, vai ser assim agora?
se ela tiver alinhada com a estratégia da empresa.
assim, né?
Exato.
Então assim, se lá no topo, segurança agora virou uma prioridade, porque as conversas vãomudando, Por exemplo, cara, segurança agora é tão prioritário quanto entregar produto.
(26:16):
Essa é a conversa que rola lá cima.
A gente sabe que se tiver alguma coisa que pode colocar dinheiro no bolso,
é prioritário.
coisa de segurança que vai ser a prioridade é o que pode tirar esse mesmo dinheiro dooutro bros.
Então o restante vai ficar backlog.
Então assim, aí onde que entra a política é estratégia.
Então digamos que lá cima está alinhado.
(26:39):
Vamos lá.
Segurança é a prioridade junto com o desenvolvimento.
Mas se algum desenvolvimento põe dinheiro no bolso, ganha mais prioridade.
Então você tem que ter alguma coisa que mata esse dinheiro para ganhar prioridade das suastarefas de segurança.
E isso tendo alinhado...
automaticamente tem uma rodada anterior de apresentação das ações de segurança para aempresa ou para grupo, cluster, ou whatever, onde vai ser comunicado que, olha, nós vamos
(27:02):
estar nos comunicando com as equipes para elevar o nível de segurança das nossasaplicações, elevar o nível e tal, por causa de riscos X, Y, etc.
Ok, beleza?
Feito isso, porque a comunicação tem que ser adequada também.
Então, por exemplo, audiência adequada, Por exemplo, cara, tem que chegar e falar com ospioscos, os managers, senior managers, a conversa não é a mesma que eu tenho pro Dev.
(27:32):
A conversa é diferente.
O senso de importância é diferente.
Então, outra coisa que gera muito medo, muito receio, muito ódio, às vezes, nas equipes dedesenvolvimento, é eles não terem previsibilidade do quanto de esforço vai ser necessário
hum...
Resultado das ações de segurança, né?
(27:55):
Do tipo assim, cara, vou largar uma testa por deve lá, eu matei a sprint com deve,entendeu?
Saca?
Porque, vamos lá, aí o chefe do chefe daquele cara quer aquele produto pra agora, porquejá aquele cara prometeu pro outro cara que prometeu pro outro cara que prometeu pro outro
cara, entendeu?
Então, por isso que também tem que estar alinhado e já atacar bem o crítico, né?
(28:20):
Cara, a vamos fazer, focar bem no crítico.
E aí o que define crítico?
Que é outra questão, né?
Cara, gente vai se focar naquilo que é facilmente atacável e que pode deixar ainfraestrutura inoperante, o que pode causar impacto financeiro por fraude ou por roubo de
dinheiro, por falhas nas APIs, que pode levar x coisa.
(28:42):
E aí tu coloca os impactos de negócio que vão ser foco e tomar prioridade daqueledesenvolvimento.
E aí é onde entra, mas eu não sei quanto tempo vai levar essas tarefas e tal, aí tu ganhajogo.
Quanto mais cedo a gente fizer isso na etapa de desenvolvimento, menos impacto tem notempo que vai levar as tarefas para corrigir.
(29:04):
Por exemplo, se o código já existir, já estiver produção, cara, talvez tu vai levar umasprint, duas sprints para corrigir o problema.
Se isso mesmo for feito lá quando gente estiver desenhando, definindo as user stories,
ou estiver planejando o produto, isso talvez leve duas horas.
Entendido?
Exato.
comentário que eu ia fazer para colocar a segurança junto com a parte de história daaplicação até o Cassio já falou sobre isso, já gerou até polêmica o Benyur também é porque
(29:39):
qual o melhor momento de fazer isso?
que acho que também é outro impacto tá pronto, beleza, a gente já tá ali mas se você vaicomeçar uma aplicação nova, você vai fazer depois, a aplicação tá pronta
Vai fazer antes de começar a aplicação, vai fazer junto com a arquitetura ali.
o melhor momento também?
dar umas pinceladas aqui agora.
Tem dois cenários, nova aplicação existente.
(30:03):
gente partiu do princípio que gente está no hospital, que vai fazer transformação digital,olhar para a segurança agora, diretoria aprovou, episódio 1.
Então vamos começar a fazer.
Agora a definiu o processo, Então cada sprint planning a gente vai sentar para fazer essamodelagem, definir novos itens que vão ser priorizados de acordo com o X.
A vai chegar nisso talvez outro episódio, vão ser priorizados de acordo com o X.
(30:25):
Vai fazer agora, fazer sprint, vai demorar duas horas.
Vai ser priorizado, vai ser feito.
Acho que no nível de processo de modelagem e ameaça, gente chegou num acordo de legal.
A gente comunica, define, comunica e senta nas sprintplanes para fazer isso.
Ah, não uso sprintplane, uso waterfall.
Beleza, faz de requisito, você vai sentar lá com o cara.
(30:45):
Beleza, independente disso.
E tem segundo momento que a gente comentou.
O framework é independente.
aplica o A, o B, o C ou todos, o resultado no fim das contas são ameaças e requisitos desegurança que vão ser implementados.
O que eu gostaria de contribuir aqui?
Tem cara chamado Adam Schochstack, Adam Schochstack, eu vou deixar o link aqui no Youtube.
(31:15):
Mano, monstro, esse maluco tem post dele só de games de AppSec que já é fantástica.
Para os livros.
Inclusive, vou soltar spoiler, Pode ser que ele venha gravar com a gente aqui, hein?
Não faz a gente sonhar, não, Cassio.
faz a gente sonhar.
É o sonho de vida.
(31:37):
Esse cara é o sonho de vida, cara.
Como diz o contratação no futebol, conversas avançadas.
Enfim, ele criou um framework chamado Shockstacks for Question Framework for ThreatModeling, ou o framework de quatro perguntas para modelagem e ameaça.
(32:00):
E quais são as quatro perguntas?
resumo, depois o pessoal olha no link, vai estar o link na discussão aqui.
Primeira pergunta, você vai fazer modelagem de MA, você fazer a primeira pergunta.
No que estamos trabalhando?
Nosso time de desenvolvimento, APSEC, nós estamos fazendo o quê?
Na tela de login agora.
Agora é novo cada usuário, agora é novo sistema de pacientes, de gestão de quartos, porexemplo, da UTI, do hospital que a gente está falando.
Legal, primeira pergunta.
(32:20):
Segunda pergunta, e talvez a mais importante, o que pode dar errado do ponto de vista desegurança?
o que pode dar errado?
Terceira pergunta.
Essa na verdade é a mais importante.
O que vamos fazer sobre isso?
What are we going to do about it?
Ou seja, estou fazendo a tela de login.
(32:42):
Beleza, esse é o nosso requisito funcional.
Para quem não sabe, é a matéria prima do software, o requisito funcional.
Então se é software novo, você já consegue modelar só com a lista de requisitos.
Mas a partir do princípio, aqui gente tem um software funcional.
Legal, então vamos fazer uma tela de login nova.
Isso que gente está trabalhando agora.
O que pode dar errado?
usuários sem, tem que estar criptografado, legal, então se não tiver criptografado, possoter vazamento, um eventual vazamento, os dados expostos, tá bom?
(33:05):
Eu posso ter brute force, eu posso ter injection, injection asterisco, porque pode serqualquer injection, três coisas pode dar errado, jogando aqui no ar, tá?
O que vamos fazer sobre isso?
Requisitos de segurança.
Injection, botão af, validos inputs e sei lá.
Brute Force, botão captcha.
E criptografar os dados lá para evitar a exposição usando o algoritmo x, y, z.
(33:30):
Ou seja, três ameaças, estou falando de um exemplo bem prático.
O que estamos fazendo?
Três coisas que podem dar errado, três mitigações.
Não necessariamente é para pode ter uma coisa que dá errado e 500 mitigações e assim pordiante.
E última pergunta, fizemos bom trabalho?
Did we do a good job?
Ou seja, isso é suficiente.
Ponto, matou.
(33:52):
Eu ainda tomo a liberdade de reduzir para um framework.
É só perguntar o que pode dar errado, qual é a merda que pode acontecer nessafuncionalidade aqui.
Eu sou atacante, quero cagar com aplicação, quero invadir.
O que pode dar errado aqui?
Cara, essa pergunta já vai gerar para o desenvolvedor ou para as pessoas envolvidas, cara,mas eu posso fazer isso, posso fazer isso, posso fazer uma fraude.
Ainda que você não responda, que aí o Ben Uro falou bem, com aqueles 20 % 30 % decapacidade que você tem,
(34:17):
Ainda que você não responda, posso fazer uma Skelly Injection?
Mas você pode responder, cara, eu posso colocar qualquer informação aqui e vai passar oscontroles.
Olha, é Injection, por trás você tem uma vulnerabilidade escondida ali.
Porque é essa discussão que eu quero provocar.
Fazer modelagem e ameaça, pode ser, não precisa ter necessariamente diagrama com quentas,mil coisas.
Cara, é o que que pode dar errado do ponto de vista de segurança.
(34:39):
Então eu acho que fica a minha sugestão, não necessariamente, obviamente usar o frameworke dar uma estudada, mas...
discutir só nesse nível, fazer brainstorm, um sprint planning mesmo.
brainstorm, a gente vai fazer isso, isso, isso, isso.
Pega 15 minutos ali pra cada história ali, o que pode dar errado?
E lista, faz uma lista assim, papel de pão mesmo.
(35:01):
Cara, olha isso aqui é relevante, isso aqui não é, descarta, isso aqui é relevante.
Porque dali, aí é que o BenRoot tinha colocado.
Vai gerar ticket, vai gerar histórias, coisas que você vai necessariamente precisar fazerou implementar depois.
Mas acho que minha colaboração era essa, queria deixar esse...
Adam Shoksteck, vai tá o link aqui do framework aqui no YouTube, dar uma olhada aí.
(35:21):
até as quatro perguntas do Shorts of Sac essas, também passar uma tip que elas não sãoflat.
Por exemplo, o que a gente está trabalhando?
Velho, essa pergunta pode ser bem profundizada, tá?
Vamos lá.
O que nós estamos trabalhando, né?
(35:42):
Quando o caso é com outro cara, o que a gente está trabalhando?
Vamos lá, pra você que não conhece ainda essas quatro perguntas, ela é o capítulo.
Ela tem vários subcapítulos, né?
Primeiro, o que a gente está trabalhando?
Conhecer o negócio, conhecer o produto que está sendo desenvolvido, qual que é o problemade negócio que ele vai resolver.
Então, beleza, tem toda a parte do negócio.
Depois, essa pergunta ainda continua, o que a gente está trabalhando?
(36:05):
Quais são as tecnologias?
O que a gente vai desenvolver?
O que a gente vai usar para implementar?
Em que infraestrutura vai rodar?
Essa pergunta pode ter a profundidade que você quiser, inclusive...
Essa profundidade vai levar também a profundidade da próxima pergunta, que é o what can gowrong, o que pode dar de errado.
Ou é produto de negócio, ou tu foi até a parte de negócio, então eu treto moda de negócio,tu foi até a parte...
(36:30):
Porque vamos lá, depende de onde você está na cadeia de desenvolvimento, tu ainda não sabequal tecnologia que vai usar, não sabe qual infraestrutura vai usar.
Então a profundidade das respostas da primeira pergunta te ajuda a uma profundizadasegunda pergunta.
Cara...
vir de negócio, quais são as ameaças de negócio?
Porque quando a faz assim, o que que pode dar de errado também significa assim, o que queas pessoas podem tentar fazer, o que que criminoso pode fazer.
(36:54):
E aí a gente entra duas coisas, a gente entra na parte de threat actors e threat actions,vamos lá, tá?
Ou as ameaças, que você é bom ator.
Será que todo ator que usa o nosso negócio é um racudão lá do burp, do negócio?
Cara, às vezes não, às vezes os caras são fraudadores.
sem conhecimento técnico.
(37:15):
Então não basta a só olhar a parte técnica, como a gente olha assim, cara, o que acontecese o cara pegar cartão de crédito de uma outra pessoa e começar a colocar 10 contas
diferentes?
A gente é capaz de lidar com isso?
Entendeu?
Então pensar tanto quais atores vão atacar a gente, de que forma esses atores vão atacar agente, né?
Então aí começa a pegar o que tem de errado.
(37:36):
E aí, foi negócio, que dá de errado é negócio.
Foi de aplicação, o que dá de errado é aplicação.
Aqui pode ter S-Carry Injection, né?
Beleza, a gente já tem alguma medida automatizada, SAS, alguma coisa assim que tenta pegarisso aqui?
Ou não tem?
Porque os cuidados são meio diferentes, não tem, né?
Então, tipo...
Velho, aí depois do que a gente fez, o que a vai fazer com aquilo, quais são ascontramedidas que a vai fazer para mitigar essas coisas?
(38:02):
E a última pergunta para mim, que é se a fez o meu trabalho a melhor, porque ela é oThreat Modeling do Threat Modeling, né?
Por exemplo, a gente colocou uma mitigação.
Colocamos beleza.
Pode cara pode ter vulnerabilidade na identificação.
dar exemplo clássico tá.
cara vai fazer uma transferência financeira de uma coisa de transferência de dinheiro umaconta para outra.
(38:24):
não olha só se o cara botou mais de 5 mil reais de transferência financeira é bom a gentecolocar uma reautenticação.
Beleza a gente tem reautenticação?
Cara não tem.
Tá então vou fazer o seguinte tá vamos enviar código de seis números para o email do cara.
E o cara tem que confirmar esse código aqui, que depois que ele confirmar, daí sim a gentedeixa ele fazer transferência.
(38:45):
Beleza.
E ninguém botou...
Aí tá feita a mitigação.
Show!
Tá feita a mitigação.
Mas se o cara fizer brute force no código passa, porque ninguém fez o trait modeling daparte de código, entendeu?
Então tem uma vulnerabilidade dentro da mitigação.
É tentar não ficar infinito, mas essa pergunta é muito importante para não achar problemasdentro da solução proposta, né?
(39:08):
Que é...
você falou exemplo legal que é questão de você ter as vezes mitigações para umavulnerabilidade em etapas diferentes.
Você falou do SQL Injection, eu comentei do SQL Injection, Eu tenho uma aplicaçãoprodução?
Tenho.
Como é que eu resolvo isso?
input validez, então você vai ter fazer refactor do código.
Uma coisa.
Segunda coisa, o af.
Você não precisa necessariamente mexer no código.
(39:29):
Você vai lá, aplica o af, habilita regras, monitora isso.
Então você já tem duas mitigações em camadas diferentes.
Os camados são completamente diferentes, não dependem de uma da outra.
Se você fizer bem o input validation, o AFFER, bem entre aspas, se torna dispensável.
Mas não necessariamente, ele acaba sendo uma primeira camada de proteção.
(39:50):
Então você vai ter ameaças que vão demandar mitigações em etapas diferentes dodesenvolvimento.
Vai ter etapa que é código, etapa que é infra, etapa que é produto, etapa que é sómonitoramento.
Então, tenta porque a arquitetura só tem que definir criptografia e criptografar.
Tá, que é o gol de que você vai usar, por quê, qual que melhor, onde vai gravar a chave,onde não sei o quê.
(40:10):
Então, você volta espaço de arquitetura para uma aplicação que já está funcionando, que éo nosso cenário aqui.
Então, tem que tomar pouco de cuidado com isso também, mas isso que você falou, aprofundidade das questões vai te dar, vai...
De fato, né?
Esse é a modelagem ameaça.
Fazer essas perguntas, chegar na profundidade adequada e pegar o tipo de task.
Fala, Marcos.
Tá ansioso aí?
agora já responderam já que eu ia falar agora vou ficar quieto os caras não param velho oscaras são duas metralhadoras de falar do último toque até agora tem 20 minutos
(40:52):
Eu sempre lembro do professor Girafales falando, nunca me enganei, o Chapolin, eu nunca meenganei, só me enganei uma vez, quando achei estar enganado.
Sensacional.
Senhores, deixa eu fazer uma coisa aqui, olha, deixa eu se vai funcionar ainda, estáfuncionando.
(41:14):
do quadro favorito.
gritinho me pega toda vez,
(41:37):
Eu acho que é falar pro Devi assim, seguinte, Devi, eu preciso de diagrama da aplicação,diagrama de fluxos de dados, qualquer diagrama.
Cara, hoje dia a galera sempre não faz mais isso.
Sabe, o cara não sabe mais o que é o ML, Então, eu preciso de diagrama da sua aplicação.
Pra quê?
Não, porque eu vou fazer a modelagem ameaça, vou fazer uma revisão de segurança aqui, eupreciso de diagrama da aplicação.
(42:02):
Por que o cara vai chorar?
Porque não tem.
Então ele vai ter que fazer se necessariamente você tem certo poder para demandar isso.
E ele já vai se sentar e chorar.
Por que ele não tem?
ele às não conhece a aplicação como todo.
Então eu acho que pedir diagrama da FD, da FDzinho simples, pedir para o dev e fazer elechorar.
Cara, olhando as precisas recentes, isso é dado.
(42:25):
especialistas?
pesquisa recente mesmo.
É cerca de 70 % dos devs hoje estão usando IA para acordar.
Então eu falaria, você vai acordar sem IA.
Vó, essa é uma boa, Vai acordar sem iar, boa, gostei, gostei.
Gostei, boa.
E aí, Benyur, tem alguma que você deve chorar hoje?
(42:45):
tenho tenho tenho me passa por descrito o que que faz a aplicação
Nã...hahaha Essa foda também Essa foda também Nossa, o cara não sabe pôr no readme Boa,boa
pode fazer assim que o Tretmol, eu só me descrevo aí que faz a aplicação.
(43:06):
Nossa cara, três pancadas hoje no Dev, Não vai mais usar.
E me dá diagrama e descreve pra mim o que sua aplicação faz.
Cabou, velho, cabou.
Choro não acerta, choro não acerta.
o bicho não chora.
Boa.
Senhores, acho que fechando o episódio de hoje, se querem falar mais algum ponto, acho quegente falou bem ali de por que a galera não está fazendo modelos de ameaça, algumas dicas
(43:27):
de como começar a fazer, implementar processo de forma simples, Começar a comunicar aspessoas envolvidas, vai começar sentar com o pessoal na rotina deles.
Veja que a gente não criou uma rotina nossa, vai sentar uma reunião fazer modelos deameaça, não.
Nós, Epsec, estamos nos...
integrando ao processo deles, na sprint planning, na sprint review, exemplo, paraverificar se o foi discutido foi implementado.
(43:54):
Então, que framework e ferramenta não é irrelevante, mas não necessariamente sejaimportante para esse contexto.
O cara pode usar o framework que quiser, a ferramenta que quiser, enfim.
importante é mitigar problema, é mitigar risco, é mitigar ameaça.
E fica a dica aí, não sei se vocês já viram alguma startup, alguma coisa assim, algo dotipo assim, cara, algum chat que o dev consiga conversar, conversar e daí te entrega uma
(44:24):
modelagem, uma pré-modelagem ameaça, assim, sabe?
Tipo, porque eu vejo algumas coisas, tipo, cara, tu sobe até o mundo, até a alma lá,
de tudo.
aí tu começa a perguntar, aí, assim ó, isso existe vários, até o notebook L.M.
lá do Google faz isso, né?
Mas algo que tipo assim ó, que o, porque por exemplo quando a gente chega com o dev, agente chega lá e conversa com cara, meu, olha só, vamos lá, me explica agora pouquinho
(44:47):
rapidamente qual que é o contexto, tu entende?
cara vai conversando, tem esse bate-volta da conversa, entendeu?
Daí tu começa a sacar as coisas.
Hoje eu ainda não vi, não vi nada assim que tenha modelo similar, sabe?
Na Black Hatch da Europa, que foi agora dezembro dezembro de 2024, tive oportunidade deir.
Inclusive o business, business haul lá é gratuito.
Quem tiver pela por Londres acontece Londres.
(45:09):
O business haul é gratuito.
Tem uma startup, adivinha de onde é?
Adivinha de onde?
Só vale uma tentativa.
Israel.
Tem uma startup de Israel.
Que cara, não é nem fazer propaganda não, mas eu tenho banner algum lugar aqui que estavao papel aqui perto.
Enfim, o que eles fazem cara?
Você integra o agentezinho deles lá, a ferramenta deles lá, eles vão começar a ler o teuSharePoint, o teu Gira, eles vão ler onde você escreve as histórias.
(45:37):
Olha, eu tô fazendo a tela de login, é assim, é assim, assado.
Ele vai ler tudo isso.
Eu porque é SharePoint, Confluence, Gira, enfim, ele lê toda essa base de conhecimento edisso ele vai extrair.
Olha, eu vi aqui que você tá fazendo a tela de login.
Você considerou isso, isso, isso, isso, isso, isso, isso, isso.
Boa!
(45:57):
Boa!
o IA, obviamente, pra fazer...
Tem monte de coisa de linguagem, entendimento e tal.
Mas você só conecta as suas fontes, ó, eu documento tudo no SharePoint ou no Confluence,enfim.
Ele puxa tudo de lá.
Se eu não me engano, estavam...
Inclusive, o próximo passo era chat.
Então, eu quero pegar, monitorar tal chat do Tims, ou tal chat do Slack, porque pega asconversas da galera lá, ele vai mastigar tudo isso, e aí o Output é um...
(46:22):
Tipo cockpitzinho, uma tela.
Falando, olha, eu vi lá no Jira, nesse ticket que está sendo desenvolvido tal coisa.
Eu não vi no GitHub um commit falando disso.
Eu vi commit, mas olha, eu analisei o código porque eu integrei com outras soluções e vique não tem um authentication, vi que não tem cartografia, sei lá.
Então ele vai literalmente olhar o que você está fazendo para essas bases de dados e tedar o output de, olha, você considerou, por exemplo, esse requisito mínimo e esses
(46:50):
requisitos você pode alimentar nele também.
Como gente falou, gente definiu baseline, você pode alimentar.
falou, eu quero usar o Stride ou usar algum framework, ele vai com base no framework quetambém te dá algumas respostas.
ainda é uma startup, eles estão começando, então tem monte de falha, mas eu vi demo e já éalguma coisa assim, isso que você falou, pega já o que você tem aí e me dá um output.
(47:10):
Que eu acho que para fazer um chat, olha, cara interage ali, te gosta de algumas coisas,não tá muito longe, né, eu diria que é só pluguinha mais ali, mas tem.
A única coisa que eu teria assim, não pé atrás, mas eu pensaria duas vezes é o quanto osdevs hoje dia estão realmente explicando sua aplicação, descrevendo, criando histórias
(47:36):
ali, fazendo uns requisitos bonitinhos.
Porque startup, normalmente é na base do foda-se ali.
Pô, eu quero criar app, eu não vou criar uma história, seguir todo o processo ali,Requisito, blá, blá.
trouxe bom ponto.
É...
Exatamente.
bom ponto, mas...
(47:58):
trouxe bom ponto, nem consigo contra-argumentar.
É porque que eu queria dizer, em algum lugar a galera descreve, preciso fazer, ainda queseja só o título, ainda que seja só o título, saca?
Lembrei, cara, o nome da solução, lembrei, não, eu pus no Google aqui e fui mais ou menoslembrando.
É Clover Security.
Product Security Starts with Design.
(48:19):
Clover, C-L-O-V-E-R, ponto security.
Então estou vendo no site que eles pegam informação do conference do gira do Google DriveSharePoint Notion o integra com IDE, GitHub, GitHub, Miru, que você faz uns dashboards
também.
Então basicamente você.
Clover pronto security.
Inclusive o pessoal da Clover já ouvindo a gente.
(48:41):
you are listening to us we will be very happy if you could sponsor us.
O site nem estava pronto agora já está já tem uma landing page então eles estão evoluindoinclusive.
O founder é ex-Chekmarks, trabalhava na Chekmarks que é patrocinador nosso, obviamente aspessoas mudam de carreira e tal e as coisas entram.
(49:03):
Mas fica aí a dica, que isso que o Bayour perguntou, que já tem alguma coisa.
Pessoal, tamo cima da hora, querem fazer agradecimento, mandar beijo.
ou não, tá tudo bem?
pra vocês dois, Seus lindos aí que me acompanham.
até me saudade de vocês.
Saudades, Vocês estão de volta agora.
Então, beleza, pessoal.
Acho que é isso.
Fica as dicas aí.
(49:23):
Não perca.
Próximo episódio tende a ser a quarta parte.
A gente nem sabe quantas partes vai ter isso aqui.
Estamos montando programa de Epsec do Zero.
Então, acompanhem ouça os últimos dois que tem certeza que você vai...
Quer dizer, você não vai se arrepender.
Você não vai se arrepender, vai depender pouco.
Mas enfim, eu não consigo definir isso.
Bom, pessoal, é isso.
Eu sou o Caso Pereira.
(49:45):
Eu sou o Benhor.
E eu sou Marcos Santos.
E nos vemos no próximo episódio.
Tchau, galerinha!
É por isso que eu...
Oh, vai rodar agora.
Popular Podcasts
Stuff You Should Know
If you've ever wanted to know about champagne, satanism, the Stonewall Uprising, chaos theory, LSD, El Nino, true crime and Rosa Parks, then look no further. Josh and Chuck have you covered.
The Joe Rogan Experience
The official podcast of comedian Joe Rogan.
24/7 News: The Latest
The latest news in 4 minutes updated every hour, every day.