November 27, 2025 • 59 mins
SecOps é aquele território onde infraestrutura, segurança e caos se encontram para ver quem cai primeiro. Nesse episódio, sentamos com Rafael Frizani — um SRE que já viu mais servidores pegando fogo do que gostaria de admitir — para destrinchar os desafios reais de segurança em ambientes modernos. Falamos de incidentes que começam pequenos e viram bola de neve, pipelines que precisam ser blindados sem travar o time, automações que salvam o dia (e o sono) e a eterna briga entre velocidade e controle. O papo ficou prático, cheio de histórias de guerra e com aquela pitada de filosofia operacional que só quem vive o front conhece. Se você trabalha com infraestrutura, DevOps, SecOps ou simplesmente quer entender como proteger sistemas que nunca dormem, este episódio encaixa como luva. É para ouvir e já sair repensando seus clusters, seus alertas e talvez sua vida.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:25):
Olá!
Ah, cara, eu vou ter que mandar embora, já, no filho da puta, do puta que pariu.
Pessoal, sejam muito bem-vindos a mais episódio do RC Cop's Podcast.
Eu sou o Cassio Pereira.
Eu sou o Benhor.
eu sou Mark Santos.
Muito bom, os caras trolam minha fala aqui, eu vou te cortar, vou cortar tempo deprograma.
Você tá achando que é assim?
funciona assim não, cara.
(00:47):
Vou cortar o salário, vai.
Natal, vai pro PLR.
vai tirar uma faca
Sete pedaços pra mim agora e o outro bem hoje.
Pronto.
Pessoal, muito bem-vindos a mais episódio da Secuosa Podcast.
É uma honra estar aqui com vocês, time completo hoje.
E convidado monstro que a gente ia falar sobre ele antes.
(01:07):
Vamos sempre lembrar que o Da Secuosa Podcast tem o apoio da Nova 8.
Check mais esse sneak, a Nova 8 que é a distribuidora das plataformas no Brasil.
A Purple Bird Security que vai cuidar de você durante e depois de incidente.
Certeza que você já teve incidente, cara.
fala com a PORG, que eles vão te ajudar.
E a Go to Security, que tem serviços especializados seguranças de aplicações.
(01:29):
Não esquecemos também da Digital Walk, que tem portfólio completo de soluções para você.
E o nosso mais novo parceiro, a Conviso, que é especializada em seguranças de aplicações.
Ela ajuda as empresas que lidam com dados em series, como fintechs, bancos, health techs eplataformas digitais.
A fortalecer toda a gestão de segurança do software.
Desde o desenvolvimento até a produção.
(01:50):
A Conviso combina a consultoria especializada como plataforma completa de AppSec paraapoiar times de tecnologia e prevenir falhas, reduzir riscos e operar com segurança.
dito tudo isso, convidado de hoje é grande amigo que é dos meus que a vida...
Sabe aqueles trabalhos merda, que sempre é uma empresa merda, que leva nada para a vida?
(02:14):
Esse é um camarada que essa empresa me deu, um amigo que está há anos que gente sempre sefala nos bastidores.
Uma honra ter o Rafael aqui hoje com a gente.
Rafa, fica à vontade de se introduzir para a galera, falar pouco de você, o que você faz,e gente começa o nosso bato.
Fala aí galera, bom dia!
Meu Rafael, estou aí nessa brincadeira de trabalhar, né?
(02:39):
Nesse ano eu estou fazendo 20 anos, desde 2005 aí apanhando.
E aí é isso que você falou, Às vezes você tropece alguns lugares e acha umas espécies quevocê coloca no chaveiro e anda com eles para onde você vai.
Então é prazer estar aqui, é prazer falar com vocês.
(03:00):
Acompanhe, eu deve ser cópia, né?
Eu dou sempre uma olhada vendo a cara feia do nosso roster direto.
Mas, mora no meu coração e vambora.
Boa aí Marcos, tá vendo?
Amigos assim que tem que ter, tá vendo só?
(03:22):
Tem músicas que discordaram, tem músicas que discordaram.
Pessoal, vamos lá, então vamos entrar no tema de hoje, o tema de hoje a vai falarpouquinho mais do mundo de infraestrutura, pouquinho do mundo de CECOPS, Cláudio, que é o
que o Rafael Domim daí tem trabalhado e como o Pei falou, já há uns 20 anos ele brincandonessa área.
Eu já queria começar...
talvez puxar aí a discussão pro lado, literalmente assim, quais são os desafios?
(03:45):
Porque a gente que lidava muito com o desenvolvedor, o Benhul, o Marcos, a gente estámuito direto na aplicação.
A gente tem monte de desafio ali do cara, não vou fazer, não quero, isso não é importante,depois eu faço, a Sprint é mais importante, não sei o quê, sei A gente já tem os nossos
desafios, todo mundo que ouve o podcast, deve ser que que de podcast há mais de 5, 6 anos,mais de 180 episódios, cansado, já já ouviu que eu ia isso.
(04:08):
Mas quais são os seus desafios?
Porque eu sei que você cara que conhece segurança, tenta fazer um mínimo ali viável parater um produto, uma estrutura pouco mais robusta.
Quais são os seus desafios, Como é que você vê o dia dia?
Como é que você lidar com essas questões de segurança?
que você lidar?
Conta pouquinho desse universo para mim.
(04:31):
Cara, eu acho que sim.
Eu vou começar a contar isso trazendo caso de quando a gente trabalhava junto.
E talvez você nem saiba desse caso.
Em belo dia, apareceu o dono da empresa que a gente trabalhava com pendrive no bolso.
E nesse pendrive tinha banco de dados de uma grande companhia de telecomunicações.
(04:58):
vou falar nome aqui, a Net, Falei se da Net, sentou.
Então, eles apareceram com banco de dados da Net, entregou pra mim e falou assim, ó,Rafael, você precisa restaurar esse banco, a gente vai remodelar o site, o e-commerce da
empresa, e a gente precisa voltar a esse banco.
E aí me deram desktop, tal como uma máquina de usuário, pra eu restaurar aquele banco.
(05:21):
E aí eu peguei e, cara, virei a madrugada naquele escritório, e aí, quando foi 6 da manhã,
funcionou, subiu o banco.
E dei um show tables ali e a primeira tabela que tinha era uma tabela de usuário.
E aí eu decidi um select naquela tabela, tinha o cadastro de todos os usuários dacompanhia na minha mão, lugar dentro de São Paulo.
(05:46):
Assim, quando a gente pensa no contexto de segurança, talvez a pessoa responsável porsegurança da companhia não fizesse a menor ideia que aquilo tivesse sob meu domínio.
naquele momento.
eu tinha CPF, localização, salário, tinha tudo que era cadastro que aquela empresa pediapara você poder comprar link de internet.
(06:08):
Aquilo estava na minha mão naquele momento.
Então eu acho que o desafio, quando a gente pensa segurança, do ponto de vista desegurança, é, cara, eu preciso saber o que está acontecendo aqui.
O que pode estar acontecendo aqui que eu não estou vendo?
Porque quando a gente fala de...
endpoints, gente fala de fire, gente fala de ferramentas, gente fala de netscope, gentefala de ferramentas para o usuário, gente busca a visualização, gente busca uma cobertura
(06:35):
de segurança onde eu tento proteger os meus interesses, né?
Mas o problema é quando tem gerência no meio, quando a gerência vem com uma demanda e falaeu quero agora, eu quero já e eu quero que isso aconteça e eu vou quebrar todas as...
todos os muros, todas as burocracias para eu conseguir sair com o dump no meu banco dedados num pendrive e levar para o meu terceiro remodelar o meu site, entendeu?
(07:02):
E isso acontece até hoje.
eu vejo que a galera...
Eu não sou de SSEC hoje, eu não trabalho para time de SSEC, eu sou parceiro muito, galera?
A gente tem uma parceria bem bacana aqui na companhia.
Mas, vira e mexe, você tem uma gestão que fala assim, cara, eu quero essa demanda, eupreciso entregar
E tem que ser rápido, entendeu?
(07:24):
E aí é que mora o perigo.
Porque aí onde a gente começa a desburocratizar, onde gente começa deixar, por exemplo,endpoints públicos, você começa a liberar serviço, você começa a liberar integrações, você
começa a deixar de lado tudo aquilo que de repente você demorou anos para construir.
Você vem, você desenha baseline de segurança, você fala que você tem uma série depolicies, e de repente você tem uma série de exceptions.
(07:52):
Então eu acho que o começo é esse, A segurança é válida, e é dura essa frase, ela umafrase que machuca, mas ela é válida até a urgência, entendeu?
Na hora que entra dinheiro e urgência, a segurança fica segundo plano, entendeu?
E é aí, meus amigos, que a coisa começa a interessante, né?
(08:15):
Ai, Bayer, queria puxar a bola pra você agora.
A gente acha que o maior desafio é aquele formulário que cara não tá validando, O last topten, coisa idiota, que pra gente chega a ser tolice, aí me vê o Rafa jogando esse
trambolha, que é o nego com o pay drive da base inteira.
E aí, mano?
(08:38):
Comentários, Bayer.
Desliga né?
Desliga?
Vira a chave e vai embora né?
esse é...
Pouco ponto cara, fica assim porque...
gente tá muito olhando como as nossas aplicações podem expor as coisas, né?
Mas é claro, óbvio.
Isso é um vetor.
(09:00):
Dentro da infra tem uma coisa que é...
Muitas vezes a gente não tem...
Porque os caras de AppSec que vieram ao desenvolvimento, têm uma dor gigantesca, ninguémmanja nada de rede.
Ninguém manja nada de infra.
Entende?
Então a gente vai até o máximo que gente consegue chegar é pouco ali de cloud security, ouse o cara veio de infra, ok?
(09:20):
Ou participou de infra é uma vantagem, né?
E aonde vai o impacto da aplicação depois?
Não é ou dois casos que a gente já pegou assim, cara, beleza, encontramos umavulnerabilidade crítica na aplicação.
Mas a segunda pergunta é, e se o cara explorar essa vulnerabilidade crítica?
(09:40):
Tem segmentação de rede ou coisa assim?
Não, tá tudo num bolo só.
Então se pegar ali...
Se pegar ali, até a cafeteira o cara consegue achar na hora que explodir aquilo, né?
E aí eu queria te trazer uma pergunta que é seguinte assim, Hoje, falando justamentenisso, tu comentou, olha só, tô falando de tudo, mas cara me entregou um pendrive na mão.
(10:10):
O que você acredita hoje?
Qual é o básico que ninguém está fazendo direito?
Porque todo mundo está se preocupando com a puta que pariu de ferramenta, não sei o quê,de solução mágica, de a não sei o quê.
isso, Enfiar todos os logs no LLM pra ver se sai alguma coisa, né?
(10:32):
Foda-se o curso de tokens, né?
Mas a questão é qual que é o básico...
que a gente não está fazendo bem feito hoje.
Cara, eu acho que...
É clichê, assim, né?
Eu vou falar uma parada clichê, mas eu acredito que o começo é aquela frase de gestor, Umproblema cultural, né?
(10:53):
Segurança hoje é problema cultural.
E o que eu quero trazer com essa frase?
Eu acho que existe um ponto entre o deve, que ele precisa entregar aquela feature, eprovavelmente ele já está atrasado, ele recebeu aquela feature para entregar ontem, né?
Eu tenho o deve para fazer isso.
Eu tenho...
De repente ele se depara com uma situação na qual ele não tem acesso, eu preciso expor umaporta, preciso colocar um web server numa porta, eu preciso subir container, preciso subir
(11:21):
uma integração no meu broker, no meu RabbitMQ, no meu Service Bus, no NoSQL, enfim.
Ele está com isso atrasado e aí existe o gestor que vai falar assim, cara, beleza, vamosfazer.
Só que ele não tem...
na cabeça dele quantos problemas de segurança ele vai infringir porque ele não pensa paraaquilo.
(11:43):
Entendeu?
Ele não pensa para aquilo.
Ele pensa em entregar a demanda dele, bater a meta, receber o bônus, tem o ciclo.
Existe o ciclo da demanda.
E de repente entregar uma feature nova para o usuário, subir produto, enfim.
A gente tem vários sinais que gente pode entrar aqui, mas eu acho que é esse.
Eu não penso para a segurança.
Entendeu?
E quando ele não pensa para a segurança,
(12:04):
Todas as outras pessoas passam a não pensar.
Todo mundo acabou de esquecer segurança.
A demanda está atrasada, as pessoas esqueceram a segurança.
Até o SRE, que ele tem, ele sabe que ele não pode expor nada a 000.
Ele sabe, ele não pode fazer isso.
Hoje, dentro da companhia, eu não posso ter nada público.
Não interessa se é uma coisa simples, sei lá, site, uma campainha, Qualquer coisa, eu nãoposso ter ela pública.
(12:32):
Mas ele acaba fazendo.
Entendeu?
Ele acaba...
Ele vai chegar no gerente dele, vai chegar mim, ele vai falar, Rafael, cara, eu precisosubir isso aqui, a gente vai infringir problema de segurança e tal, mas já foi, tá com
pressão.
E aí, hoje eu, no meu papel, eu tenho que correr atrás dos lados, então eu tenho que ir lána galera de segue e falar assim, cara, eu tenho uma pessoa aqui, eu tenho uma demanda, eu
tenho que subir isso aqui, como que a gente pode fazer, né?
(12:55):
Porque provavelmente ele nem vai conseguir subir aquilo, mas eu vou ter que criar buracodentro do meu processo pra eu conseguir colocar aquilo no ar, entendeu?
Então, eu trago esse lance cultural.
Eu acho que as pessoas, principalmente...
Não vou falar de idade aqui, porque infelizmente a idade chegou pra todos, eu não acheique eu ia falar disso.
(13:16):
Mas, principalmente, os mais antigos, ainda têm uma dificuldade pensar segurança.
A galera mais nova já cresceu dentro desse processo, porque empresa investe milhõessegurança.
Ela investe milhões em...
Propaganda de segurança.
Empresa investe milhões em campanhas de segurança hoje dentro da companhia.
(13:40):
Então essa galera mais nova já sabe que segurança faz parte da vida delas.
Mas quem não veio desse mundo, quem é pouco mais antigo, ainda tem dificuldade falar,cara, se eu fizer isso aqui, eu estou quebrando alguma regra.
Então eu acho que esse é o principal problema.
Acho que vai demorar tempo até a colocar todo mundo na mesma página e falar, olha,segurança é top 1.
(14:02):
Depois a gente fala de performance, depois a gente vai falar de QPS, TPS, depois a gentevai falar de quantas transações, quantos usuários eu cadastro, quantos pedidos eu consigo
fazer dentro da minha ferramenta.
Mas primeiro tudo isso tem que ser seguro.
Então, vou trazer outro cenário aqui para vocês, na qual eu, obviamente, não vou demonizara questão de gestão, mas eu tinha terceiro e ele estava entregando processo em...
(14:31):
em uma ferramenta e ele usava Mongo.
E aí ele queria acessar o Mongo da casa dele.
Pô, não podia acessar esse Mongo da casa dele, não pode, O cara é terceiro, ele não tinhanem a ID da company, acho.
E aí o gestor foi lá e deu, não, ele pode acessar da casa dele.
E aí, nesse meio termo, alguém foi lá e liberou o 000, porque ele tem IP da Vivo na casadele, IP dinâmico, liberou o banco 000.
(14:59):
Entre ele...
Entre ele sair da companhia e chegar na casa dele, eu já tinha uma collection dentro doMongo com uma frase esquisita, eu sequestrei os seus dados.
Entendeu?
Cara, uma hora e meia dele sair do escritório e chegar na casa dele.
Então, esse tipo de coisa aqui a gente tem que levar como case quando eu falo com oC-level, quando eu falo com a galera maior e falo, cara, olha, é por isso aqui que não dá
(15:27):
pra acelerar tanto.
Você tem que acelerar...
Infelizmente, tem alguns boundaries que você vai ter que bater.
Não dá pra você infringir e falar assim, olha, eu quero entregar mês e não vai rolar.
Então, eu acho que esse é o...
Não sei se eu respondi a sua pergunta, menino, mas é mais ou menos dessa forma.
Eu acho que é problema que a gente vai enfrentar e com o tempo as pessoas passam aconvergir mais pra segurança.
(15:50):
Eu acho que ainda é uma coisa que tá melhorando, tá legal.
Mas a gente ainda tem esses gaps na hora que gente chega, principalmente das pessoas quenão são de TI.
Se você pega algumas pessoas de gestão que vêm de marketing, publicidade, administração,tá tudo certo.
Elas não foram criadas profissionalmente pensando nisso.
(16:13):
Mas vamos precisar de tempinho até preencher essa lacuna.
Até para trazer pouco mais de lenha nessa folheira aí de cultura, eu estou fazendo umtrabalho de pesquisa para depois apresentar eventos e tal, que é literalmente assim,
depois de ter mudado para Europa, eu entendi pouco que literalmente a segurança tem umaquestão cultural, mas a minha pesquisa é com base assim, o cara que cresceu, pelo menos
(16:41):
para a gente, é mais referência, a gente que cresceu São Paulo, o cara que cresceu NovaYork...
Ele tem uma preocupação olhar para trás, preocupar com o bolso dele do que o cara quecresceu Zurich, na Suíça, na Dinamarca, na Noruega.
O cara anda na rua tranquilo, de Lamborghini pelado.
A gente tem que andar com a bicicleta amarrada no cadeado e tal.
Porque é assim, ponto.
(17:02):
E aí a minha pesquisa é literalmente isso.
O quanto individualmente profissional, uma pessoa vai se preocupar com segurançacibernética, dependendo de onde ele cresceu.
E a pesquisa é literalmente isso.
Cara, o cara que eu conheço gente da Índia, é que gente...
lugar hoje.
Então, por que uma pessoa que tem uma cabeça mais europeia?
Porque o cara tem uma preocupação mais, ah não, isso não vai acontecer aqui não, a gentenão é alvo, vou estar tranquilo.
(17:27):
Enquanto que cara americano, brasileiro, fala, é, então.
Enquanto que o cara que é americano e brasileiro e até indiano, o cara fala, não, esperaaí, a precisa se preparar com isso aqui, porque pode ser que aconteça.
Então, a pesquisa nesse sentido.
Por que isso que o Rafa falou?
culturalmente, por incrível que pareça, acima de tudo isso, tá a entrega, tá o dinheiro,tá o business.
(17:52):
Então, né, a hora que tem que entregar, a hora de ter urgência, larga tudo que eu precisofazer.
Mas por outro lado, não, pera, eu preciso proteger isso aqui, não é assim a torta édireita, tem certo limite ali, né?
Porque que alguém mora, cara sabe que não tem que deixar zero zero exposto, mas ele chegadia que vai chegar na demanda, não, tá bom, vou deixar o zero zero exposto.
Ele não vai defender a posição dele.
Aí pode discutir isso por várias maneiras.
(18:12):
Um argumento muito forte que diria que as pessoas usariam é, não, mas se eu não fizer, memanda embora.
Tá ligado?
Mas cara, às você é pago pra literalmente ter essa opinião contrária.
Literalmente te falar, não, não vou bater o pé aqui, isso aqui tá errado, onde foidefinido e tal.
Porque isso é importante ter documentado, rastreado de uma forma de outra, né?
(18:33):
Uma forma de outra tem que estar exato.
Isso.
Cara.
no bolso já era né tá liberada a demanda
Eu nunca esqueço de outra empresa que eu trabalhei que a gente tinha processo de deploy,caso de algum problema, tinha processo de rollback.
Só que quanto mais rollback o gerente tinha, mais afetava a performance, mais afetava obonde.
(18:54):
O que esse cara fazia?
Ele fazia 300 deploy, porque ele não fazia rollback do problema anterior, ele faziaredeploy, ele colocava como uma nova feature, não era resolver o problema aqui dentro,
passou a madrugada inteira o bóvel fora do ar, dos maiores e-commerce do Brasil.
Não, não, é novo redeploy, a está na versão 1.1.1.1.0.
Aí no fim do ano o maluco tinha 300 mil entregas, os outros tinha 10 e o cara tinha zerorollback, os outros com 80 % de rollback.
(19:22):
Então assim, processo também deixa ele fazer isso.
Mas enfim, esse ponto cultural que você trouxe, é muito bom também, me trazendo pouco decontraste com o que o Bermudeu perguntou pra você.
E daí para baixo, cara, daí para baixo a gente pode discutir tecnicamente de N assuntos,assim, né?
Porque aí você entra na persona de quem vai aplicar isso, se o cara tem força para falarnão, como que funciona o IAM da companhia, né?
(19:47):
Você vai precisar de uma, o que a gente chama de control, Você vai precisar de umapermissão no cloud que te permita fazer esse tipo de coisa, entendeu?
A gente entra numa série de outros processos que deveriam barrar o 000...
e o processo não deveria ser dono de conseguir fazer isso.
Eu deveria ter dentro de fluxo, e gente tem e funciona, mas obviamente tem suas exceções,que para eu conseguir liberar 000, talvez eu tenha que ligar na Índia e pedir para cara do
(20:18):
meu SOC fazer essa transação para mim, e ele vai me mandar termo de responsabilidade,falando assim, você quer?
Então assina aqui.
Coloca o teu narreto aqui comigo.
Porque a primeira coisa que vai acontecer se der um problema, eles vão bater segurança.
O gestor vai chegar no cara de segurança e falar, porra, eu te dei uma porrada de dinheiroe ainda tem o 00 aqui, o que está acontecendo?
(20:39):
Então, tá bom, tem o 00, mas olha só, aqui está a assinatura, eu falei não, elesinsistiram e aqui está.
A gente se preocupa no nível, falando do IAM, falando de um nível de acesso maiscontrolado, em que o processo vai te permitir fazer isso mais controlado.
Você vai ter 00, eu sei, você sabe, estamos olhando para aquilo.
(21:02):
Se escapar alguma coisa, alguém entrar aqui, porque vai entrar?
na boa.
Todo mundo aqui, barbado, to dando uma cara e todo mundo barbado, sabe que uma hora ououtra a gente vai ser invadido.
Uma hora ou outra vai ter problema de segurança.
O lance é como a gente mapeou, como a gente sabe quais são os nossos gaps, como a gentesabe quais são as nossas issues e como a gente atua naquilo.
(21:25):
Cara, eu sei que esse...
broker está com zero zero porque eu uma integração que vem dos index, que tem umaintegração que vem de uma ferramenta bacana de mercado que integra junto e eu consigo
atuar naquilo, tenho mapeado, sei que entendeu?
Acho que é isso que a gente começa a entrar numa parada de ok, eu tenho problemas mas eusei quais são, entendeu?
(21:47):
pegando esse gancho aí, você trouxe ponto legal agora, Tem problemas e todo mundo vai terproblemas, e eu sei quais são esses problemas.
Isso é muito importante, a gente está sempre tocando no tema aqui de gestão devulnerabilidades e tal, que acaba sendo literalmente isso, né?
Descobrir os meus problemas, priorizar eles e resolver.
É simples assim.
Como que é, Rafa?
(22:08):
Como é que você vê isso para eu ter essa desibilidade?
Porque tem empresa que é aquela empresa assim, não, se eu estou vendo meus problemas,então não tem problema.
E tem empresas que não operam, o PsiZoo, que faz code review, PsiZoo, muito bem como vocêfalou, é fazer um inventário da minha infraestrutura, que integrações que eu tenho, eu
multi cloud, eu quantas máquinas eu tenho aqui, é literalmente o seu parque, aquela coisatoda.
(22:30):
Como é que essa, eu não sei nem a palavra, mas como é que esse apetite de eu buscar essesproblemas para poder priorizá-los e resolvê-los?
Você vê isso hoje como desafio e ainda tem empresa que não quer ver isso?
Deixa pra lá, o dia que der mel e alguém vai me avisar eu vou resolver ou não?
Pera, eu preciso estar realmente ali ativamente fazendo...
(22:51):
Cara, sinceramente, acho que existem profissionais que se preocupam com isso.
Eu falo que é muito cara que vai entrar no problema de madrugada se a gente tiver um.
Então, esse gestor que lidera um time que entra no problema de madrugada, resolve, eleprecisa ter essa visibilidade.
(23:13):
Ele precisa saber onde ele está pisando.
Vou dar exemplo.
Eu tenho aqui 5 mil VMs.
uma subscriptura, 5.000 VMs.
Essas 5.000 VMs eu tenho que ter muito bem mapeado o que End of Life, o que está rodando.NET Framework, o que está rodando em .NET Core versão 5.4.
Cara, eu preciso ter esse mapeamento.
(23:35):
Por quê?
Porque se der problema, eu preciso saber o que eu vou enfrentar.
Então, cara, eu tenho profissionais que são extremamente aplicados e que eles querem saberpelo simples fato de que é o sono deles que vai ser perturbado.
Entendeu?
Não é porque o cara é muito bom, porque ele aprendeu isso num curso.
Ele sim, ele tem essas valências, ele tem a consciência de que é ele que vai ter queresolver.
(24:00):
Beleza, esse é ponto.
E eu tenho uma galera que está olhando sempre a entrega.
Eu uma galera que está...
Cara, uma demanda, eu entrego aquela demanda, talvez por uma limitação técnica, talvez poruma questão ali...
de comodismo, ok, eu sei quantas VMs eu tenho, mas eu não...
eu sou raso, né, conhecimento raso.
(24:22):
Eu não tenho profundidade, eu não sei, por exemplo, quantas...
quantos CVS eu tenho aplicados no meu ambiente.
Hoje, cara, você tem ferramentas ou pensadores que fazem isso pra você, né, que falam pravocê quando você vê, você tem na sua empresa.
Eu não sei quantos CVS eu tenho, eu não consigo chegar do lado do time do produto e falar,ó, o produto...
cara, você tá com três VMs end-of-life aqui.
(24:44):
Seu Kubernetes está em uma versão mais antiga, a precisa atualizar, precisa de janela parafazer isso, porque talvez a sua aplicação não funcione com mais de pod.
E não acreditem, isso é super normal, estamos 2025.
Colocar a aplicação State Fuder de Kubernetes é pra fuder, cara?
(25:09):
Não tem como...
E aí, qual que problema?
Eu vou ter ter uma janela pra atualizar Kubernetes que é uma parada que eu poderia fazer aqualquer momento.
Ele é feito pra eu ir lá e atualizar ele a qualquer momento.
O cara gastou massa pra pensar no negócio que...
(25:29):
Entendeu?
E a gente não.
A gente quer ir lá e rodar um pod por microserviço e negócio não é escalável se não dálock no banco, enfim.
botar o backup não pode né o backup do banco não pode eu adoro
Então, eu acho que existem profissionais e profissionais, resumindo.
Acho que tem gente que vai bastante a fundo e isso sobe o nível do time absurdo, porqueesse cara faz o time crescer.
(25:56):
Eu tenho uma galera que vem com uma demanda, ele talvez receba 300 demandas, ele só estápreocupado em entregar e às vezes ele não tem nem tempo para essa profundidade.
é o famoso, cara não sabe dizer não, Não, pera aí.
Dá fazer dá, mas pra fazer direito, vai custar tanto, vai demorar tanto, Direito, teste,segurança, o que quer que seja.
(26:17):
Eu já, cara, cansei de ver, especialmente onde conheci o Rafa, a tava lá Agente dePublicidade, Onde literalmente o que importa é o hot site do ar, porque a campanha tá
rodando, o resto, foda-se.
Então assim, cara, eu tinha FTP nessa empresa que gente trabalhou, eu tinha FTP deprodução, eu salvava o arquivo.
Caralho!
(26:39):
não tem nada.
Era isso, era a Dev Backend lá na época.
Mas assim, quando a galera deixa de olhar essas questões de qualidade de maneira geral, eaí a gente começa a expandir a discussão porque o ponto é o seguinte, tá todo mundo
falando de software aqui.
Então quando a empresa para de, quando ela entende que peraí, eu vivo de software, aindaque o meu core business não seja software, a pessoa precisa comprar, passa para o meu, eu
(27:04):
como,
falar comigo, ela entra no meu suporte, ela vai pelo aplicativo, o que quer que seja.
Então, ela entende que boa parte do business dela, na verdade, é de software ou ésustentado por software.
Então aquilo tem, merece uma atenção especial, porque praticamente é o canal dela, ésimples assim.
Então, dito isso, é onde eles tem, muda pouco essa chave de pé.
(27:26):
Então, eu preciso começar a dar atenção para isso, do ponto de vista de não é só um meio.
Como isso não é só meio para cara chegar no meu produto, na verdade é praticamente o...
Principal, parte do produto.
Sem isso o cara nem chega no meu produto.
Então aí sim ele vai virar essa chave de começar a pouco de atenção para aquilo.
Talvez não tanto quanto, por exemplo, uma infraestrutura crítica, onde eu trabalhei, porexemplo, robótica, fábrica, coisas do tipo, e cara, praticamente a automação toda depende
(27:52):
de software, aquilo não pode parar.
É diferente de para, minha produção é uma coisa, minha commerce que vende é outra.
Então são coisas separadas ainda que aquele e-commerce, aquela aplicação, software seja omeio para chegar no produto final ou no serviço final.
tem que ter peso.
Por exemplo, o banco.
O banco não é software, é dinheiro, ponto.
Mas tudo isso funciona por conta do software.
(28:13):
Então todo software do banco tem que ser muito bem preparado, muito bem estruturado.
Marcos, você que está quietinho aí hoje, está só observando, está só fazendoobservability, vou trazer uma pergunta para você discutir com o Rafa aí.
Logs, o que é o dos logs, que gostava de desligar Log Anwait para economizar servidor.
(28:36):
Você vê isso ainda hoje no desafio, log custa, mas ainda vê isso como desafio e aí trazeresse debate depois para o Rafa também, como é que ele vê essa questão de monitoramento,
saber o está acontecendo na minha indica, uma estrutura como toda.
Eu ainda vejo como desafio porque o pessoal não sabe segregar e selecionar quais são oslogs corretos que a gente precisa para fazer análise de uma aplicação Então ou a pessoa
(29:01):
loga demais ou ela loga de menos Então não tem um controle, tem uma documentação sobrequais logs são necessários, quais dados precisa passar para o Aonde eu vou armazenar esse
log?
Então cada joga lugar diferente Então eu acho que o log ainda é desafio e vai ser aindapor bom tempo
Justamente porque o pessoal não tem essa instrução de como fazer log da maneira correta.
(29:24):
dia eu peguei uma aplicação aqui que tinha console.log na aplicação inteira.
Você abriu inspect do navegador, tava chovendo lá no console.
E não é isso que a gente espera.
E quando você tá pegando back-end também, muitas vezes eu vou debugar alguma coisa e nãotem log nenhum.
Ou tem log muito escasso de informação.
(29:48):
não me fala de onde veio, o que está trafegando, se aquela API que eu estou querendodebugar ali está trafegando algum dado sensível ou não, então é complicado.
E só para o Rafa saber aí, eu passei por episódio numa empresa onde eu controlava sistemade RH crítico da empresa, era desenvolvedor lá, criava algumas regras.
(30:11):
E determinado momento, nosso servidor que era on-premises ali estava cheio de disco.
a estava sem espaço e uma das maneiras que o executivo na época encontrou para resolver oproblema foi desligar o log que estava ocupando muito espaço e não tinha budget para
comprar um HD novo, né?
(30:32):
E com isso a gente teve ali um vazamento de informação e foi solicitado que eu buscassenos logs quem havia feito isso.
Infelizmente não tínhamos o log.
Esse caso é sensacional, você tem que virar...
Slogan não, não Paulo?
(30:53):
Você tem que virar vinheta essa porra pra gente botar aqui, tá ligado?
Claro, não sei se você já podia comentar, hoje, logs, que a observabilidade em si é oponto que a mais gasta dinheiro dentro da companhia.
Hoje é onde é pensando infraestrutura.
(31:14):
O que eu gasta infraestrutura é 1 % do que eu gosto SEC, né?
Mas dentro da disciplina na infraestrutura, esse R e tal, é o meu maior custo, assim, émonitoramento.
E o maior desafio que eu enfrentei nesses sete anos que eu trabalho na empresa que euestou hoje é conseguir, e eu acho que esse é problema de engenharia, Eu não acho que esse
(31:35):
seja problema de infraestrutura, problema de desenvolvimento, eu acho que esse é problemade engenharia.
Conseguir chegar no desenvolvedor e falar assim, logger, log level, eu preciso que vocêexplique o é warning, o que é error, o que é debug, log level,
(31:56):
ou eu morri.
parte nativa.
O member tá no muro aí
Mortei, mortei, mortei.
Pera aí, deu uma travada, acho que voltou.
Vai lá, parou no LogLevel, sabe como LogLevel, Chega no Dev, não, morreu de novo.
(32:16):
Voltou, estamos te ouvindo.
Voltou, voltou, voltou.
A Rafa tá mutada agora,
Não, tô ouvindo, tô ouvindo.
tá...
Acho que agora voltou.
Tô ouvindo.
Não, show.
Vamos lá.
(32:43):
E aí?
aí?
aí?
E E aí?
E E aí?
E E E E E aí?
E E aí?
E aí
warning, error e debug.
(33:04):
Entendeu?
Eu só preciso ser classificado com a sua aplicação.
E aí, cara, eu acho que isso de aplicação para aplicação, isso deve ter uma complexidade.
Eu não tenho, porque eu já fiz isso várias vezes, mas é muito difícil você pedir para caramandar login JSON, entendeu?
E com o log level corretamente configurado.
(33:27):
E o peso disso, eu acho que, onde eu acho que a galera vai começar
ter noção, hora que você começar a jogar o peso do log no bolso deles, porque log é umacoisa que custa muito caro, É muito dinheiro, principalmente quando gente fala de
ferramentas SaaS de monitoramento, Datadog da vida, o New Relic, Dynatrace, quando a genteleva logs para esses lugares, e até tem case de banco, do Banco Roxo, né?
(33:51):
Não sei se eu vou evitar falar o nome aqui das empresas, e que está fazendo o caminhocontrário.
ré a estilo do pau.
O Van Rooske está fazendo o inverso, está atrasando e na apresentação ele fala que chegouuma hora que a teve que tomar a decisão se a ia comprar uma ilha ou se a gente ia pagar
log, entendeu?
Porque log é muito caro.
Então se o dev lá, desenvolve microserviço, ele precisa entender que ele não tem que logartudo, 200 gente, 200 não log.
(34:21):
Mensagem consumida com sucesso, isso não é log, entendeu?
Eu falo tranquilo, eu sei que isso caralho, é óbvio, 200 no log, por favor.
puto quando eu vi aquele console.log gigante.
(34:42):
Eu fico puto.
Eu entendo que quando você está desenvolvendo local e a coisa funciona e o seu softwareroda, é maneiro ter log.
Você fica feliz de olhar todas as features que você colocou ali logando legal.
Só que quando você vai para a produção e você divide infraestrutura com várias pessoas,quando você começa a envolver dinheiro, você precisa falar assim, não, espera aí, isso
(35:03):
aqui é uma aplicação corporativa.
E não só corporativa, uma aplicação para o meu eu, meu GitHub pessoal, ele vai evoluir.
Se eu conseguir ter controle de log legal, onde se eu tiver um problema ele vai me jogarproblema na tela, beleza, tenho aplicações que geram bilhões de eventos de log por dia.
Aí você vai lá e fala, cara, mas olha só, aqui tá custando 10 mil dólares por mês esselog.
(35:24):
Aí ele, tá bom, vou ver e te aviso.
Então eu acho que esse é um problema, fora um outro problema que é o submundo do log.
Existe submundo do log.
Porque se você não loga legal, você loga tudo.
E se você loga tudo, meu parceiro, sistema de RH aqui, você acha que eu já não pegueiproblema do meu salário vindo log no SAS?
(35:51):
Boa fera!
Sabe, tipo, você já não veio porque o cara, ele...
Você quer...
Você quer logar tudo?
Então, cara, obfusco os dados, entendeu?
Obfusco os dados.
Se você tem problema de compliance, eu tenho um compliance aqui que pede log de tudo paraalgumas operações, cara, obfusco o dado.
Não precisa trazer o cnpj no log, não precisa trazer o cpf, a gente vai infringir algumalei.
(36:14):
Alguma lei a gente vai infringir, não precisa buscar em...
Lgpd, mil frameworks de segurança, a gente vai enfrentar uma lei.
Se eu tiver dado que não pertence a mim no meu log, é óbvio.
Eu vou ter problema.
É igual como esse local o cartão de crédito CVV data de validade e o nome né.
Eu sempre jogo uma gasolina nesse topo que é o seguinte, lá na LGPD da vida você tem odireito de esquecimento, então se o seu usuário falar, paga aí os meus dados, você tem que
(36:46):
ir lá pagar.
Até aí, tranquilo, beletizinho aqui e resolveu.
Mas e os seus backups, e os seus logs que estão com essas informações que você nem sonha,backup de 80 dias atrás, ou 2, 3, 10 anos atrás, que lá no frio, lá na fita, na
o pariu, o cuidado está lá.
Você acha que eles estão fazendo processo automatizado para levantar, restaurar aquelebanco, subir aquela base, apagar aquele registro específico, voltar ao bec...
(37:11):
Mas o cara faz isso no quente, o cara não vai fazer isso.
APIs que a gente cria só pra testar que tá ali rodando até hoje, era no log a gente nemsabe cara Só quem sabia era deve Deus, hoje só Deus sabe o tá acontecendo ali
vou descoordar, vou jogar a bola para o Ben Hur agora, eu descoordando o Rafa só paragerar treta que é o seguinte, 200 logo assim.
Por quê?
Porque você vai dar 200 e vai ter error message no body.
(37:40):
Fala aí, Hur.
Não, não, não.
É falar que deu 200 com tela branca, né?
Você joga o health no browser, não tá health na tela branca.
Não, cara.
O .NET, se você colocar ponto health lá, ele joga health na tela.
É só você fazer isso, entendeu?
(38:01):
Tem coisa que a gente não precisa falar aqui, entendeu?
Joga a bola.
Fala aí, Vero, o que você acha dessa?
Duzentão?
Duzentão, mas com iolo bode.
Mas eu não te mostrei o erro com sucesso?
É...
O erro foi informado com sucesso.
A questão é a minha intenção.
Eu que ia te mostrar o erro.
(38:22):
Eu te mostrei o erro.
Pra que lida com gráfico?
Eu sou o sábio aferno que é essa merda.
Mas uma coisa eu queria até perguntar com relação a observabilidade si.
Uma das coisas que eu não vejo...
por algum motivo a plataforma cortou só o seu áudio, já foi pra mim, eu não escutei umaboa parte, se eu repetir vocês me avisem, tá?
(38:47):
Uma coisa que eu não vejo é o pessoal fazer um trabalho ou ter conhecimento sobre loginmodeling e uma parte da maior das ameaças que é o non-repudiation, né?
Que todo mundo acha que o non-repudiation, sempre que eu converso, o meu marido deprofissionais já percebe que a gente conversa sim, é item que...
(39:09):
menos ganha importância de todos aqueles itens que tem ali, só que ele é a auditoria.
Se a trocasse o Repudiation por auditoria, aquela palavra seria muito melhor entendida,né?
por resposta incidente já ajudava a galera.
ajudava bastante né então assim hoje as pessoas não colocam muito bem que nem ele tem maisaumentando né cara o que ele coloca no log né que vamos lá se o log não tem quando o que
(39:38):
quando aconteceu o que aconteceu quem fez é peso para papel né e outra coisa que a gentevê as pessoas guardam logs
e não simulam a ocorrência onde vão necessitar o log.
Por exemplo, eu vou guardar os logs de uma compra para depois ver se o cara de fatocomprou ou não, ou de um acesso específico.
(40:05):
Mas nenhum momento eu faço uma ação do tipo assim, Quais são os cenários em que euprecisaria desse log e esse cenário eu atendo com o log?
Por exemplo, esse esquema, né?
Cara, queremos saber quem foi que acessou o dado de 50 mil usuários.
Primeiro, já começa, Se eu preciso perguntar dado de quem acessa de 50 mil usuários, eunão tive nenhuma regra para dizer que alguma pessoa não poderia consultar o log, os dados
(40:34):
de 50 mil usuários.
Que é aquele trade-off, né?
Tudo aquilo que eu consigo controlar, o controlo que eu não consigo controlar é o monitor.
Para ver se ocorre ou não, né?
Eu queria saber pouco do teu lado.
Hoje, quais são os logs de infraestrutura que você considera críticos e prioritários que agente deveria ter primeiro lugar?
(40:58):
Se você tivesse que priorizar.
Pensa, chegou lá o chefe do Marcos ali, e a disse assim, vamos desligar os logs porqueestá ocupando muito espaço.
Aí você vai dizer, cara, não podemos desligar o log.
Aí ele vai falar assim, cara, então tá bom, escolhe aí os 20 % de log que você vai ficar,o resto a gente vai jogar fora.
Quais seriam esses?
Essa pergunta é massa, porque o que acontece?
(41:20):
Hoje, eu vou me colocar aqui lendo pouco do perfil do Marcos.
Quando você vai falar isso para alguém que cuida efetivamente de aplicação em cloud, vocêtem approach.
Então a gente conversa disso de uma forma.
Quando gente fala isso de um pouco mais raiz, onde eu tenho dinheiro, porque o complianceme dá dinheiro, para eu salvar os logs que eu julgo importante, ou que segurança me dá
(41:45):
dinheiro...
cara, inevitabilmente você tem que salvar o last, né?
Você precisa saber quais foram as últimas contas que acessaram suas máquinas.
Então, last log, de cara, assim.
O que você acessa?
Last, né?
Por quê?
Porque o last vai te contar quem foi o cara que reiniciou aquela máquina, quem foi o caraque acessou aquela máquina, qual foi a que teve poder para aquilo, e ele te conta muita
(42:08):
coisa, porque normalmente quando você encontra problema e você é de infraestrutura, vocêtem uma conta específica para acessar uma máquina lá.
Eu não posso acessar com a minha conta pessoal.
Se você encontrar problema para usar, você vai tentar de alguma outra forma.
Então, se eu tenho botão no cloud que fala assim para mim, resetar o usuário, resetar asenha de usuário igual a Azure tem, a Azure te permite você resetar uma conta de usuário
(42:32):
ou criar uma conta nova a partir do portal.
Para mim, é baita de gap de segurança.
Pode ter uma conta root se você tiver contributor no portal da Azure.
Você vai fazer aquilo.
Entendeu?
Mesmo que se o seu IAM te permitir fazer, você vai fazer.
E aí o Last vai te falar, olha, o Rafael não conseguiu acessar com a conta control dele,com a conta de controle, mas ele logou com o usuário dele, ele logou com o usuário Frizani
(42:59):
aqui, entendeu?
E a partir desse problema, a gente teve uma vulnerabilidade, você consegue contar umahistória.
Então eu acho que Last, depois, log de web server, né?
A gente fala que, não vamos salvar 200 e tal, mas dentro de log estruturado, cara...
você precisa de log de web server porque eu preciso saber usando o readers qual é a origemdo IP que acessou aquele endpoint, qual é de repente da onde que veio, qual o país, você
(43:24):
consegue ter muita informação no reader.
Mas, por exemplo, a galera gosta de salvar messages, não salvo messages porque aquilo sãoalterações no sistema operacional que para a resiliência é show de bola, mas custa caro,
entendeu?
Custa muito caro.
esse trade-off, o que custa a cara e vale pena ter e o que vai me contar uma históriadepois.
(43:46):
Me contradizendo pouco e falando que o 200 não vale, eu tenho algumas aplicações aqui quea gente coloca que com mais fala que eu tenho que salvar.
E dentro de uma observabilidade moderna, eu tenho o que a gente chama de trace unificado.
Então eu bato no endpoint, esse endpoint executa uma operação, gera um trace dentro daminha ferramenta de observabilidade, APM da vida, e ele linka o log daquela operação.
(44:11):
E o dev, tem um app mágico pra ele, quando ele consegue bater o dedo e ver qual é o tracee saber qual é exatamente o log que isso aconteceu, entendeu?
Então é muito comum ele fazer isso, ele, porra, pra eu ter controle da minha aplicação,trace mais log, de forma unificada, eu vou...
Eu quero ter isso, mesmo que custe muito caro.
(44:32):
E aí eu volto lá no problema que é tema de engenharia.
O drive que você tem que dar para arquiteto é o seguinte.
Isso é uma operação crítica?
Se é uma operação crítica, a gente paga o log.
Isso não é crítico?
Então, cara, esquece.
Você não precisa fazer essa correlação entre trace e log.
Então, eu acho que é isso.
Voltando à sua pergunta, hoje eu salvaria last, salvaria logs de web server.
(44:57):
e salvaria esses logs críticos de aplicação que contam uma história para mim.
o usuário acessou essa página.
Embora hoje você tenha muitas outras ferramentas para fazer isso.
Você tem run, ferramentas de funil, de internet.
você não precisa do log para fazer isso.
Entendeu?
Você tem N e outras formas de fazer.
(45:17):
Então você depender do log, na minha opinião, ele é último recurso.
Entendeu?
Você tem outras ferramentas hoje que você paga e muitas vezes está no bundle daquilo quevocê comprou.
E você só talvez não esteja usando, mas ele faz aquilo.
Então hoje eu consigo saber, por exemplo, quais usuários acessaram todas as minhas páginassem olhar o meu log.
Eu tenho uma ferramenta para você fazer isso.
Esse é bom ponto, A governança da informação que nós temos dentro da empresa, né?
(45:45):
Que às o cara tá duplicando, triplicando informação e não sabe.
E aí, esse é bom ponto, porque por exemplo, entra muito com que gente tava discutindo, né?
Deixa eu simular os cenários que eu precisaria das informações, não digo log, né?
Das informações específicas, né?
Poxa, cara, eu quero saber...
(46:06):
Se usuário X acessou uma tela específica.
Eu não preciso guardar o log da tela específica.
Eu preciso pegar esse informa...
esse cenário e replicá-lo na minha empresa.
E entender, ok, não, olha só, aqui a gente vai precisar de log porque tem aqui, aqui aquinão entrega pra gente.
Às vezes, eu usar uma ferramenta lá de rotejar, não sei, essa galera toda aí, jáentregaria.
(46:32):
Isso é excelente ponto.
Exato.
Porque log é muito difícil.
Quando você pega log de aplicações web, dependendo...
Vamos supor que e-commerce, tem que carregar a asset.
É inferno você acompanhar o log daquilo.
Entendeu?
Pô, para cada asset ele vai gerar um link porque é uma request nova.
Então cara, como que você vai guardar aquele log e depois você vai procurar alguma coisalá dentro?
(46:55):
É difícil, você vai ter que fazer...
Então assim, eu acho que não é a melhor opção.
Você guarda, se você tiver um CIEM é legal, entendeu?
Põe lá muitos anos de logs, você pode verificar se você teve problema naquilo.
Hoje, por exemplo, eu tenho um CN, onde eu guardo informações do meu CDN.
Entendeu?
Por quê?
Porque eu não tenho...
(47:15):
o meu CDN é terceiro, eu não tenho controle disso, ele me disponibiliza log, o suportedeles é péssimo, entendeu?
Então eu guardo esse log, por proteção.
Entendeu?
E já precisamos usar.
Pô, alguém foi lá e apagou um...
teve problema no site, apagou, gente foi lá, bom, beleza, quem pegou foi esse IP, tal,conseguimos reconstruir, fazer o caminho de volta da operação.
(47:39):
nesse caso eu acho legal.
Para todos os outros, acho que você, ferramentas web principalmente, guarda log, cara,você vai ter trabalho para achar alguma coisa ali, viu?
Eu acho difícil você ter de reconezir com isso.
é outro dos caracteres que você comentou né?
Primeiro, não é porque eu armazeno informação que ela está pronta para ser pesquisável,que acho que esse é o primeiro ponto né, porque nada pior que ter um bucket gigante com
(48:10):
terabyte de TXT e quando você precisar navegar com ele, cara, não tem uma Tina ali, nãoconfigurou nada
Os logs não estão estruturados a ponto de serem correlacionáveis.
Enfim, você não consegue fazer nada com os logs porque você escolheu armazenar e agora vaipassar o resto da tua vida baixando coisas pra boigar,
(48:31):
só deixar os logs públicos e a comunidade procura pra você o que você precisa.
Só está armazenando por compliance, cara, você não vai precisar dele nunca
tem dificuldade.
Se você publicar esse log, 10 minutos alguém acha negócio pra você.
E outra questão que você comentou ali é esse serviço de internet, tu armazena o log ali,porque o CDN tem um risco de tampering.
(49:04):
E dependendo do que tu joga ali, alguém pode mudar um asset JavaScript que vai serentregue pra todo mundo, exemplo.
dos casos que estourou a Bybit, exemplo.
Então, assim, qualquer coisa que entrega coisas no seu nome tem que ser monitorado, né?
Acho que é bom ponto, né?
(49:24):
Acho que esse top de log observability, eu gosto pra caralho, porque é mundo, é mundo,literalmente.
Acho que dá pra gente fazer um outro bate-papo só disso.
Que a gente já tá misturando o tempo, mas eu vou jogar só o pavio, acender o pavio ejogar, a gente apaga ele no próximo episódio.
(49:45):
Que é o seguinte, essas empresas aí da Inatrace, essas porras tudo aí, o Inatrace émalware, O bongos da palavra é malware, você bota o bagulho na tua rede e o bagulho vê
tudo.
que que é?
galera ganha dinheiro absurdo, não tão errados, porque é tudo mal feito.
A infraestrutura de sobra é tudo mal feito.
(50:05):
Se logo na sua raiz fosse bem feito, estruturado, porque eu acabei de falar, é mundo quenão precisaria desse tipo de ferramenta.
Minha humilde contribuição.
Mas é o pavio para a gente ir para o próximo episódio.
Fala aí, Rafa.
pano, da pano pra manga, aí, porque é assunto que eu gosto bastante também.
Hoje eu sou basicamente...
ferramenta de observabilidade é o que está aqui embaixo da minha alçada, no meu escopo.
(50:29):
E eu acho que esse é muito bacana.
Eu quero chegar no nível de log, que eu quero ver se o nog.
Eu quero saber exatamente quais campos tem naquele log, eu quero que o desenvolvedor useesse padrão e tem que ser fácil.
Entendeu?
caras não põem nem grito do word direito, você está querendo muito isso aí.
(50:50):
Boa!
Fala aí!
que eu acho que é massa pra vocês não ficarem aqui eu respondendo.
Como que vocês fazem hoje?
Por exemplo, na empresa de vocês ou no Ludico.
Imagina que você tem lá igual o Caço, ele tem 7 mil repositórios aí na empresa dele.
(51:13):
Você precisa...
Por exemplo, trocar um Newtonsoft para 4.450, um Request para 4.550 e isso diretamenteligado à segurança.
Imagina que você tem um Log4j, que você vai precisar fazer uma atualização em massa.
Como vocês lidam com isso hoje?
Mano, hoje...
(51:34):
Primeiro fala, não precisa fazer isso, deixa pra depois.
Aqui é onde a gente trabalha, que gente está tentando fazer pra...
Que a gente está levando o nível de maturidade hoje.
Hoje eu não consigo fazer isso, exemplo.
Falar, precisa fazer agora, não vai fazer.
Vai cada corte o seu lado.
Mas que a está tentando criar a estrutura pra que isso seja permitido é ter catálogo detudo que eu uso a nível de aplicação, né, biblioteca tal.
(51:57):
exemplo do Log4j.
quais projetos eu tenho, dois, três, quatro, usa a biblioteca tal ou na versão tal.
Você deu uma merda na biblioteca, até que eu sei quais projetos são afetados, desses quesão afetados, quais são críticos, quais não são, quais tem um DR da vida, não tem.
Com esse catálogo, direto pra essa governança, aí fica fácil tomar decisões depois quehoje a gente já tem ferramenta que permitiria esse, não posso falar, essa atualização, ou
(52:24):
até eu bloqueio a mitigação lá no Waf da vida pra evitar alguma...
Mas sem esse catálogo, porque principalmente a visibilidade, tem time que nem sabe o elesusam.
Esse dia eu fui falar com o time do Brasil.
Cara, tem uma biblioteca aqui na...
A Jussa, essa biblioteca, a Jussa, tá aqui, mano, eu estou escaneando o teu código, lógicoque usa.
Caramba, a não sabia.
Então, tipo assim, ter essa governança até no nível do cara, do dono da aplicação saberque aquilo tá lá.
(52:49):
Senão não tem pra mim.
É história do mano, tá com câncer, você vai fazer o quê?
Não sei que tem o câncer, então você vai fazer nada.
Você tem que fazer exames, tem que descobrir pra saber qual o tratamento, pra poder fazero tratamento.
Para aí, Birol, te cortei.
Senta e chora, né?
Senta e chora, Birol.
(53:13):
Vou só completar aqui, estou no mesmo step que o Cassio, eu entrei aqui pra implantarsegurança, a não tinha time dedicado pra isso, gente está conversas aí com alguns
ordencedores aí de gestão de artefatos, de gestão de dependências né, pra fazer aexplantação, então hoje se eu precisar eu não tenho como fazer isso.
Hoje eu tenho mais ou menos uns 500 repositórios aqui em Git e tem alguns repositórios SVNtambém pra complicar ainda mais.
(53:43):
Sempre tem legadão,
falou que os SVN, BitBucket...
Não é GitHub ou GitLab, já nem troca ideia.
Sai fora, sai fora.
hoje eu ainda não tenho como fazer isso, mas de novo, no mesmo caso, a está implantandosistemas, gente já começou aqui com scans de vulnerabilidades SCA para ver fica pacotes e
(54:03):
tudo mais, ver uns nuggets da vida do C Sharp e tudo que contém ali.
Para as aplicações de Java também tem uns Maven ali, tem uns NPMs, só que a gente aindanão consegue controlar o versionamento.
Então isso provavelmente vai ficar pro próximo quarta.
é uma esse é problema muito...
(54:24):
não tão simples de resolver, isso é fora.
Sem ter catálogo do plano do que tem na aplicação, é esse bom interno, vai...
É muito difícil você falar, o cara nem sabe o ele tem na aplicação.
estou trabalhando agora nesse bom tanto Cyclone DX quanto SPDX, SPDX para auditoria quealguns clientes pedem e o Cyclone DX para poder colocar na minha gestão de
(54:45):
vulnerabilidades aqui.
eu sempre choro.
e
Bom pessoal, vamos!
é que lidar com...
Porque assim, uma coisa é eu precisar trocar, porque tem uma vulnerabilidade crítica e agente tá querendo se proteger, outra coisa é eu precisar trocar porque aquilo se tornou
(55:07):
malicioso ou são dois cenários bem agressivos, as estratégias são muito agressivas, né?
Assim, no começo tudo depende do ponto de partida.
A primeira questão é, você sabe aonde estão as coisas ou não sabe?
né porque se não sabe vai vai envolver a empresa toda vai ter que parar a empresa toda nétodos os desenvolvedores vão ter que ser usados por olhar cada de suas aplicações pra ver
(55:37):
logo após isso tem que ser estratégico né tem que calcular quanto tempo as pessoas ficaramparados qual que é o custo disso como impactou a empresa e tal etc botar na mesa e falar
eu quero uma ferramenta para isso ou a próxima vez que acontecer
Quer exemplo?
A empresa dos ateliões que eu trabalhei, a gente também estava fazendo Pock com ferramentae tal, tinha uma biblioteca, tipo request da vida, todo mundo usava para, toda aplicação
(56:03):
time.
Aí na Pock da solução, uma dessas Libs, a solução falou assim, olha, essa biblioteca nãotem vulnerabilidade, mas ela é maliciosa.
E aí uma das funções daquela porra daquela Lib, ela dropava uma mensagem assim, stop thewar, pare a guerra.
É só uma mensagem, só isso.
Mostrei isso pra galera, os caras não, mas é só uma mensagem.
(56:23):
Eu mas que caralho, é amanhã o cara que fez a porra da biblioteca, agora dropa que tárolando aqui, explode uma piroca na tela.
Hoje é só uma mensagem, o cara tem o controle do negócio, vai deixar a biblioteca aí?
Não, os caras estão bem intencionados.
Mano, você tá de brincadeira.
Eu saí empresa, eu saí dessa empresa exatamente por causa disso.
Não dá, vocês estão de brincadeira.
Está aqui problema, vocês estão usando uma Lib, que terceiros têm o controle, que hoje ocara manda mensagem, amanhã ele apaga tudo que está aqui ou qualquer outra coisa que ele
(56:50):
faz.
E vocês estão falando que está ok?
Vocês entenderam problema, Mano, lá é o like aí.
Complementando o que disse, a nossa vida mudou muito depois que adotamos um catálogo desistemas.
(57:11):
Hoje, gente tem trabalhado muito porque gente entendeu que dos maiores gaps que eu tenhopara a segurança, e a não toma conta disso, incrível.
A não controla, ela só me sinaliza.
Então ela varre o meu código e coloca num orca security, numa ferramenta de segurança quevocê tenha uma libe que tem uma vulnerabilidade, que tem CVE lá para você corrigir.
(57:35):
Mas ela não te dá uma opção.
E aí se você for pensar assim, é o que o Benyur falou.
Você vai ter que parar a empresa, você vai ter que mobilizar uma war run com milhares depessoas, colocar todo mundo lá e falar, vamos galera, três dias aqui trampando nessa
parada para gente conseguir resolver isso.
E aí é mal.
a parte...
Aconteceu isso com o Log4j?
e a tem trabalhado mecanismos para conseguir adaptar.
(57:57):
E sem um catálogo de software, sem você saber o que está rodando no seu parque, esquece.
Você vai até conseguir fazer script, você vai conseguir usar IA, a gente nem falou de IAaqui, eu acho ótimo a gente não ter falado de IA porque é o bagulho...
Sem isso, cara, vai ser mais difícil a sua vida, sabe?
Então eu acho que é a adoção de um centralizador de informações que...
(58:24):
Infelizmente, não é tão interessante assim, do ponto de vista de segurança, mas do pontode vista de gestão de infraestrutura, eu entrar lá, principalmente quando você tem, cara,
hoje eu tenho 500 produtos que eu tomo conta aqui.
São 500 produtos, 4 mil microserviços.
para eu entrar lá e falar assim, cara, o o sistema de pedidos faz?
(58:46):
Ah, legal, ele foi feito .NET, ele usa SQL Server, esse SQL Server, esse aqui...
A gente não deveria começar sem isso, entendeu?
Bom pessoal, tempo estourado, nos vemos no próximo episódio.
Esse foi mais da Vista Cócegas Podcast.
Eu sou o Casio Pereira.
Eu sou Bem-Or.
(59:07):
é só mais acento.
Boa!
E com a presença da nossa ilustre Rafa Frizani hoje, obrigado Rafa pelo seu tempo ededicação, compartilhar com a galera.
Beijos!
Nos vemos na próxima semana.
vocês.
Até mais.
Tchau.
Olá!
Ah, cara, eu vou ter que mandar embora, já, no filho da puta, do puta que pariu.
Pessoal, sejam muito bem-vindos a mais episódio do RC Cop's Podcast.
Eu sou o Cassio Pereira.
Eu sou o Benhor.
eu sou Mark Santos.
Muito bom, os caras trolam minha fala aqui, eu vou te cortar, vou cortar tempo deprograma.
Você tá achando que é assim?
funciona assim não, cara.
(00:47):
Vou cortar o salário, vai.
Natal, vai pro PLR.
vai tirar uma faca
Sete pedaços pra mim agora e o outro bem hoje.
Pronto.
Pessoal, muito bem-vindos a mais episódio da Secuosa Podcast.
É uma honra estar aqui com vocês, time completo hoje.
E convidado monstro que a gente ia falar sobre ele antes.
(01:07):
Vamos sempre lembrar que o Da Secuosa Podcast tem o apoio da Nova 8.
Check mais esse sneak, a Nova 8 que é a distribuidora das plataformas no Brasil.
A Purple Bird Security que vai cuidar de você durante e depois de incidente.
Certeza que você já teve incidente, cara.
fala com a PORG, que eles vão te ajudar.
E a Go to Security, que tem serviços especializados seguranças de aplicações.
(01:29):
Não esquecemos também da Digital Walk, que tem portfólio completo de soluções para você.
E o nosso mais novo parceiro, a Conviso, que é especializada em seguranças de aplicações.
Ela ajuda as empresas que lidam com dados em series, como fintechs, bancos, health techs eplataformas digitais.
A fortalecer toda a gestão de segurança do software.
Desde o desenvolvimento até a produção.
(01:50):
A Conviso combina a consultoria especializada como plataforma completa de AppSec paraapoiar times de tecnologia e prevenir falhas, reduzir riscos e operar com segurança.
dito tudo isso, convidado de hoje é grande amigo que é dos meus que a vida...
Sabe aqueles trabalhos merda, que sempre é uma empresa merda, que leva nada para a vida?
(02:14):
Esse é um camarada que essa empresa me deu, um amigo que está há anos que gente sempre sefala nos bastidores.
Uma honra ter o Rafael aqui hoje com a gente.
Rafa, fica à vontade de se introduzir para a galera, falar pouco de você, o que você faz,e gente começa o nosso bato.
Fala aí galera, bom dia!
Meu Rafael, estou aí nessa brincadeira de trabalhar, né?
(02:39):
Nesse ano eu estou fazendo 20 anos, desde 2005 aí apanhando.
E aí é isso que você falou, Às vezes você tropece alguns lugares e acha umas espécies quevocê coloca no chaveiro e anda com eles para onde você vai.
Então é prazer estar aqui, é prazer falar com vocês.
(03:00):
Acompanhe, eu deve ser cópia, né?
Eu dou sempre uma olhada vendo a cara feia do nosso roster direto.
Mas, mora no meu coração e vambora.
Boa aí Marcos, tá vendo?
Amigos assim que tem que ter, tá vendo só?
(03:22):
Tem músicas que discordaram, tem músicas que discordaram.
Pessoal, vamos lá, então vamos entrar no tema de hoje, o tema de hoje a vai falarpouquinho mais do mundo de infraestrutura, pouquinho do mundo de CECOPS, Cláudio, que é o
que o Rafael Domim daí tem trabalhado e como o Pei falou, já há uns 20 anos ele brincandonessa área.
Eu já queria começar...
talvez puxar aí a discussão pro lado, literalmente assim, quais são os desafios?
(03:45):
Porque a gente que lidava muito com o desenvolvedor, o Benhul, o Marcos, a gente estámuito direto na aplicação.
A gente tem monte de desafio ali do cara, não vou fazer, não quero, isso não é importante,depois eu faço, a Sprint é mais importante, não sei o quê, sei A gente já tem os nossos
desafios, todo mundo que ouve o podcast, deve ser que que de podcast há mais de 5, 6 anos,mais de 180 episódios, cansado, já já ouviu que eu ia isso.
(04:08):
Mas quais são os seus desafios?
Porque eu sei que você cara que conhece segurança, tenta fazer um mínimo ali viável parater um produto, uma estrutura pouco mais robusta.
Quais são os seus desafios, Como é que você vê o dia dia?
Como é que você lidar com essas questões de segurança?
que você lidar?
Conta pouquinho desse universo para mim.
(04:31):
Cara, eu acho que sim.
Eu vou começar a contar isso trazendo caso de quando a gente trabalhava junto.
E talvez você nem saiba desse caso.
Em belo dia, apareceu o dono da empresa que a gente trabalhava com pendrive no bolso.
E nesse pendrive tinha banco de dados de uma grande companhia de telecomunicações.
(04:58):
vou falar nome aqui, a Net, Falei se da Net, sentou.
Então, eles apareceram com banco de dados da Net, entregou pra mim e falou assim, ó,Rafael, você precisa restaurar esse banco, a gente vai remodelar o site, o e-commerce da
empresa, e a gente precisa voltar a esse banco.
E aí me deram desktop, tal como uma máquina de usuário, pra eu restaurar aquele banco.
(05:21):
E aí eu peguei e, cara, virei a madrugada naquele escritório, e aí, quando foi 6 da manhã,
funcionou, subiu o banco.
E dei um show tables ali e a primeira tabela que tinha era uma tabela de usuário.
E aí eu decidi um select naquela tabela, tinha o cadastro de todos os usuários dacompanhia na minha mão, lugar dentro de São Paulo.
(05:46):
Assim, quando a gente pensa no contexto de segurança, talvez a pessoa responsável porsegurança da companhia não fizesse a menor ideia que aquilo tivesse sob meu domínio.
naquele momento.
eu tinha CPF, localização, salário, tinha tudo que era cadastro que aquela empresa pediapara você poder comprar link de internet.
(06:08):
Aquilo estava na minha mão naquele momento.
Então eu acho que o desafio, quando a gente pensa segurança, do ponto de vista desegurança, é, cara, eu preciso saber o que está acontecendo aqui.
O que pode estar acontecendo aqui que eu não estou vendo?
Porque quando a gente fala de...
endpoints, gente fala de fire, gente fala de ferramentas, gente fala de netscope, gentefala de ferramentas para o usuário, gente busca a visualização, gente busca uma cobertura
(06:35):
de segurança onde eu tento proteger os meus interesses, né?
Mas o problema é quando tem gerência no meio, quando a gerência vem com uma demanda e falaeu quero agora, eu quero já e eu quero que isso aconteça e eu vou quebrar todas as...
todos os muros, todas as burocracias para eu conseguir sair com o dump no meu banco dedados num pendrive e levar para o meu terceiro remodelar o meu site, entendeu?
(07:02):
E isso acontece até hoje.
eu vejo que a galera...
Eu não sou de SSEC hoje, eu não trabalho para time de SSEC, eu sou parceiro muito, galera?
A gente tem uma parceria bem bacana aqui na companhia.
Mas, vira e mexe, você tem uma gestão que fala assim, cara, eu quero essa demanda, eupreciso entregar
E tem que ser rápido, entendeu?
(07:24):
E aí é que mora o perigo.
Porque aí onde a gente começa a desburocratizar, onde gente começa deixar, por exemplo,endpoints públicos, você começa a liberar serviço, você começa a liberar integrações, você
começa a deixar de lado tudo aquilo que de repente você demorou anos para construir.
Você vem, você desenha baseline de segurança, você fala que você tem uma série depolicies, e de repente você tem uma série de exceptions.
(07:52):
Então eu acho que o começo é esse, A segurança é válida, e é dura essa frase, ela umafrase que machuca, mas ela é válida até a urgência, entendeu?
Na hora que entra dinheiro e urgência, a segurança fica segundo plano, entendeu?
E é aí, meus amigos, que a coisa começa a interessante, né?
(08:15):
Ai, Bayer, queria puxar a bola pra você agora.
A gente acha que o maior desafio é aquele formulário que cara não tá validando, O last topten, coisa idiota, que pra gente chega a ser tolice, aí me vê o Rafa jogando esse
trambolha, que é o nego com o pay drive da base inteira.
E aí, mano?
(08:38):
Comentários, Bayer.
Desliga né?
Desliga?
Vira a chave e vai embora né?
esse é...
Pouco ponto cara, fica assim porque...
gente tá muito olhando como as nossas aplicações podem expor as coisas, né?
Mas é claro, óbvio.
Isso é um vetor.
(09:00):
Dentro da infra tem uma coisa que é...
Muitas vezes a gente não tem...
Porque os caras de AppSec que vieram ao desenvolvimento, têm uma dor gigantesca, ninguémmanja nada de rede.
Ninguém manja nada de infra.
Entende?
Então a gente vai até o máximo que gente consegue chegar é pouco ali de cloud security, ouse o cara veio de infra, ok?
(09:20):
Ou participou de infra é uma vantagem, né?
E aonde vai o impacto da aplicação depois?
Não é ou dois casos que a gente já pegou assim, cara, beleza, encontramos umavulnerabilidade crítica na aplicação.
Mas a segunda pergunta é, e se o cara explorar essa vulnerabilidade crítica?
(09:40):
Tem segmentação de rede ou coisa assim?
Não, tá tudo num bolo só.
Então se pegar ali...
Se pegar ali, até a cafeteira o cara consegue achar na hora que explodir aquilo, né?
E aí eu queria te trazer uma pergunta que é seguinte assim, Hoje, falando justamentenisso, tu comentou, olha só, tô falando de tudo, mas cara me entregou um pendrive na mão.
(10:10):
O que você acredita hoje?
Qual é o básico que ninguém está fazendo direito?
Porque todo mundo está se preocupando com a puta que pariu de ferramenta, não sei o quê,de solução mágica, de a não sei o quê.
isso, Enfiar todos os logs no LLM pra ver se sai alguma coisa, né?
(10:32):
Foda-se o curso de tokens, né?
Mas a questão é qual que é o básico...
que a gente não está fazendo bem feito hoje.
Cara, eu acho que...
É clichê, assim, né?
Eu vou falar uma parada clichê, mas eu acredito que o começo é aquela frase de gestor, Umproblema cultural, né?
(10:53):
Segurança hoje é problema cultural.
E o que eu quero trazer com essa frase?
Eu acho que existe um ponto entre o deve, que ele precisa entregar aquela feature, eprovavelmente ele já está atrasado, ele recebeu aquela feature para entregar ontem, né?
Eu tenho o deve para fazer isso.
Eu tenho...
De repente ele se depara com uma situação na qual ele não tem acesso, eu preciso expor umaporta, preciso colocar um web server numa porta, eu preciso subir container, preciso subir
(11:21):
uma integração no meu broker, no meu RabbitMQ, no meu Service Bus, no NoSQL, enfim.
Ele está com isso atrasado e aí existe o gestor que vai falar assim, cara, beleza, vamosfazer.
Só que ele não tem...
na cabeça dele quantos problemas de segurança ele vai infringir porque ele não pensa paraaquilo.
(11:43):
Entendeu?
Ele não pensa para aquilo.
Ele pensa em entregar a demanda dele, bater a meta, receber o bônus, tem o ciclo.
Existe o ciclo da demanda.
E de repente entregar uma feature nova para o usuário, subir produto, enfim.
A gente tem vários sinais que gente pode entrar aqui, mas eu acho que é esse.
Eu não penso para a segurança.
Entendeu?
E quando ele não pensa para a segurança,
(12:04):
Todas as outras pessoas passam a não pensar.
Todo mundo acabou de esquecer segurança.
A demanda está atrasada, as pessoas esqueceram a segurança.
Até o SRE, que ele tem, ele sabe que ele não pode expor nada a 000.
Ele sabe, ele não pode fazer isso.
Hoje, dentro da companhia, eu não posso ter nada público.
Não interessa se é uma coisa simples, sei lá, site, uma campainha, Qualquer coisa, eu nãoposso ter ela pública.
(12:32):
Mas ele acaba fazendo.
Entendeu?
Ele acaba...
Ele vai chegar no gerente dele, vai chegar mim, ele vai falar, Rafael, cara, eu precisosubir isso aqui, a gente vai infringir problema de segurança e tal, mas já foi, tá com
pressão.
E aí, hoje eu, no meu papel, eu tenho que correr atrás dos lados, então eu tenho que ir lána galera de segue e falar assim, cara, eu tenho uma pessoa aqui, eu tenho uma demanda, eu
tenho que subir isso aqui, como que a gente pode fazer, né?
(12:55):
Porque provavelmente ele nem vai conseguir subir aquilo, mas eu vou ter que criar buracodentro do meu processo pra eu conseguir colocar aquilo no ar, entendeu?
Então, eu trago esse lance cultural.
Eu acho que as pessoas, principalmente...
Não vou falar de idade aqui, porque infelizmente a idade chegou pra todos, eu não acheique eu ia falar disso.
(13:16):
Mas, principalmente, os mais antigos, ainda têm uma dificuldade pensar segurança.
A galera mais nova já cresceu dentro desse processo, porque empresa investe milhõessegurança.
Ela investe milhões em...
Propaganda de segurança.
Empresa investe milhões em campanhas de segurança hoje dentro da companhia.
(13:40):
Então essa galera mais nova já sabe que segurança faz parte da vida delas.
Mas quem não veio desse mundo, quem é pouco mais antigo, ainda tem dificuldade falar,cara, se eu fizer isso aqui, eu estou quebrando alguma regra.
Então eu acho que esse é o principal problema.
Acho que vai demorar tempo até a colocar todo mundo na mesma página e falar, olha,segurança é top 1.
(14:02):
Depois a gente fala de performance, depois a gente vai falar de QPS, TPS, depois a gentevai falar de quantas transações, quantos usuários eu cadastro, quantos pedidos eu consigo
fazer dentro da minha ferramenta.
Mas primeiro tudo isso tem que ser seguro.
Então, vou trazer outro cenário aqui para vocês, na qual eu, obviamente, não vou demonizara questão de gestão, mas eu tinha terceiro e ele estava entregando processo em...
(14:31):
em uma ferramenta e ele usava Mongo.
E aí ele queria acessar o Mongo da casa dele.
Pô, não podia acessar esse Mongo da casa dele, não pode, O cara é terceiro, ele não tinhanem a ID da company, acho.
E aí o gestor foi lá e deu, não, ele pode acessar da casa dele.
E aí, nesse meio termo, alguém foi lá e liberou o 000, porque ele tem IP da Vivo na casadele, IP dinâmico, liberou o banco 000.
(14:59):
Entre ele...
Entre ele sair da companhia e chegar na casa dele, eu já tinha uma collection dentro doMongo com uma frase esquisita, eu sequestrei os seus dados.
Entendeu?
Cara, uma hora e meia dele sair do escritório e chegar na casa dele.
Então, esse tipo de coisa aqui a gente tem que levar como case quando eu falo com oC-level, quando eu falo com a galera maior e falo, cara, olha, é por isso aqui que não dá
(15:27):
pra acelerar tanto.
Você tem que acelerar...
Infelizmente, tem alguns boundaries que você vai ter que bater.
Não dá pra você infringir e falar assim, olha, eu quero entregar mês e não vai rolar.
Então, eu acho que esse é o...
Não sei se eu respondi a sua pergunta, menino, mas é mais ou menos dessa forma.
Eu acho que é problema que a gente vai enfrentar e com o tempo as pessoas passam aconvergir mais pra segurança.
(15:50):
Eu acho que ainda é uma coisa que tá melhorando, tá legal.
Mas a gente ainda tem esses gaps na hora que gente chega, principalmente das pessoas quenão são de TI.
Se você pega algumas pessoas de gestão que vêm de marketing, publicidade, administração,tá tudo certo.
Elas não foram criadas profissionalmente pensando nisso.
(16:13):
Mas vamos precisar de tempinho até preencher essa lacuna.
Até para trazer pouco mais de lenha nessa folheira aí de cultura, eu estou fazendo umtrabalho de pesquisa para depois apresentar eventos e tal, que é literalmente assim,
depois de ter mudado para Europa, eu entendi pouco que literalmente a segurança tem umaquestão cultural, mas a minha pesquisa é com base assim, o cara que cresceu, pelo menos
(16:41):
para a gente, é mais referência, a gente que cresceu São Paulo, o cara que cresceu NovaYork...
Ele tem uma preocupação olhar para trás, preocupar com o bolso dele do que o cara quecresceu Zurich, na Suíça, na Dinamarca, na Noruega.
O cara anda na rua tranquilo, de Lamborghini pelado.
A gente tem que andar com a bicicleta amarrada no cadeado e tal.
Porque é assim, ponto.
(17:02):
E aí a minha pesquisa é literalmente isso.
O quanto individualmente profissional, uma pessoa vai se preocupar com segurançacibernética, dependendo de onde ele cresceu.
E a pesquisa é literalmente isso.
Cara, o cara que eu conheço gente da Índia, é que gente...
lugar hoje.
Então, por que uma pessoa que tem uma cabeça mais europeia?
Porque o cara tem uma preocupação mais, ah não, isso não vai acontecer aqui não, a gentenão é alvo, vou estar tranquilo.
(17:27):
Enquanto que cara americano, brasileiro, fala, é, então.
Enquanto que o cara que é americano e brasileiro e até indiano, o cara fala, não, esperaaí, a precisa se preparar com isso aqui, porque pode ser que aconteça.
Então, a pesquisa nesse sentido.
Por que isso que o Rafa falou?
culturalmente, por incrível que pareça, acima de tudo isso, tá a entrega, tá o dinheiro,tá o business.
(17:52):
Então, né, a hora que tem que entregar, a hora de ter urgência, larga tudo que eu precisofazer.
Mas por outro lado, não, pera, eu preciso proteger isso aqui, não é assim a torta édireita, tem certo limite ali, né?
Porque que alguém mora, cara sabe que não tem que deixar zero zero exposto, mas ele chegadia que vai chegar na demanda, não, tá bom, vou deixar o zero zero exposto.
Ele não vai defender a posição dele.
Aí pode discutir isso por várias maneiras.
(18:12):
Um argumento muito forte que diria que as pessoas usariam é, não, mas se eu não fizer, memanda embora.
Tá ligado?
Mas cara, às você é pago pra literalmente ter essa opinião contrária.
Literalmente te falar, não, não vou bater o pé aqui, isso aqui tá errado, onde foidefinido e tal.
Porque isso é importante ter documentado, rastreado de uma forma de outra, né?
(18:33):
Uma forma de outra tem que estar exato.
Isso.
Cara.
no bolso já era né tá liberada a demanda
Eu nunca esqueço de outra empresa que eu trabalhei que a gente tinha processo de deploy,caso de algum problema, tinha processo de rollback.
Só que quanto mais rollback o gerente tinha, mais afetava a performance, mais afetava obonde.
(18:54):
O que esse cara fazia?
Ele fazia 300 deploy, porque ele não fazia rollback do problema anterior, ele faziaredeploy, ele colocava como uma nova feature, não era resolver o problema aqui dentro,
passou a madrugada inteira o bóvel fora do ar, dos maiores e-commerce do Brasil.
Não, não, é novo redeploy, a está na versão 1.1.1.1.0.
Aí no fim do ano o maluco tinha 300 mil entregas, os outros tinha 10 e o cara tinha zerorollback, os outros com 80 % de rollback.
(19:22):
Então assim, processo também deixa ele fazer isso.
Mas enfim, esse ponto cultural que você trouxe, é muito bom também, me trazendo pouco decontraste com o que o Bermudeu perguntou pra você.
E daí para baixo, cara, daí para baixo a gente pode discutir tecnicamente de N assuntos,assim, né?
Porque aí você entra na persona de quem vai aplicar isso, se o cara tem força para falarnão, como que funciona o IAM da companhia, né?
(19:47):
Você vai precisar de uma, o que a gente chama de control, Você vai precisar de umapermissão no cloud que te permita fazer esse tipo de coisa, entendeu?
A gente entra numa série de outros processos que deveriam barrar o 000...
e o processo não deveria ser dono de conseguir fazer isso.
Eu deveria ter dentro de fluxo, e gente tem e funciona, mas obviamente tem suas exceções,que para eu conseguir liberar 000, talvez eu tenha que ligar na Índia e pedir para cara do
(20:18):
meu SOC fazer essa transação para mim, e ele vai me mandar termo de responsabilidade,falando assim, você quer?
Então assina aqui.
Coloca o teu narreto aqui comigo.
Porque a primeira coisa que vai acontecer se der um problema, eles vão bater segurança.
O gestor vai chegar no cara de segurança e falar, porra, eu te dei uma porrada de dinheiroe ainda tem o 00 aqui, o que está acontecendo?
(20:39):
Então, tá bom, tem o 00, mas olha só, aqui está a assinatura, eu falei não, elesinsistiram e aqui está.
A gente se preocupa no nível, falando do IAM, falando de um nível de acesso maiscontrolado, em que o processo vai te permitir fazer isso mais controlado.
Você vai ter 00, eu sei, você sabe, estamos olhando para aquilo.
(21:02):
Se escapar alguma coisa, alguém entrar aqui, porque vai entrar?
na boa.
Todo mundo aqui, barbado, to dando uma cara e todo mundo barbado, sabe que uma hora ououtra a gente vai ser invadido.
Uma hora ou outra vai ter problema de segurança.
O lance é como a gente mapeou, como a gente sabe quais são os nossos gaps, como a gentesabe quais são as nossas issues e como a gente atua naquilo.
(21:25):
Cara, eu sei que esse...
broker está com zero zero porque eu uma integração que vem dos index, que tem umaintegração que vem de uma ferramenta bacana de mercado que integra junto e eu consigo
atuar naquilo, tenho mapeado, sei que entendeu?
Acho que é isso que a gente começa a entrar numa parada de ok, eu tenho problemas mas eusei quais são, entendeu?
(21:47):
pegando esse gancho aí, você trouxe ponto legal agora, Tem problemas e todo mundo vai terproblemas, e eu sei quais são esses problemas.
Isso é muito importante, a gente está sempre tocando no tema aqui de gestão devulnerabilidades e tal, que acaba sendo literalmente isso, né?
Descobrir os meus problemas, priorizar eles e resolver.
É simples assim.
Como que é, Rafa?
(22:08):
Como é que você vê isso para eu ter essa desibilidade?
Porque tem empresa que é aquela empresa assim, não, se eu estou vendo meus problemas,então não tem problema.
E tem empresas que não operam, o PsiZoo, que faz code review, PsiZoo, muito bem como vocêfalou, é fazer um inventário da minha infraestrutura, que integrações que eu tenho, eu
multi cloud, eu quantas máquinas eu tenho aqui, é literalmente o seu parque, aquela coisatoda.
(22:30):
Como é que essa, eu não sei nem a palavra, mas como é que esse apetite de eu buscar essesproblemas para poder priorizá-los e resolvê-los?
Você vê isso hoje como desafio e ainda tem empresa que não quer ver isso?
Deixa pra lá, o dia que der mel e alguém vai me avisar eu vou resolver ou não?
Pera, eu preciso estar realmente ali ativamente fazendo...
(22:51):
Cara, sinceramente, acho que existem profissionais que se preocupam com isso.
Eu falo que é muito cara que vai entrar no problema de madrugada se a gente tiver um.
Então, esse gestor que lidera um time que entra no problema de madrugada, resolve, eleprecisa ter essa visibilidade.
(23:13):
Ele precisa saber onde ele está pisando.
Vou dar exemplo.
Eu tenho aqui 5 mil VMs.
uma subscriptura, 5.000 VMs.
Essas 5.000 VMs eu tenho que ter muito bem mapeado o que End of Life, o que está rodando.NET Framework, o que está rodando em .NET Core versão 5.4.
Cara, eu preciso ter esse mapeamento.
(23:35):
Por quê?
Porque se der problema, eu preciso saber o que eu vou enfrentar.
Então, cara, eu tenho profissionais que são extremamente aplicados e que eles querem saberpelo simples fato de que é o sono deles que vai ser perturbado.
Entendeu?
Não é porque o cara é muito bom, porque ele aprendeu isso num curso.
Ele sim, ele tem essas valências, ele tem a consciência de que é ele que vai ter queresolver.
(24:00):
Beleza, esse é ponto.
E eu tenho uma galera que está olhando sempre a entrega.
Eu uma galera que está...
Cara, uma demanda, eu entrego aquela demanda, talvez por uma limitação técnica, talvez poruma questão ali...
de comodismo, ok, eu sei quantas VMs eu tenho, mas eu não...
eu sou raso, né, conhecimento raso.
(24:22):
Eu não tenho profundidade, eu não sei, por exemplo, quantas...
quantos CVS eu tenho aplicados no meu ambiente.
Hoje, cara, você tem ferramentas ou pensadores que fazem isso pra você, né, que falam pravocê quando você vê, você tem na sua empresa.
Eu não sei quantos CVS eu tenho, eu não consigo chegar do lado do time do produto e falar,ó, o produto...
cara, você tá com três VMs end-of-life aqui.
(24:44):
Seu Kubernetes está em uma versão mais antiga, a precisa atualizar, precisa de janela parafazer isso, porque talvez a sua aplicação não funcione com mais de pod.
E não acreditem, isso é super normal, estamos 2025.
Colocar a aplicação State Fuder de Kubernetes é pra fuder, cara?
(25:09):
Não tem como...
E aí, qual que problema?
Eu vou ter ter uma janela pra atualizar Kubernetes que é uma parada que eu poderia fazer aqualquer momento.
Ele é feito pra eu ir lá e atualizar ele a qualquer momento.
O cara gastou massa pra pensar no negócio que...
(25:29):
Entendeu?
E a gente não.
A gente quer ir lá e rodar um pod por microserviço e negócio não é escalável se não dálock no banco, enfim.
botar o backup não pode né o backup do banco não pode eu adoro
Então, eu acho que existem profissionais e profissionais, resumindo.
Acho que tem gente que vai bastante a fundo e isso sobe o nível do time absurdo, porqueesse cara faz o time crescer.
(25:56):
Eu tenho uma galera que vem com uma demanda, ele talvez receba 300 demandas, ele só estápreocupado em entregar e às vezes ele não tem nem tempo para essa profundidade.
é o famoso, cara não sabe dizer não, Não, pera aí.
Dá fazer dá, mas pra fazer direito, vai custar tanto, vai demorar tanto, Direito, teste,segurança, o que quer que seja.
(26:17):
Eu já, cara, cansei de ver, especialmente onde conheci o Rafa, a tava lá Agente dePublicidade, Onde literalmente o que importa é o hot site do ar, porque a campanha tá
rodando, o resto, foda-se.
Então assim, cara, eu tinha FTP nessa empresa que gente trabalhou, eu tinha FTP deprodução, eu salvava o arquivo.
Caralho!
(26:39):
não tem nada.
Era isso, era a Dev Backend lá na época.
Mas assim, quando a galera deixa de olhar essas questões de qualidade de maneira geral, eaí a gente começa a expandir a discussão porque o ponto é o seguinte, tá todo mundo
falando de software aqui.
Então quando a empresa para de, quando ela entende que peraí, eu vivo de software, aindaque o meu core business não seja software, a pessoa precisa comprar, passa para o meu, eu
(27:04):
como,
falar comigo, ela entra no meu suporte, ela vai pelo aplicativo, o que quer que seja.
Então, ela entende que boa parte do business dela, na verdade, é de software ou ésustentado por software.
Então aquilo tem, merece uma atenção especial, porque praticamente é o canal dela, ésimples assim.
Então, dito isso, é onde eles tem, muda pouco essa chave de pé.
(27:26):
Então, eu preciso começar a dar atenção para isso, do ponto de vista de não é só um meio.
Como isso não é só meio para cara chegar no meu produto, na verdade é praticamente o...
Principal, parte do produto.
Sem isso o cara nem chega no meu produto.
Então aí sim ele vai virar essa chave de começar a pouco de atenção para aquilo.
Talvez não tanto quanto, por exemplo, uma infraestrutura crítica, onde eu trabalhei, porexemplo, robótica, fábrica, coisas do tipo, e cara, praticamente a automação toda depende
(27:52):
de software, aquilo não pode parar.
É diferente de para, minha produção é uma coisa, minha commerce que vende é outra.
Então são coisas separadas ainda que aquele e-commerce, aquela aplicação, software seja omeio para chegar no produto final ou no serviço final.
tem que ter peso.
Por exemplo, o banco.
O banco não é software, é dinheiro, ponto.
Mas tudo isso funciona por conta do software.
(28:13):
Então todo software do banco tem que ser muito bem preparado, muito bem estruturado.
Marcos, você que está quietinho aí hoje, está só observando, está só fazendoobservability, vou trazer uma pergunta para você discutir com o Rafa aí.
Logs, o que é o dos logs, que gostava de desligar Log Anwait para economizar servidor.
(28:36):
Você vê isso ainda hoje no desafio, log custa, mas ainda vê isso como desafio e aí trazeresse debate depois para o Rafa também, como é que ele vê essa questão de monitoramento,
saber o está acontecendo na minha indica, uma estrutura como toda.
Eu ainda vejo como desafio porque o pessoal não sabe segregar e selecionar quais são oslogs corretos que a gente precisa para fazer análise de uma aplicação Então ou a pessoa
(29:01):
loga demais ou ela loga de menos Então não tem um controle, tem uma documentação sobrequais logs são necessários, quais dados precisa passar para o Aonde eu vou armazenar esse
log?
Então cada joga lugar diferente Então eu acho que o log ainda é desafio e vai ser aindapor bom tempo
Justamente porque o pessoal não tem essa instrução de como fazer log da maneira correta.
(29:24):
dia eu peguei uma aplicação aqui que tinha console.log na aplicação inteira.
Você abriu inspect do navegador, tava chovendo lá no console.
E não é isso que a gente espera.
E quando você tá pegando back-end também, muitas vezes eu vou debugar alguma coisa e nãotem log nenhum.
Ou tem log muito escasso de informação.
(29:48):
não me fala de onde veio, o que está trafegando, se aquela API que eu estou querendodebugar ali está trafegando algum dado sensível ou não, então é complicado.
E só para o Rafa saber aí, eu passei por episódio numa empresa onde eu controlava sistemade RH crítico da empresa, era desenvolvedor lá, criava algumas regras.
(30:11):
E determinado momento, nosso servidor que era on-premises ali estava cheio de disco.
a estava sem espaço e uma das maneiras que o executivo na época encontrou para resolver oproblema foi desligar o log que estava ocupando muito espaço e não tinha budget para
comprar um HD novo, né?
(30:32):
E com isso a gente teve ali um vazamento de informação e foi solicitado que eu buscassenos logs quem havia feito isso.
Infelizmente não tínhamos o log.
Esse caso é sensacional, você tem que virar...
Slogan não, não Paulo?
(30:53):
Você tem que virar vinheta essa porra pra gente botar aqui, tá ligado?
Claro, não sei se você já podia comentar, hoje, logs, que a observabilidade em si é oponto que a mais gasta dinheiro dentro da companhia.
Hoje é onde é pensando infraestrutura.
(31:14):
O que eu gasta infraestrutura é 1 % do que eu gosto SEC, né?
Mas dentro da disciplina na infraestrutura, esse R e tal, é o meu maior custo, assim, émonitoramento.
E o maior desafio que eu enfrentei nesses sete anos que eu trabalho na empresa que euestou hoje é conseguir, e eu acho que esse é problema de engenharia, Eu não acho que esse
(31:35):
seja problema de infraestrutura, problema de desenvolvimento, eu acho que esse é problemade engenharia.
Conseguir chegar no desenvolvedor e falar assim, logger, log level, eu preciso que vocêexplique o é warning, o que é error, o que é debug, log level,
(31:56):
ou eu morri.
parte nativa.
O member tá no muro aí
Mortei, mortei, mortei.
Pera aí, deu uma travada, acho que voltou.
Vai lá, parou no LogLevel, sabe como LogLevel, Chega no Dev, não, morreu de novo.
(32:16):
Voltou, estamos te ouvindo.
Voltou, voltou, voltou.
A Rafa tá mutada agora,
Não, tô ouvindo, tô ouvindo.
tá...
Acho que agora voltou.
Tô ouvindo.
Não, show.
Vamos lá.
(32:43):
E aí?
aí?
aí?
E E aí?
E E aí?
E E E E E aí?
E E aí?
E aí
warning, error e debug.
(33:04):
Entendeu?
Eu só preciso ser classificado com a sua aplicação.
E aí, cara, eu acho que isso de aplicação para aplicação, isso deve ter uma complexidade.
Eu não tenho, porque eu já fiz isso várias vezes, mas é muito difícil você pedir para caramandar login JSON, entendeu?
E com o log level corretamente configurado.
(33:27):
E o peso disso, eu acho que, onde eu acho que a galera vai começar
ter noção, hora que você começar a jogar o peso do log no bolso deles, porque log é umacoisa que custa muito caro, É muito dinheiro, principalmente quando gente fala de
ferramentas SaaS de monitoramento, Datadog da vida, o New Relic, Dynatrace, quando a genteleva logs para esses lugares, e até tem case de banco, do Banco Roxo, né?
(33:51):
Não sei se eu vou evitar falar o nome aqui das empresas, e que está fazendo o caminhocontrário.
ré a estilo do pau.
O Van Rooske está fazendo o inverso, está atrasando e na apresentação ele fala que chegouuma hora que a teve que tomar a decisão se a ia comprar uma ilha ou se a gente ia pagar
log, entendeu?
Porque log é muito caro.
Então se o dev lá, desenvolve microserviço, ele precisa entender que ele não tem que logartudo, 200 gente, 200 não log.
(34:21):
Mensagem consumida com sucesso, isso não é log, entendeu?
Eu falo tranquilo, eu sei que isso caralho, é óbvio, 200 no log, por favor.
puto quando eu vi aquele console.log gigante.
(34:42):
Eu fico puto.
Eu entendo que quando você está desenvolvendo local e a coisa funciona e o seu softwareroda, é maneiro ter log.
Você fica feliz de olhar todas as features que você colocou ali logando legal.
Só que quando você vai para a produção e você divide infraestrutura com várias pessoas,quando você começa a envolver dinheiro, você precisa falar assim, não, espera aí, isso
(35:03):
aqui é uma aplicação corporativa.
E não só corporativa, uma aplicação para o meu eu, meu GitHub pessoal, ele vai evoluir.
Se eu conseguir ter controle de log legal, onde se eu tiver um problema ele vai me jogarproblema na tela, beleza, tenho aplicações que geram bilhões de eventos de log por dia.
Aí você vai lá e fala, cara, mas olha só, aqui tá custando 10 mil dólares por mês esselog.
(35:24):
Aí ele, tá bom, vou ver e te aviso.
Então eu acho que esse é um problema, fora um outro problema que é o submundo do log.
Existe submundo do log.
Porque se você não loga legal, você loga tudo.
E se você loga tudo, meu parceiro, sistema de RH aqui, você acha que eu já não pegueiproblema do meu salário vindo log no SAS?
(35:51):
Boa fera!
Sabe, tipo, você já não veio porque o cara, ele...
Você quer...
Você quer logar tudo?
Então, cara, obfusco os dados, entendeu?
Obfusco os dados.
Se você tem problema de compliance, eu tenho um compliance aqui que pede log de tudo paraalgumas operações, cara, obfusco o dado.
Não precisa trazer o cnpj no log, não precisa trazer o cpf, a gente vai infringir algumalei.
(36:14):
Alguma lei a gente vai infringir, não precisa buscar em...
Lgpd, mil frameworks de segurança, a gente vai enfrentar uma lei.
Se eu tiver dado que não pertence a mim no meu log, é óbvio.
Eu vou ter problema.
É igual como esse local o cartão de crédito CVV data de validade e o nome né.
Eu sempre jogo uma gasolina nesse topo que é o seguinte, lá na LGPD da vida você tem odireito de esquecimento, então se o seu usuário falar, paga aí os meus dados, você tem que
(36:46):
ir lá pagar.
Até aí, tranquilo, beletizinho aqui e resolveu.
Mas e os seus backups, e os seus logs que estão com essas informações que você nem sonha,backup de 80 dias atrás, ou 2, 3, 10 anos atrás, que lá no frio, lá na fita, na
o pariu, o cuidado está lá.
Você acha que eles estão fazendo processo automatizado para levantar, restaurar aquelebanco, subir aquela base, apagar aquele registro específico, voltar ao bec...
(37:11):
Mas o cara faz isso no quente, o cara não vai fazer isso.
APIs que a gente cria só pra testar que tá ali rodando até hoje, era no log a gente nemsabe cara Só quem sabia era deve Deus, hoje só Deus sabe o tá acontecendo ali
vou descoordar, vou jogar a bola para o Ben Hur agora, eu descoordando o Rafa só paragerar treta que é o seguinte, 200 logo assim.
Por quê?
Porque você vai dar 200 e vai ter error message no body.
(37:40):
Fala aí, Hur.
Não, não, não.
É falar que deu 200 com tela branca, né?
Você joga o health no browser, não tá health na tela branca.
Não, cara.
O .NET, se você colocar ponto health lá, ele joga health na tela.
É só você fazer isso, entendeu?
(38:01):
Tem coisa que a gente não precisa falar aqui, entendeu?
Joga a bola.
Fala aí, Vero, o que você acha dessa?
Duzentão?
Duzentão, mas com iolo bode.
Mas eu não te mostrei o erro com sucesso?
É...
O erro foi informado com sucesso.
A questão é a minha intenção.
Eu que ia te mostrar o erro.
(38:22):
Eu te mostrei o erro.
Pra que lida com gráfico?
Eu sou o sábio aferno que é essa merda.
Mas uma coisa eu queria até perguntar com relação a observabilidade si.
Uma das coisas que eu não vejo...
por algum motivo a plataforma cortou só o seu áudio, já foi pra mim, eu não escutei umaboa parte, se eu repetir vocês me avisem, tá?
(38:47):
Uma coisa que eu não vejo é o pessoal fazer um trabalho ou ter conhecimento sobre loginmodeling e uma parte da maior das ameaças que é o non-repudiation, né?
Que todo mundo acha que o non-repudiation, sempre que eu converso, o meu marido deprofissionais já percebe que a gente conversa sim, é item que...
(39:09):
menos ganha importância de todos aqueles itens que tem ali, só que ele é a auditoria.
Se a trocasse o Repudiation por auditoria, aquela palavra seria muito melhor entendida,né?
por resposta incidente já ajudava a galera.
ajudava bastante né então assim hoje as pessoas não colocam muito bem que nem ele tem maisaumentando né cara o que ele coloca no log né que vamos lá se o log não tem quando o que
(39:38):
quando aconteceu o que aconteceu quem fez é peso para papel né e outra coisa que a gentevê as pessoas guardam logs
e não simulam a ocorrência onde vão necessitar o log.
Por exemplo, eu vou guardar os logs de uma compra para depois ver se o cara de fatocomprou ou não, ou de um acesso específico.
(40:05):
Mas nenhum momento eu faço uma ação do tipo assim, Quais são os cenários em que euprecisaria desse log e esse cenário eu atendo com o log?
Por exemplo, esse esquema, né?
Cara, queremos saber quem foi que acessou o dado de 50 mil usuários.
Primeiro, já começa, Se eu preciso perguntar dado de quem acessa de 50 mil usuários, eunão tive nenhuma regra para dizer que alguma pessoa não poderia consultar o log, os dados
(40:34):
de 50 mil usuários.
Que é aquele trade-off, né?
Tudo aquilo que eu consigo controlar, o controlo que eu não consigo controlar é o monitor.
Para ver se ocorre ou não, né?
Eu queria saber pouco do teu lado.
Hoje, quais são os logs de infraestrutura que você considera críticos e prioritários que agente deveria ter primeiro lugar?
(40:58):
Se você tivesse que priorizar.
Pensa, chegou lá o chefe do Marcos ali, e a disse assim, vamos desligar os logs porqueestá ocupando muito espaço.
Aí você vai dizer, cara, não podemos desligar o log.
Aí ele vai falar assim, cara, então tá bom, escolhe aí os 20 % de log que você vai ficar,o resto a gente vai jogar fora.
Quais seriam esses?
Essa pergunta é massa, porque o que acontece?
(41:20):
Hoje, eu vou me colocar aqui lendo pouco do perfil do Marcos.
Quando você vai falar isso para alguém que cuida efetivamente de aplicação em cloud, vocêtem approach.
Então a gente conversa disso de uma forma.
Quando gente fala isso de um pouco mais raiz, onde eu tenho dinheiro, porque o complianceme dá dinheiro, para eu salvar os logs que eu julgo importante, ou que segurança me dá
(41:45):
dinheiro...
cara, inevitabilmente você tem que salvar o last, né?
Você precisa saber quais foram as últimas contas que acessaram suas máquinas.
Então, last log, de cara, assim.
O que você acessa?
Last, né?
Por quê?
Porque o last vai te contar quem foi o cara que reiniciou aquela máquina, quem foi o caraque acessou aquela máquina, qual foi a que teve poder para aquilo, e ele te conta muita
(42:08):
coisa, porque normalmente quando você encontra problema e você é de infraestrutura, vocêtem uma conta específica para acessar uma máquina lá.
Eu não posso acessar com a minha conta pessoal.
Se você encontrar problema para usar, você vai tentar de alguma outra forma.
Então, se eu tenho botão no cloud que fala assim para mim, resetar o usuário, resetar asenha de usuário igual a Azure tem, a Azure te permite você resetar uma conta de usuário
(42:32):
ou criar uma conta nova a partir do portal.
Para mim, é baita de gap de segurança.
Pode ter uma conta root se você tiver contributor no portal da Azure.
Você vai fazer aquilo.
Entendeu?
Mesmo que se o seu IAM te permitir fazer, você vai fazer.
E aí o Last vai te falar, olha, o Rafael não conseguiu acessar com a conta control dele,com a conta de controle, mas ele logou com o usuário dele, ele logou com o usuário Frizani
(42:59):
aqui, entendeu?
E a partir desse problema, a gente teve uma vulnerabilidade, você consegue contar umahistória.
Então eu acho que Last, depois, log de web server, né?
A gente fala que, não vamos salvar 200 e tal, mas dentro de log estruturado, cara...
você precisa de log de web server porque eu preciso saber usando o readers qual é a origemdo IP que acessou aquele endpoint, qual é de repente da onde que veio, qual o país, você
(43:24):
consegue ter muita informação no reader.
Mas, por exemplo, a galera gosta de salvar messages, não salvo messages porque aquilo sãoalterações no sistema operacional que para a resiliência é show de bola, mas custa caro,
entendeu?
Custa muito caro.
esse trade-off, o que custa a cara e vale pena ter e o que vai me contar uma históriadepois.
(43:46):
Me contradizendo pouco e falando que o 200 não vale, eu tenho algumas aplicações aqui quea gente coloca que com mais fala que eu tenho que salvar.
E dentro de uma observabilidade moderna, eu tenho o que a gente chama de trace unificado.
Então eu bato no endpoint, esse endpoint executa uma operação, gera um trace dentro daminha ferramenta de observabilidade, APM da vida, e ele linka o log daquela operação.
(44:11):
E o dev, tem um app mágico pra ele, quando ele consegue bater o dedo e ver qual é o tracee saber qual é exatamente o log que isso aconteceu, entendeu?
Então é muito comum ele fazer isso, ele, porra, pra eu ter controle da minha aplicação,trace mais log, de forma unificada, eu vou...
Eu quero ter isso, mesmo que custe muito caro.
(44:32):
E aí eu volto lá no problema que é tema de engenharia.
O drive que você tem que dar para arquiteto é o seguinte.
Isso é uma operação crítica?
Se é uma operação crítica, a gente paga o log.
Isso não é crítico?
Então, cara, esquece.
Você não precisa fazer essa correlação entre trace e log.
Então, eu acho que é isso.
Voltando à sua pergunta, hoje eu salvaria last, salvaria logs de web server.
(44:57):
e salvaria esses logs críticos de aplicação que contam uma história para mim.
o usuário acessou essa página.
Embora hoje você tenha muitas outras ferramentas para fazer isso.
Você tem run, ferramentas de funil, de internet.
você não precisa do log para fazer isso.
Entendeu?
Você tem N e outras formas de fazer.
(45:17):
Então você depender do log, na minha opinião, ele é último recurso.
Entendeu?
Você tem outras ferramentas hoje que você paga e muitas vezes está no bundle daquilo quevocê comprou.
E você só talvez não esteja usando, mas ele faz aquilo.
Então hoje eu consigo saber, por exemplo, quais usuários acessaram todas as minhas páginassem olhar o meu log.
Eu tenho uma ferramenta para você fazer isso.
Esse é bom ponto, A governança da informação que nós temos dentro da empresa, né?
(45:45):
Que às o cara tá duplicando, triplicando informação e não sabe.
E aí, esse é bom ponto, porque por exemplo, entra muito com que gente tava discutindo, né?
Deixa eu simular os cenários que eu precisaria das informações, não digo log, né?
Das informações específicas, né?
Poxa, cara, eu quero saber...
(46:06):
Se usuário X acessou uma tela específica.
Eu não preciso guardar o log da tela específica.
Eu preciso pegar esse informa...
esse cenário e replicá-lo na minha empresa.
E entender, ok, não, olha só, aqui a gente vai precisar de log porque tem aqui, aqui aquinão entrega pra gente.
Às vezes, eu usar uma ferramenta lá de rotejar, não sei, essa galera toda aí, jáentregaria.
(46:32):
Isso é excelente ponto.
Exato.
Porque log é muito difícil.
Quando você pega log de aplicações web, dependendo...
Vamos supor que e-commerce, tem que carregar a asset.
É inferno você acompanhar o log daquilo.
Entendeu?
Pô, para cada asset ele vai gerar um link porque é uma request nova.
Então cara, como que você vai guardar aquele log e depois você vai procurar alguma coisalá dentro?
(46:55):
É difícil, você vai ter que fazer...
Então assim, eu acho que não é a melhor opção.
Você guarda, se você tiver um CIEM é legal, entendeu?
Põe lá muitos anos de logs, você pode verificar se você teve problema naquilo.
Hoje, por exemplo, eu tenho um CN, onde eu guardo informações do meu CDN.
Entendeu?
Por quê?
Porque eu não tenho...
(47:15):
o meu CDN é terceiro, eu não tenho controle disso, ele me disponibiliza log, o suportedeles é péssimo, entendeu?
Então eu guardo esse log, por proteção.
Entendeu?
E já precisamos usar.
Pô, alguém foi lá e apagou um...
teve problema no site, apagou, gente foi lá, bom, beleza, quem pegou foi esse IP, tal,conseguimos reconstruir, fazer o caminho de volta da operação.
(47:39):
nesse caso eu acho legal.
Para todos os outros, acho que você, ferramentas web principalmente, guarda log, cara,você vai ter trabalho para achar alguma coisa ali, viu?
Eu acho difícil você ter de reconezir com isso.
é outro dos caracteres que você comentou né?
Primeiro, não é porque eu armazeno informação que ela está pronta para ser pesquisável,que acho que esse é o primeiro ponto né, porque nada pior que ter um bucket gigante com
(48:10):
terabyte de TXT e quando você precisar navegar com ele, cara, não tem uma Tina ali, nãoconfigurou nada
Os logs não estão estruturados a ponto de serem correlacionáveis.
Enfim, você não consegue fazer nada com os logs porque você escolheu armazenar e agora vaipassar o resto da tua vida baixando coisas pra boigar,
(48:31):
só deixar os logs públicos e a comunidade procura pra você o que você precisa.
Só está armazenando por compliance, cara, você não vai precisar dele nunca
tem dificuldade.
Se você publicar esse log, 10 minutos alguém acha negócio pra você.
E outra questão que você comentou ali é esse serviço de internet, tu armazena o log ali,porque o CDN tem um risco de tampering.
(49:04):
E dependendo do que tu joga ali, alguém pode mudar um asset JavaScript que vai serentregue pra todo mundo, exemplo.
dos casos que estourou a Bybit, exemplo.
Então, assim, qualquer coisa que entrega coisas no seu nome tem que ser monitorado, né?
Acho que é bom ponto, né?
(49:24):
Acho que esse top de log observability, eu gosto pra caralho, porque é mundo, é mundo,literalmente.
Acho que dá pra gente fazer um outro bate-papo só disso.
Que a gente já tá misturando o tempo, mas eu vou jogar só o pavio, acender o pavio ejogar, a gente apaga ele no próximo episódio.
(49:45):
Que é o seguinte, essas empresas aí da Inatrace, essas porras tudo aí, o Inatrace émalware, O bongos da palavra é malware, você bota o bagulho na tua rede e o bagulho vê
tudo.
que que é?
galera ganha dinheiro absurdo, não tão errados, porque é tudo mal feito.
A infraestrutura de sobra é tudo mal feito.
(50:05):
Se logo na sua raiz fosse bem feito, estruturado, porque eu acabei de falar, é mundo quenão precisaria desse tipo de ferramenta.
Minha humilde contribuição.
Mas é o pavio para a gente ir para o próximo episódio.
Fala aí, Rafa.
pano, da pano pra manga, aí, porque é assunto que eu gosto bastante também.
Hoje eu sou basicamente...
ferramenta de observabilidade é o que está aqui embaixo da minha alçada, no meu escopo.
(50:29):
E eu acho que esse é muito bacana.
Eu quero chegar no nível de log, que eu quero ver se o nog.
Eu quero saber exatamente quais campos tem naquele log, eu quero que o desenvolvedor useesse padrão e tem que ser fácil.
Entendeu?
caras não põem nem grito do word direito, você está querendo muito isso aí.
(50:50):
Boa!
Fala aí!
que eu acho que é massa pra vocês não ficarem aqui eu respondendo.
Como que vocês fazem hoje?
Por exemplo, na empresa de vocês ou no Ludico.
Imagina que você tem lá igual o Caço, ele tem 7 mil repositórios aí na empresa dele.
(51:13):
Você precisa...
Por exemplo, trocar um Newtonsoft para 4.450, um Request para 4.550 e isso diretamenteligado à segurança.
Imagina que você tem um Log4j, que você vai precisar fazer uma atualização em massa.
Como vocês lidam com isso hoje?
Mano, hoje...
(51:34):
Primeiro fala, não precisa fazer isso, deixa pra depois.
Aqui é onde a gente trabalha, que gente está tentando fazer pra...
Que a gente está levando o nível de maturidade hoje.
Hoje eu não consigo fazer isso, exemplo.
Falar, precisa fazer agora, não vai fazer.
Vai cada corte o seu lado.
Mas que a está tentando criar a estrutura pra que isso seja permitido é ter catálogo detudo que eu uso a nível de aplicação, né, biblioteca tal.
(51:57):
exemplo do Log4j.
quais projetos eu tenho, dois, três, quatro, usa a biblioteca tal ou na versão tal.
Você deu uma merda na biblioteca, até que eu sei quais projetos são afetados, desses quesão afetados, quais são críticos, quais não são, quais tem um DR da vida, não tem.
Com esse catálogo, direto pra essa governança, aí fica fácil tomar decisões depois quehoje a gente já tem ferramenta que permitiria esse, não posso falar, essa atualização, ou
(52:24):
até eu bloqueio a mitigação lá no Waf da vida pra evitar alguma...
Mas sem esse catálogo, porque principalmente a visibilidade, tem time que nem sabe o elesusam.
Esse dia eu fui falar com o time do Brasil.
Cara, tem uma biblioteca aqui na...
A Jussa, essa biblioteca, a Jussa, tá aqui, mano, eu estou escaneando o teu código, lógicoque usa.
Caramba, a não sabia.
Então, tipo assim, ter essa governança até no nível do cara, do dono da aplicação saberque aquilo tá lá.
(52:49):
Senão não tem pra mim.
É história do mano, tá com câncer, você vai fazer o quê?
Não sei que tem o câncer, então você vai fazer nada.
Você tem que fazer exames, tem que descobrir pra saber qual o tratamento, pra poder fazero tratamento.
Para aí, Birol, te cortei.
Senta e chora, né?
Senta e chora, Birol.
(53:13):
Vou só completar aqui, estou no mesmo step que o Cassio, eu entrei aqui pra implantarsegurança, a não tinha time dedicado pra isso, gente está conversas aí com alguns
ordencedores aí de gestão de artefatos, de gestão de dependências né, pra fazer aexplantação, então hoje se eu precisar eu não tenho como fazer isso.
Hoje eu tenho mais ou menos uns 500 repositórios aqui em Git e tem alguns repositórios SVNtambém pra complicar ainda mais.
(53:43):
Sempre tem legadão,
falou que os SVN, BitBucket...
Não é GitHub ou GitLab, já nem troca ideia.
Sai fora, sai fora.
hoje eu ainda não tenho como fazer isso, mas de novo, no mesmo caso, a está implantandosistemas, gente já começou aqui com scans de vulnerabilidades SCA para ver fica pacotes e
(54:03):
tudo mais, ver uns nuggets da vida do C Sharp e tudo que contém ali.
Para as aplicações de Java também tem uns Maven ali, tem uns NPMs, só que a gente aindanão consegue controlar o versionamento.
Então isso provavelmente vai ficar pro próximo quarta.
é uma esse é problema muito...
(54:24):
não tão simples de resolver, isso é fora.
Sem ter catálogo do plano do que tem na aplicação, é esse bom interno, vai...
É muito difícil você falar, o cara nem sabe o ele tem na aplicação.
estou trabalhando agora nesse bom tanto Cyclone DX quanto SPDX, SPDX para auditoria quealguns clientes pedem e o Cyclone DX para poder colocar na minha gestão de
(54:45):
vulnerabilidades aqui.
eu sempre choro.
e
Bom pessoal, vamos!
é que lidar com...
Porque assim, uma coisa é eu precisar trocar, porque tem uma vulnerabilidade crítica e agente tá querendo se proteger, outra coisa é eu precisar trocar porque aquilo se tornou
(55:07):
malicioso ou são dois cenários bem agressivos, as estratégias são muito agressivas, né?
Assim, no começo tudo depende do ponto de partida.
A primeira questão é, você sabe aonde estão as coisas ou não sabe?
né porque se não sabe vai vai envolver a empresa toda vai ter que parar a empresa toda nétodos os desenvolvedores vão ter que ser usados por olhar cada de suas aplicações pra ver
(55:37):
logo após isso tem que ser estratégico né tem que calcular quanto tempo as pessoas ficaramparados qual que é o custo disso como impactou a empresa e tal etc botar na mesa e falar
eu quero uma ferramenta para isso ou a próxima vez que acontecer
Quer exemplo?
A empresa dos ateliões que eu trabalhei, a gente também estava fazendo Pock com ferramentae tal, tinha uma biblioteca, tipo request da vida, todo mundo usava para, toda aplicação
(56:03):
time.
Aí na Pock da solução, uma dessas Libs, a solução falou assim, olha, essa biblioteca nãotem vulnerabilidade, mas ela é maliciosa.
E aí uma das funções daquela porra daquela Lib, ela dropava uma mensagem assim, stop thewar, pare a guerra.
É só uma mensagem, só isso.
Mostrei isso pra galera, os caras não, mas é só uma mensagem.
(56:23):
Eu mas que caralho, é amanhã o cara que fez a porra da biblioteca, agora dropa que tárolando aqui, explode uma piroca na tela.
Hoje é só uma mensagem, o cara tem o controle do negócio, vai deixar a biblioteca aí?
Não, os caras estão bem intencionados.
Mano, você tá de brincadeira.
Eu saí empresa, eu saí dessa empresa exatamente por causa disso.
Não dá, vocês estão de brincadeira.
Está aqui problema, vocês estão usando uma Lib, que terceiros têm o controle, que hoje ocara manda mensagem, amanhã ele apaga tudo que está aqui ou qualquer outra coisa que ele
(56:50):
faz.
E vocês estão falando que está ok?
Vocês entenderam problema, Mano, lá é o like aí.
Complementando o que disse, a nossa vida mudou muito depois que adotamos um catálogo desistemas.
(57:11):
Hoje, gente tem trabalhado muito porque gente entendeu que dos maiores gaps que eu tenhopara a segurança, e a não toma conta disso, incrível.
A não controla, ela só me sinaliza.
Então ela varre o meu código e coloca num orca security, numa ferramenta de segurança quevocê tenha uma libe que tem uma vulnerabilidade, que tem CVE lá para você corrigir.
(57:35):
Mas ela não te dá uma opção.
E aí se você for pensar assim, é o que o Benyur falou.
Você vai ter que parar a empresa, você vai ter que mobilizar uma war run com milhares depessoas, colocar todo mundo lá e falar, vamos galera, três dias aqui trampando nessa
parada para gente conseguir resolver isso.
E aí é mal.
a parte...
Aconteceu isso com o Log4j?
e a tem trabalhado mecanismos para conseguir adaptar.
(57:57):
E sem um catálogo de software, sem você saber o que está rodando no seu parque, esquece.
Você vai até conseguir fazer script, você vai conseguir usar IA, a gente nem falou de IAaqui, eu acho ótimo a gente não ter falado de IA porque é o bagulho...
Sem isso, cara, vai ser mais difícil a sua vida, sabe?
Então eu acho que é a adoção de um centralizador de informações que...
(58:24):
Infelizmente, não é tão interessante assim, do ponto de vista de segurança, mas do pontode vista de gestão de infraestrutura, eu entrar lá, principalmente quando você tem, cara,
hoje eu tenho 500 produtos que eu tomo conta aqui.
São 500 produtos, 4 mil microserviços.
para eu entrar lá e falar assim, cara, o o sistema de pedidos faz?
(58:46):
Ah, legal, ele foi feito .NET, ele usa SQL Server, esse SQL Server, esse aqui...
A gente não deveria começar sem isso, entendeu?
Bom pessoal, tempo estourado, nos vemos no próximo episódio.
Esse foi mais da Vista Cócegas Podcast.
Eu sou o Casio Pereira.
Eu sou Bem-Or.
(59:07):
é só mais acento.
Boa!
E com a presença da nossa ilustre Rafa Frizani hoje, obrigado Rafa pelo seu tempo ededicação, compartilhar com a galera.
Beijos!
Nos vemos na próxima semana.
vocês.
Até mais.
Tchau.
Popular Podcasts
Stuff You Should Know
If you've ever wanted to know about champagne, satanism, the Stonewall Uprising, chaos theory, LSD, El Nino, true crime and Rosa Parks, then look no further. Josh and Chuck have you covered.
Dateline NBC
Current and classic episodes, featuring compelling true-crime mysteries, powerful documentaries and in-depth investigations. Follow now to get the latest episodes of Dateline NBC completely free, or subscribe to Dateline Premium for ad-free listening and exclusive bonus content: DatelinePremium.com
The Burden
The Burden is a documentary series that takes listeners into the hidden places where justice is done (and undone). It dives deep into the lives of heroes and villains. And it focuses a spotlight on those who triumph even when the odds are against them. Season 5 - The Burden: Death & Deceit in Alliance On April Fools Day 1999, 26-year-old Yvonne Layne was found murdered in her Alliance, Ohio home. David Thorne, her ex-boyfriend and father of one of her children, was instantly a suspect. Another young man admitted to the murder, and David breathed a sigh of relief, until the confessed murderer fingered David; “He paid me to do it.” David was sentenced to life without parole. Two decades later, Pulitzer winner and podcast host, Maggie Freleng (Bone Valley Season 3: Graves County, Wrongful Conviction, Suave) launched a “live” investigation into David's conviction alongside Jason Baldwin (himself wrongfully convicted as a member of the West Memphis Three). Maggie had come to believe that the entire investigation of David was botched by the tiny local police department, or worse, covered up the real killer. Was Maggie correct? Was David’s claim of innocence credible? In Death and Deceit in Alliance, Maggie recounts the case that launched her career, and ultimately, “broke” her.” The results will shock the listener and reduce Maggie to tears and self-doubt. This is not your typical wrongful conviction story. In fact, it turns the genre on its head. It asks the question: What if our champions are foolish? Season 4 - The Burden: Get the Money and Run “Trying to murder my father, this was the thing that put me on the path.” That’s Joe Loya and that path was bank robbery. Bank, bank, bank, bank, bank. In season 4 of The Burden: Get the Money and Run, we hear from Joe who was once the most prolific bank robber in Southern California, and beyond. He used disguises, body doubles, proxies. He leaped over counters, grabbed the money and ran. Even as the FBI was closing in. It was a showdown between a daring bank robber, and a patient FBI agent. Joe was no ordinary bank robber. He was bright, articulate, charismatic, and driven by a dark rage that he summoned up at will. In seven episodes, Joe tells all: the what, the how… and the why. Including why he tried to murder his father. Season 3 - The Burden: Avenger Miriam Lewin is one of Argentina’s leading journalists today. At 19 years old, she was kidnapped off the streets of Buenos Aires for her political activism and thrown into a concentration camp. Thousands of her fellow inmates were executed, tossed alive from a cargo plane into the ocean. Miriam, along with a handful of others, will survive the camp. Then as a journalist, she will wage a decades long campaign to bring her tormentors to justice. Avenger is about one woman’s triumphant battle against unbelievable odds to survive torture, claim justice for the crimes done against her and others like her, and change the future of her country. Season 2 - The Burden: Empire on Blood Empire on Blood is set in the Bronx, NY, in the early 90s, when two young drug dealers ruled an intersection known as “The Corner on Blood.” The boss, Calvin Buari, lived large. He and a protege swore they would build an empire on blood. Then the relationship frayed and the protege accused Calvin of a double homicide which he claimed he didn’t do. But did he? Award-winning journalist Steve Fishman spent seven years to answer that question. This is the story of one man’s last chance to overturn his life sentence. He may prevail, but someone’s gotta pay. The Burden: Empire on Blood is the director’s cut of the true crime classic which reached #1 on the charts when it was first released half a dozen years ago. Season 1 - The Burden In the 1990s, Detective Louis N. Scarcella was legendary. In a city overrun by violent crime, he cracked the toughest cases and put away the worst criminals. “The Hulk” was his nickname. Then the story changed. Scarcella ran into a group of convicted murderers who all say they are innocent. They turned themselves into jailhouse-lawyers and in prison founded a lway firm. When they realized Scarcella helped put many of them away, they set their sights on taking him down. And with the help of a NY Times reporter they have a chance. For years, Scarcella insisted he did nothing wrong. But that’s all he’d say. Until we tracked Scarcella to a sauna in a Russian bathhouse, where he started to talk..and talk and talk. “The guilty have gone free,” he whispered. And then agreed to take us into the belly of the beast. Welcome to The Burden.