Introdução  A segurança da informação moderna pode ser difícil de entender. Termos como “ataque”, “explorar” e “vulnerabilidade” podem ser autoexplicativos, mas o que significa pentest, EDR e DAST? Por que é importante atribuir escopos de teste?  Esta é uma continuação  deste artigo.  Segurança da informação moderna explicada por meio da violência  Alguém pode jogar um tijolo na sua cabeça do último andar. Isso é um   . ataque  Para isso, ele irá até o canteiro de obras, subirá até o andar mais alto, pegará um tijolo, mirará e jogará no chão. Isso é uma  exploração.  Sua cabeça não foi projetada para bater em tijolos com um determinado peso e aceleração. Isso é uma  vulnerabilidade.  Você remove todos os tijolos do canteiro de obras, exclui a presença de qualquer pessoa nele e, por precaução, também os andares superiores. Isso é  segurança.  Você coloca um capacete para reduzir de alguma forma as consequências de bater em um tijolo. Isso é   . antivírus / EDR  Em suas regras de segurança, todos são prescritos para usar capacetes. Mas o pessoal andava sem capacete, e continua andando. Esta é   . a segurança do papel  O capataz ainda está vivo, essa pessoa está jogando tijolos em todas as direções e o vigia já está apertando o botão vermelho. Este é um  analisador de segurança.  Você contrata dois capatazes para que, em caso de falecimento de um deles, a obra não pare. Isso é  tolerância a falhas formal.  Você contrata tantos capatazes quantos tijolos tiver em um canteiro de obras e mais um. Esta é a  tolerância a falhas real.  Você compra um aparelho que atira tijolos em todas as direções, como bolas de tênis. Isso é  DAST.  Alguém foi até o canteiro de obras, subiu aos andares superiores, matou o capataz com um tijolo e agora exige com alegria pagar-lhe uma recompensa por isso. Este é um  caçador de insetos.  Você compra um simulador virtual que faz tudo igual ao DAST mas sem montar a construção. Isso é  SAST.  Você compra um módulo de feedback entre o dispositivo de arremesso e o simulador de construção. Este é  o IAST.  Você estava louco para comprar e pediu ajuda a uma empresa terceirizada. A empresa convida você a adquirir a última betoneira de um fornecedor renomado para resolver o problema dos tijolos. Você não se importa como um misturador de concreto e tijolos estão conectados, mas você ainda compra. Agora, não apenas tijolos podem cair de seus andares superiores, mas também uma betoneira, o que torna o problema dos tijolos não tão significativo. Este é o envolvimento de um  integrador.  Você contratou um especialista para verificar a possibilidade de entrar no canteiro de obras, subir nos andares superiores e jogar tijolos nas cabeças dos funcionários. Este é um   . pentester  O pentester não só conseguiu matar o capataz com um tijolo de dez maneiras diferentes, mas também destruiu todo o objeto, queimou o equipamento e forçou os vigias a se matarem. Este é um   que não recebeu um   a tempo. pentester experiente escopo de teste  Você fez tudo o que era concebível e inconcebível para que o tijolo caído não matasse ninguém, o objeto não pudesse ser destruído, o equipamento não pudesse ser queimado e também cintos de segurança para vigias, com certeza. No dia seguinte, o capataz cai de um sistema de freio da betoneira. Essa é a realidade da    segurança da informação moderna. https://bit.ly/3Goglsf  Pensamentos finais  Obrigado, leitores espero que todos tenham gostado. Este artigo foi publicado pela primeira vez  aqui.

Different

Read My Stories

Este áudio é produzido no idioma original da história!

Muito longo; Para ler

Download free Tech Leaders Productivity Report!

Explicando Info-Sec em termos leigos [Parte II]

About Author

COMENTARIOS

Rótulos

ESTE ARTIGO FOI APRESENTADO EM

Related Stories

Vazamento do prompt do sistema Claude Sonnet 3.5: uma análise forense

Criando produtos criptográficos centrados no usuário: a importância do feedback do cliente

Liberando o poder da IA. Uma revisão sistemática de técnicas de ponta: resumo e introdução

Telegram: a ponte da Crypto Island para o continente

Vazamento do prompt do sistema Claude Sonnet 3.5: uma análise forense

Criando produtos criptográficos centrados no usuário: a importância do feedback do cliente

Liberando o poder da IA. Uma revisão sistemática de técnicas de ponta: resumo e introdução

Telegram: a ponte da Crypto Island para o continente

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps