paint-brush
Explicando Info-Sec em termos leigos [Parte II]por@heydanny
920 leituras
920 leituras

Explicando Info-Sec em termos leigos [Parte II]

por Dhanesh Dodia3m2022/07/25
Read on Terminal Reader
Read this story w/o Javascript

Muito longo; Para ler

A segurança da informação moderna pode ser difícil de entender. Termos como “ataque”, “explorar” e “vulnerabilidade” podem ser autoexplicativos, mas o que significa pentest, EDR e DAST? Por que é importante atribuir escopos de teste? Esta é uma continuação de [este artigo.](https://hackernoon.com/explaining-info-sec-in-laymans-terms-part-i) Este artigo foi publicado pela primeira vez por Hackernoon.

Company Mentioned

Mention Thumbnail
featured image - Explicando Info-Sec em termos leigos [Parte II]
Dhanesh Dodia HackerNoon profile picture


Introdução

A segurança da informação moderna pode ser difícil de entender. Termos como “ataque”, “explorar” e “vulnerabilidade” podem ser autoexplicativos, mas o que significa pentest, EDR e DAST? Por que é importante atribuir escopos de teste?


Esta é uma continuação deste artigo.

Segurança da informação moderna explicada por meio da violência

Alguém pode jogar um tijolo na sua cabeça do último andar. Isso é um ataque .


Para isso, ele irá até o canteiro de obras, subirá até o andar mais alto, pegará um tijolo, mirará e jogará no chão. Isso é uma exploração.


Sua cabeça não foi projetada para bater em tijolos com um determinado peso e aceleração. Isso é uma vulnerabilidade.

Você remove todos os tijolos do canteiro de obras, exclui a presença de qualquer pessoa nele e, por precaução, também os andares superiores. Isso é segurança.


Você coloca um capacete para reduzir de alguma forma as consequências de bater em um tijolo. Isso é antivírus / EDR .


Em suas regras de segurança, todos são prescritos para usar capacetes. Mas o pessoal andava sem capacete, e continua andando. Esta é a segurança do papel .


O capataz ainda está vivo, essa pessoa está jogando tijolos em todas as direções e o vigia já está apertando o botão vermelho. Este é um analisador de segurança.


Você contrata dois capatazes para que, em caso de falecimento de um deles, a obra não pare. Isso é tolerância a falhas formal.


Você contrata tantos capatazes quantos tijolos tiver em um canteiro de obras e mais um. Esta é a tolerância a falhas real.


Você compra um aparelho que atira tijolos em todas as direções, como bolas de tênis. Isso é DAST.


Alguém foi até o canteiro de obras, subiu aos andares superiores, matou o capataz com um tijolo e agora exige com alegria pagar-lhe uma recompensa por isso. Este é um caçador de insetos.


Você compra um simulador virtual que faz tudo igual ao DAST mas sem montar a construção. Isso é SAST.


Você compra um módulo de feedback entre o dispositivo de arremesso e o simulador de construção. Este é o IAST.


Você estava louco para comprar e pediu ajuda a uma empresa terceirizada. A empresa convida você a adquirir a última betoneira de um fornecedor renomado para resolver o problema dos tijolos. Você não se importa como um misturador de concreto e tijolos estão conectados, mas você ainda compra. Agora, não apenas tijolos podem cair de seus andares superiores, mas também uma betoneira, o que torna o problema dos tijolos não tão significativo. Este é o envolvimento de um integrador.


Você contratou um especialista para verificar a possibilidade de entrar no canteiro de obras, subir nos andares superiores e jogar tijolos nas cabeças dos funcionários. Este é um pentester .


O pentester não só conseguiu matar o capataz com um tijolo de dez maneiras diferentes, mas também destruiu todo o objeto, queimou o equipamento e forçou os vigias a se matarem. Este é um pentester experiente que não recebeu um escopo de teste a tempo.


Você fez tudo o que era concebível e inconcebível para que o tijolo caído não matasse ninguém, o objeto não pudesse ser destruído, o equipamento não pudesse ser queimado e também cintos de segurança para vigias, com certeza. No dia seguinte, o capataz cai de um sistema de freio da betoneira. Essa é a realidade da segurança da informação moderna.

https://bit.ly/3Goglsf

Pensamentos finais

Obrigado, leitores espero que todos tenham gostado. Este artigo foi publicado pela primeira vez aqui.