Introdução A segurança da informação moderna pode ser difícil de entender. Termos como “ataque”, “explorar” e “vulnerabilidade” podem ser autoexplicativos, mas o que significa pentest, EDR e DAST? Por que é importante atribuir escopos de teste? Esta é uma continuação deste artigo. Segurança da informação moderna explicada por meio da violência Alguém pode jogar um tijolo na sua cabeça do último andar. Isso é um . ataque Para isso, ele irá até o canteiro de obras, subirá até o andar mais alto, pegará um tijolo, mirará e jogará no chão. Isso é uma exploração. Sua cabeça não foi projetada para bater em tijolos com um determinado peso e aceleração. Isso é uma vulnerabilidade. Você remove todos os tijolos do canteiro de obras, exclui a presença de qualquer pessoa nele e, por precaução, também os andares superiores. Isso é segurança. Você coloca um capacete para reduzir de alguma forma as consequências de bater em um tijolo. Isso é . antivírus / EDR Em suas regras de segurança, todos são prescritos para usar capacetes. Mas o pessoal andava sem capacete, e continua andando. Esta é . a segurança do papel O capataz ainda está vivo, essa pessoa está jogando tijolos em todas as direções e o vigia já está apertando o botão vermelho. Este é um analisador de segurança. Você contrata dois capatazes para que, em caso de falecimento de um deles, a obra não pare. Isso é tolerância a falhas formal. Você contrata tantos capatazes quantos tijolos tiver em um canteiro de obras e mais um. Esta é a tolerância a falhas real. Você compra um aparelho que atira tijolos em todas as direções, como bolas de tênis. Isso é DAST. Alguém foi até o canteiro de obras, subiu aos andares superiores, matou o capataz com um tijolo e agora exige com alegria pagar-lhe uma recompensa por isso. Este é um caçador de insetos. Você compra um simulador virtual que faz tudo igual ao DAST mas sem montar a construção. Isso é SAST. Você compra um módulo de feedback entre o dispositivo de arremesso e o simulador de construção. Este é o IAST. Você estava louco para comprar e pediu ajuda a uma empresa terceirizada. A empresa convida você a adquirir a última betoneira de um fornecedor renomado para resolver o problema dos tijolos. Você não se importa como um misturador de concreto e tijolos estão conectados, mas você ainda compra. Agora, não apenas tijolos podem cair de seus andares superiores, mas também uma betoneira, o que torna o problema dos tijolos não tão significativo. Este é o envolvimento de um integrador. Você contratou um especialista para verificar a possibilidade de entrar no canteiro de obras, subir nos andares superiores e jogar tijolos nas cabeças dos funcionários. Este é um . pentester O pentester não só conseguiu matar o capataz com um tijolo de dez maneiras diferentes, mas também destruiu todo o objeto, queimou o equipamento e forçou os vigias a se matarem. Este é um que não recebeu um a tempo. pentester experiente escopo de teste Você fez tudo o que era concebível e inconcebível para que o tijolo caído não matasse ninguém, o objeto não pudesse ser destruído, o equipamento não pudesse ser queimado e também cintos de segurança para vigias, com certeza. No dia seguinte, o capataz cai de um sistema de freio da betoneira. Essa é a realidade da segurança da informação moderna. https://bit.ly/3Goglsf Pensamentos finais Obrigado, leitores espero que todos tenham gostado. Este artigo foi publicado pela primeira vez aqui.

Different

Read My Stories

Este áudio é produzido no idioma original da história!

Muito longo; Para ler

Making security fun one episode at a time

Explicando Info-Sec em termos leigos [Parte II]

Muito longo; Para ler

Company Mentioned

Dhanesh Dodia

About Author

Rótulos

Languages

ESTE ARTIGO FOI APRESENTADO EM...

Explicando Info-Sec em termos leigos [Parte II]

Muito longo; Para ler

Company Mentioned

Dhanesh Dodia

About Author

Rótulos

Languages

ESTE ARTIGO FOI APRESENTADO EM...

HISTÓRIAS RELACIONADAS