PODCAFÉ TECH
Aqui você encontrará um bate-papo informal entre profissionais de TI e convidados das mais diversas áreas tratando temas quentes com muito bom humor. Se você é apreciador (ou não) de um belo cafezinho, com certeza vai curtir esse bate papo. Uma forma descontraída e agradável de se informar e manter-se atualizado com as principais questões da gestão de tecnologia. Nossos hosts Gomes, Mr. Anderson e Dyogo Junqueira nos conduzem através deste podcast, sentados em torno desta mesa virtual, tentando reproduzir o prazer daquela conversa inteligente acompanhada pelo cafezinho da tarde, vez ou outra deslizando para uma mesa de bar, afinal ninguém é de ferro. Feito pra te acompanhar na estrada, no metrô na academia ou onde mais quiser nos levar, colocamos o “Pod” no seu café! Pode desfrutar, pois foi feito pra você!
PodCafé Tech
PODCAFÉ TECH
Joas Santos: Hackeando para proteger - Segurança Ofensiva
Joas Santos é especialista em Red Team e traz uma visão prática sobre como pensar segurança de forma ofensiva. Falamos sobre engenharia social, testes de intrusão, inteligência de ameaças, mentoria e os desafios de construir defesas que realmente funcionam. Uma conversa direta com quem está na linha de frente da segurança cibernética no Brasil.
🎙 Hosts: Dyogo Junqueira, Anderson Fonseca e Guilherme Gomes
🎧 Produção: PodCafé Tech
🚀 Oferecimento: ACCyber Pro
PodCafé Tech é um podcast onde Mr Anderson, Guilherme Gomes e Dyogo Junqueira, recebem convidados para falar de uma forma descontraída sobre Tecnologia, Segurança e muito mais.
YouTube: youtube.com/@podcafetech
Instagram: instagram.com/podcafetech
Linkedin: linkedin.com/company/podcafe
Música. Muito bem, muito bem, muito bem. Estamos começando mais um Podcafé Tech. Meu nome é Anderson Fonseca, o Mr Anderson, diretor executivo lá na ACS Pro, e o meu codinome hacker era MegamanX.
Speaker 2:Aqui é Guilherme Gomes, diretor executivo na ACS Pro, e o meu codinome hacker era Kumar. Ah, sensacional.
Speaker 3:Era ou é né.
Speaker 2:Que é Diogo Junqueira, ceo da ACS Pro e da AC Cyber Pro, e é pra mim um prazer estar novamente na sexta temporada aqui com meus colegas. Estava sentindo saudade do seu. Muito bem, muito bem, muito bem, mr Anderson.
Speaker 1:Surdecendo a galera. Essa energia, essa energia.
Speaker 2:E o nosso convidado de hoje já esteve conosco em outras temporadas. Vou deixar ele mesmo se apresentar é uma fera.
Speaker 3:Opa. Então sou o Joás Antônio dos Santos e quero agradecer por estar aqui novamente nesse podcast maravilhoso. Agradecer éional Enquanto você tiver nossos dados, você vai continuar chamando pra cá. A gente não tem opção.
Speaker 2:A gente tem que chamar ele sempre. É o cara precisa ter mais um livro, Fica tranquilo É obrigatório né. Não pode vazar o que tem na mão dele. Com certeza, antes de a gente aprofundar um pouco o Joás, o Pote de Caf café agora é pote de café tech, o que aconteceu Me conta.
Speaker 1:O pote de café agora é tech, Como é que é o slogan do agro.
Speaker 2:O pote de café é pop, é tech é tudo né É isso Dá um de ver essa história cara, já faz um tempo que não cabe dentro da TI tudo que a gente fala aqui.
Speaker 1:A gente tem ido muito além. a gente tem falado sobre tanta coisa que vai além de gestão de TI apenas e é assunto de interesse dos nossos ouvintes, da gente. a gente bate um papo aqui sobre coisas que nos interessam. Então o nome Tech veio pra abraçar e ampliar muito mais essas redes de possibilidades. E vai além, vai além. Não é só isso, ele também vem com uma nova linha de coisas. Agora a gente está com redes sociais. tem loja do Podcafé Tec, tem loja do Podcafé Tec, tem loja São essas camisetas bonitinhas.
Speaker 2:Tem caneca o negócio é cheio de larulero.
Speaker 1:A temporada vem com um monte de novidades e o que marca essa transição é que agora nós somos Podcafé Tech.
Speaker 2:Sensacional. Muito bem, joas, cara me conta aí pra gente. Tem gente que ainda não te conhece, tem gente que já te conhece pra caramba. Mas eu tenho certeza que você sempre conhece as outras pessoas mais do que elas te conhecem, por que será né Por algum motivo. O Joás chegou aqui na portaria, cara a mulher falou você já tem cadastro, já veio aqui? Não, aí. O cara a mulher falou mas você já tem cadastro. Eu falei preocupa, não, já deixei meus dados prontos Porque tá pronto né Basicamente.
Speaker 2:ele não perde tempo, Mas conta pra gente, cara, como é que você entrou nesse mundo louco da cibersegurança? Dá uma pequena introdução aí pra galera de quem é o Joás.
Speaker 3:Perfeito. Então, bom pessoal, sou o Joás Antônio dos Santos. Né Então, deixando aqui É claro, né A gente tem, eu trabalho com segurança ofensiva já tem um bom tempo. Então hoje eu estou liderando um time de Red Team numa consultoria. Atuei em outras empresas também. Como estou percorrendo essa carreira de segurança ofensiva Red Team, pentash mas também já fiz outras coisas também. Não só fiquei limitado à área de segurança ofensiva, já fiz Blue Team, grc, segurança em cloud, devsecops, então já percorri por várias áreas que essa é a graça. Né Cybersegurança não é só uma área, não é só Red Team, não é só Blue Team. Eu vejo o Cybersegurança como um ecossistema completo e eu acho que todo profissional tem que ser um profissional completo, independente de qual área ele esteja. Então minha jornada, minha carreira foi em cima de red team. Hoje eu sou profissional de red team, mas eu sempre embarquei em outras áreas e bom, acho que muita gente deve me conhecer pelo carinha que eu compartilho muita coisa ali no LinkedIn, em redes sociais. Caralho, procuradoria top. Olha, eu gosto assim.
Speaker 3:Então já faço esse trabalho contribuidor da Mitri do Mitri também tem comum eu fazer algumas contribuições aí pra algumas organizações eu gosto, sem fins lucrativos, nada do tipo, mas a paixão pela área de cyber, a paixão por essa área que basicamente não vejo só como um meio de ganhar dinheiro, ganhar pão, mas a forma de você colocar todas as suas ideias, as suas loucuras em prática. Então acho que até para quem trabalha com cybersegurança vai entender muito bem A área de cyber é uma área que você não tem limites. Você tá em qualquer espaço E como aqui a gente tá falando de tech, né A gente tá cyber segurança, olha pra tudo. Né Tudo que é tech cyber segurança vai estar lá. Então a gente tem uma área que é multidisciplinar, uma área que é vamos dizer que ela é infinita por si só. Então essa é a maior graça de trabalhar com o Cyber Segurança, é algo que eu gosto de fazer e a minha carreira foi em cima disso. Né Então comecei a trabalhar com o Cyber.
Speaker 2:Quantos anos você tinha cara quando você começou?
Speaker 3:Quando eu comecei a trabalhar, eu tinha 16 anos, então eu comecei bem novo.
Speaker 2:Não, não. Quando ele começou a trabalhar Tra novo, Não, não. Quando ele começou a trabalhar, trabalhar já tinha salário, é outro histórico.
Speaker 3:Quando eu ganhava o meu dinheirinho ali foi com 16. Fazia pen test. Então comecei já com essa carreira de fazendo pen test, invadindo empresas, procurando por falhas ali. Né Tudo de forma ética, né Sempre a falar isso. Isso é importante, falar Tudo de forma ética E falar. isso é importante falar e falar nisso, cara, você já tem alguns livros hoje tá trazendo pra gente, ganhou autografados do pessoal também.
Speaker 1:Sensacional tá aqui a introdução Red.
Speaker 2:Team Operation 2.0 você já tinha escrito 1.0 agora é o 2.0, conta um pouco mais desse livro.
Speaker 3:Perfeito. Esse foi um livro. Acho que quando eu apresentei o primeiro no podcast anterior, era um livro que traz como a essência de como você estruturar uma área de red team, que falta talvez essa visão de como os profissionais que trabalham com red team, os gerentes de uma forma geral, os executivos na linha de frente de cyber, construem essa área dentro da sua organização, dentro da sua empresa. Construir essa área dentro da sua organização, dentro da sua empresa, e que essa área consiga conversar com o negócio, porque não adianta O Red Team é ah, vou construir um time de Red Team, colocar meia dúzia de hackers ali com habilidades multidisciplinares e achar que é somente isso. É só dar um terminal e eles vão invadir a empresa e já é o suficiente.
Speaker 3:Não existe uma governância por trás esse gerenciamento, os processos que envolvem o Red Team, e eu criei esse livro com essa essência. Hoje você tem somente conteúdos lá fora sobre o assunto. Então eu peguei o que tem de bom lá fora, reuni e trouxe isso para o Brasil. Então eu criei esse livro. Tive mentoria de grandes profissionais ali da área de Reddit de forma internacional. Peguei conteúdos que eu já tinha também desenvolvido, materiais que isso, os materiais que eu desenvolvi, eu reaproveitei e coloquei no livro com mais detalhes e eu criei essa série. Então essa série de introdução, o Reddit in Operations, é uma série de livros que eu não sei quantos volumes vai ter, mas já estou indo pro terceiro.
Speaker 3:Já está indo pro terceiro já estou indo pro terceiro escrevendo o terceiro e o terceiro.
Speaker 1:Prometo que vai ser muito mais prático, né tem um lance que assim aqui você já nesse Operations 2, aqui você já saiu um pouco da superfície e já começou a trazer um pouquinho da maldade tem ali um pouco mais de código, né já tem entregando umas manhas né e eu quero mostrar isso pra galera, mostrar que o Red Team não é só o Kali Linux, é só ferramenta que já tem pronta.
Speaker 3:Não, eu quero mostrar que Red Team, ele é algo, ele é algo tático, ele é algo que envolve inteligência por trás. Se a gente, eu, se vocês notarem a capa do livro o primeiro, o livro que foi republicado, que é a versão 1.0, que foi publicado pela editora dialética a capa é um soldado subindo uma colina pra fincar a bandeira de red team ali, ele mostrando essa construção. Ele É um soldado subindo uma colina pra fincar a bandeira de Red Team ali, ele mostrando essa construção, ele subindo aos poucos a montanha, então coloquei a bandeira, exato, e aí esse daqui, ele já indo já pra Os soldados, já indo pra batalha, então indo, começando a Esse senso de ir pra batalha, ir pra guerra, vamos dizer assim. E aí o próximo, eu quero colocar já uma capa onde tá rolando uma guerra, mesmo que é remetendo já a operação na prática e mostrando que essa exploração e é onde eu vou focar mais na parte prática, o hacking total ali de uma forma geral, e então eu quero criar a capa. Eu quero que a capa conte uma história, a capa mostre o que o livro você espera do livro e o conteúdo também que é importante.
Speaker 3:Então eu quero trazer no 3.0 essa ênfase mais prática e ir escalando E aí também dando spoiler, spoiler. De uma forma geral vai ter livros de Purple Team, outros livros de Blue Team também, porque não adianta só mostrar o Red Team, tem que mostrar também a parte de defesa, porque hoje, convenhamos, tem muito livro sobre ataque mas tem pouco livro sobre defesa ou, principalmente, poucos livros sobre mesclar o Red Team com o Blue Team. Né Ter essa conversa ali Que normalmente a galera O glamour.
Speaker 3:Exato O glamour tá no red team né.
Speaker 2:Todo mundo quer Que vai atacar, que vai fazer as penetrações e tudo mais, e a galera normalmente não quer ali ir pro lado mais, não vamos dizer sujo, mas o lado de defesa, que normalmente é o que tá apanhando.
Speaker 2:Você não quer ser o que tá apanhando, você quer ser o que tá batendo, né, cara, e assim você, falando de Red Team, eu não sei se é dificuldade que você tem pra explicar às vezes pra profissionais que não tem nada a ver da área, o que o profissional de Red Team faz. Eu lembro, cara, pouco tempo atrás teve um incidente de segurança e eu tava explicando pra um grande executivo da O que que era um profissional de Red Team, e eu explicava, explicava, explicava e basicamente tive uma situação paralela pra ele. Eu falei, cara, basicamente é o seguinte o Red Team, o profissional, ele invade seu sistema pra provar que ele consegue invadir seu sistema. É como se um médico te transmitisse umas doenças, te colocasse a doença pra poder curar ela. Mas não existe, entendeu? Esse foi o paralelo que eu consegui explicar pro cara. Eu falei, velho, o cara tava assim entendeu, tipo, você fala pra que o profissional vai fazer isso, é pra provar que tem aquela vulnerabilidade. Né, cara, exato.
Speaker 2:O pessoal às vezes ainda Tem muita gente ainda que não entende o porquê que tem que fazer isso com? a censura dessa temporada. Então não vou fazer essa piada segura, essa piada segura, essa piada pode fazer, mas não faça é melhor só pra testar.
Speaker 1:Se ele fez a pergunta antes da piada, não faça, mas basicamente. Então, entendendo bem, o Red Team vai te fuder. Só pra testar, basicamente isso.
Speaker 3:então, entendendo bem, o Red Team vai te fuder, só pra testar, né Basicamente isso, não, ele não vai te fuder, ele vai te provar que dá pra testar.
Speaker 2:Vai te provar que você pode ser fudido Vai chegar lá e vai dizer assim ó hoje não, mas assim poderia ter acontecido.
Speaker 3:Quem faz isso é os grupos APTs, os cybercriminosos. Eles são. A gente antecipa a situação, a gente entende até onde vai esse buraco, né.
Speaker 2:Cara, você tem muito livro que é programação usando C, c+ né Sim eu tenho um agora eu tô construindo pequenos livros também.
Speaker 3:É um de desenvolvimento voltado à segurança ofensiva em C C++, que é uma linguagem que eu gosto né, e o objetivo é mostrar desenvolvimento de malware, técnicas de evasão, porque não adianta a gente ter lá ferramenta de segurança e achar que está tudo certo. A gente pega muitos casos que aconteceram de ferramentas de segurança serem boas mas elas falharem. E quando falham, o que acontece? isso, que é uma das coisas que o Reddit vai responder se a ferram quando falham, o que acontece? Isso, que é uma das coisas que o Reddit vai responder Se a ferramenta falhar. Até onde o cérebro criminoso pode chegar. Isso muita gente acaba esquecendo né. Ah, mas eu confio na minha ferramenta. Minha ferramenta lá vai funcionar 24 por 7, mas a gente viu casos por aí de panes globais né Por conta de soluções de segurança. Então, Não.
Speaker 2:E as próprias ferramentas. Elas podem haver alguma vulnerabilidade na própria ferramenta que a gente sabe que acontece. É isso A ferramenta. Querendo ou não, é um desenvolvimento e pode acontecer. Então é importante você estar coberto de todos os lados possíveis. E esse cara sempre tá pensando.
Speaker 3:Exatamente.
Speaker 2:Na melhoria, na melhoria contínua Ou situações ainda mais ridículas, como a gente pode mencionar o caso da SolarWinds, que deixou um backdoor aberto.
Speaker 1:Então assim, literalmente, os caras deixaram um backdoor. Havia um caminho para. Era um construto, não foi uma falha.
Speaker 2:Quer dizer, foi uma falha, foi um vacilo, foi uma falha lá desde a construção.
Speaker 1:Mas meio que proposital a parada né Não sei se proposital não cara.
Speaker 2:Eu acho que basicamente alguém foi lá dentro da linha de produção da parada e fez um ataque.
Speaker 1:Deixou a porta, deixou a porta É mas foi programado. Muito bem estudado ali, um dos maiores ataques.
Speaker 2:Ainda sentido Cara curiosidade Por que C++ ainda é tão relevante em server segurança Boa.
Speaker 3:Porque ela?
Speaker 2:assim. não é uma linguagem popular. Nós não estamos falando de Python, que está todo mundo aí toda hora. Sim, né cara, mas ainda eu vejo que o profissional de cibersegurança utiliza demais o C C++.
Speaker 3:Por quê? Tem vários motivos, mas uma delas é por conta de ser uma linguagem ali que flerta com baixo nível. E quando a gente quer fazer explorações a baixo nível, a linguagem em si é uma das mais completas porque é uma linguagem que, além de ser o pai de várias linguagens de programação, ela tem muitos recursos pra você trabalhar ali com baixo nível, com essa camada que a gente chama camada de kernel, que é onde você conversa com o coração do sistema operacional. E é sempre aquela questão né, quanto mais você conversa com o coração do sistema operacional, e é sempre aquela questão, quanto mais você conversa com o coração do sistema e mais controle você tem sobre ele, mais difícil as ferramentas de detecção chegarem até lá. A gente tem o exemplo da ferramenta que rolou, o PANI, que é assim.
Speaker 3:Todas essas ferramentas, principalmente de detecção de endpoint, tem um desafio para olhar para detecção de endpoint, tem um desafio pra olhar pra essa camada de kernel, essa camada de baixo nível, porque é muito difícil você chegar a monitorar esse lugar, que é um lugar obscuro, que você não tem muita documentação, você não tem muitos detalhes e cada vez mais os atacantes estão se sofisticando.
Speaker 3:E o C, ele se torna essa linguagem favorita do Red Team, justamente para criar provas de conceito, criar técnicas em cima dessa camada de baixo nível e também para dificultar um pouco da engenharia reversa da análise de malware, dificultar um pouco da atividade do blue team. Apesar que hoje C, c++, você tem muito recurso de casos de como você fazer uma engenharia reversa, você reverter aquele código, entender como ele funciona, mas mesmo assim se torna uma linguagem muito eficaz para você estar trabalhando com baixo nível. E aí, quando a gente vai desenvolver malware, vai desenvolver alguma técnica, a linguagem em si se torna a nossa linguagem mais favorita nesse aspecto, por conta das bibliotecas, das ferramentas. Porém não é a linguagem mais ideal para você programar softwares, né Por conta do gerenciamento de memória. Tem outras falhas de segurança.
Speaker 2:Tem muito bug. Quem achava que servia só para desenvolver bug?
Speaker 1:na verdade você não explorado também, né Com certeza, Cara você me abriu a cabeça agora que assim, quando a gente fala de hacking, normalmente a gente tá pensando na camada mais superficial né. Mas assim você tem possibilidade de explorar hardware, você tem possibilidade de explorar firmware, você tem possibilidade de explorar tantas outras coisas que estão em outras camadas, não necessariamente ali, o que está em tempo de execução da própria ferramenta que, assim cara, isso é muito lado para olhar, né.
Speaker 3:Exato Assim. Hoje a maioria dos ataques vem através de aplicação web. Porém, para um escalation, movimentações laterais e etc. Você tem muita coisa que é nível de sistema. Então você tem lá, você comprometeu o seu alvo. Você está ali no sistema operacional. O que você faz, você vai se deparar com antivírus, com EDR, com DLP, você vai se deparar com features de segurança que os próprios sistemas operacionais têm e qual que é a melhor linguagem para você interagir, apesar que hoje veio linguagens mais modernas, como o Rush, que hoje é o queridinho da galera do Red Team porque é uma linguagem que trabalha com baixo nível, flerta, uma linguagem desenvolvida ali pela Microsoft que promete substituir C daqui a algum tempo não sei quando, mas hoje a gente tem É candidato né Porque hoje Kernels do Linux, windows, vários Mac utilizam o C por trás. Então ela está se tornando uma concorrente e está também.
Speaker 3:Você tem uma dificuldade muito maior de fazer uma engenharia reversa. Em Rush Ela tem uma. Ela tem uma performance e uma otimização do código às vezes muito melhor que a linguagem C e até mesmo quando a gente fala de gerenciamento de memória é melhor que C. Porém, ainda C se torna um querido porque você tem muito mais recurso, muito mais bibliotecas, muito mais exemplos, muito mais usos práticos de uma forma geral Já tem muita coisa pronta.
Speaker 3:Muita coisa pronta e você flerta com uma linguagem que o próprio sistema operacional. Por exemplo, a gente fala dos ataques mais recuentes em Windows ou mais Linux, também que usam C, então você consegue trabalhar com essas bibliotecas. Essa parte interna do sistema operacional, mas de uma forma geral é o perfeito ponto, essa parte. A gente só olha o alto nível. Mas e o baixo nível a gente tem muita coisa. A gente tem mundo exploração de drivers que estão vulneráveis.
Speaker 3:Você tem exploração do próprio kernel do sistema e a gente tem várias falhas de segurança que geraram dores de cabeça pro mundo em geral, que foram feitas em cima de kernel, vulnerabilidades que foram exploradas em kernel ou em algum serviço do sistema operacional, com o exemplo o MS-17010, o EternalBlue que é em cima do protocolo SMB. Tudo aquilo dali foi uma exploração em cima, detecção de vulnerabilidades em cima do serviço, uma análise, uma pesquisa em cima pra encontrar formas de corromper a memória do processo, encontrar formas de digitar o código malicioso e aí, graças a uma falha como essa, você teve aí o grupo, grupos APTs explorando, né o grupo norte-coreano explorando ali com o WannaCry pra ir infectando milhares de dispositivos.
Speaker 1:Aí deu ruim. Mais uma vez você me abriu a cabeça porque assim, se eu entendi bem, o cara consegue. Ele pode estar combinando técnicas, ele entra a nível de browser, mas depois que ele está dentro, pra ele lateralizar, ele começa a explorar possibilidades em baixo nível ver qual o hardware, qual o sistema operacional, quais são os buracos que ele consegue expandir dentro da rede do cara Exatamente Muitas das operações de rediting até que eu faço.
Speaker 3:a gente segue uma cadeia lógica acesso inicial, persistência, escalação de privilégios e etc. Até chegar ali no objetivo principal, percorrendo tudo aquele que a gente chama de cyber keychain, desde o processo de reconhecimento até o processo dos objetivos, que é se filtrar dados ou criptografar esses dados. e geralmente o acesso inicial se dá por três fatores uma vulnerabilidade a nível de aplicação, então se tem uma aplicação web que está vulnerável, então a gente encontra uma vulnerabilidade, explora e acessa o sistema e a partir daí a gente faz as movimentações laterais, o pivoting, que é pular de uma rede para outra. Ou a gente faz engenharia social, que é o fator principal na engenharia social hoje.
Speaker 3:a criatividade principalmente com o chat GPT, com IA, você tem uma criatividade muito ampla, então você utiliza engenharia social. ou o terceiro, que é através de vulnerabilidades então tem um dispositivo exposto, um servidor exposto com uma porta, um serviço que está rodando, vulnerável, a gente explora a vulnerabilidade e a partir dessa vulnerabilidade a gente faz o comprometimento do ambiente. Então esses são os três pontos principais numa exploração de vulnerabilidade E aí eu vou colocar o quarto, que agora se tornou mais comum, que é a cadeia de suprimento. Então, ao invés de atacar diretamente o meu alvo, eu ataco a cadeia de suprimento dele.
Speaker 2:Que é exatamente o que aconteceu no caso da.
Speaker 3:SolarWinds E aí gera todo esse dano para empresas e até para outras. Então, desde que você consegue acessar a cadeia de suprimento, você consegue acessar qualquer organização através dela. Então eu já peguei operações de red team que você atacava a cadeia de suprimento, você comprometia aquilo que fornecia, seja a ferramenta de gestão de ativos, ferramenta de gerenciamento de ticket ou qualquer outra ferramenta que gerencia algo para a empresa, e a partir dela eu só comprometia o ambiente. Eu chegava no ambiente que eu desejava ou usava ela aquele vetor, aquela cadeia de suprimento, como um vetor para uma engenharia social colocar um phishing, algo ali que a pessoa clicasse, baixasse, infectava e acabava infectando. Então hoje você tem muitos cenários, mas esses são pelo menos os quatro cenários mais utilizados hoje em dia. E aí, consequentemente, quando a gente fala de vulnerabilidade, a gente está falando de pesquisadores que fazem, acham essas vulnerabilidades e encontram esses problemas, esses zero days, e às vezes essas vulnerabilidades já foram esses problemas, esses zero days, e às vezes essas vulnerabilidades já foram reportadas em algum momento mas não foram atuadas. Em correção. Ah, não vamos corrigir porque?
Speaker 3:não faz parte, não vamos colocar nossa esteira não tem interesse. Só vai ter o interesse no momento que há uma exploração. Então você tem muita CVE aí registrada que às vezes não foi corrigido, ou tem uma correção mas não foi divulgada, não chegou pra galera, ah, corrija porque é algo crítico. E aí você vê muita CVS lá, 2020, que sei lá. Você vê uma reportagem hoje de várias empresas sendo exploradas, mas você pega a CV que estava sendo explorada, uma CV de 2020, 2016 a gente encontra muito ainda.
Speaker 2:A gente tem um software que faz gestão, que faz a varredura. Quando a gente faz a varredura a primeira varredura é aquele ataque no coração. Assim, se o cara vai descobrindo Windows desatualizado, vulnerabilidade que já está há muito tempo lá, então De browser, então Não e os próprios, fazendo um pouquinho de meia culpa aí, porque os pessoais de TI, às vezes a gente fala muito pra fora, mas às vezes os próprios sistemas às vezes já tinha correção e não foi atualizado, que já aconteceu muitas vezes. Algum plugue tinha ali às vezes pra automatizar isso aí né cara.
Speaker 2:Isso aí é fácil de resolver, é só ligar pro Gomes entendeu, é isso aí mesmo.
Speaker 1:É uma parada que tem até falado bastante sobre isso. O que é possível automatizar, não cabe você deixar um humano fazendo Não mais.
Speaker 2:Imagina em escala, né cara, você ficar atualizando em escala diversas máquinas. É quase impossível. Todo dia tem uma viabilidade, então tem que ser algo A parte de atualização de patch não tem como Tem que ser.
Speaker 3:Nós estamos falando de Tem que ser automatizado e isso no reditinho está sendo comum automatização, uma coisa que a gente faz no reditinho, até complementando gestão de vulnerabilidade todo esse processo é a gestão da superfície de ataque, que é algo que é deixado a desejar na maioria das empresas. A pergunta que eu faço, até pra os executivos que vão assistir aqui a esse podcast, é você sabe como está a sua superfície de ataque? Você já parou para entender o que está exposto Ou que algum? vamos supor você tem um time de desenvolvedores. Será que eles vão deixar uma API, uma chave de API, lá no GitHub, no GitLab, ou uma collection do Postman, uma senha chumbada no script é hardcoded e tudo.
Speaker 3:Então assim será que você tem essa noção hoje em dia, você tem noção de quantos ativos estão expostos no Shodan, no Sense, entre outras ferramentas. É um problema estar exposto? não é um problema você não estar olhando e você achar que que tem lá um servidor que todo mundo mexe, aí alguém sobe um serviço vulnerável e bom, já era. Eu já peguei casos de pen test, assim tem um servidor né em produção e aí os analistas foram testar nesse servidor, foram subir um ambiente de teste e esse ambiente de teste tinha vulnerabilidades porque eles estavam subindo uma aplicação pronta, um docker com aplicação pronta, porque eles estavam querendo testar alguma coisa. Lá foi encontrado, a gente explorou, tinha um monte de falha e a gente reportou.
Speaker 3:Depois que chegou na hora de apresentar o relatório, ah não, mas isso daqui era um ambiente de teste. Não sei o que. Pior ainda, vocês colocaram algo de teste. Não sei o que. Pior ainda, vocês colocaram algo de teste numa máquina que está exposta, está em produção de alguma forma, e isso se torna um vetor para você acessar a sua cloud. Eu exploro o ambiente de vocês, eu entro no ambiente, eu faço um escape do Docker, uso uma técnica para escapar do Docker, sair daquele ambiente de container para ir para a sua máquina física e eu assumir o controle da sua cloud E aí, e como você vai explicar isso pro seu?
Speaker 2:Relaxa. Foi só um vídeo de teste. Mas foi sem querer, querendo né Você falou alguma coisa interessante aí, cara, como é que Tá? a gente falou de dark web, você falou de investigação. É muito importante pra isso. Como é que se dá esse processo dentro do Red Team E os cuidados que o profissional tem que tomar, né Como é que qualquer um que chega lá e começa a fazer a pesquisa. Não tem um Google, né cara, não é assim que funciona.
Speaker 2:Conta um pouco pra gente aí, mata um pouco dessa curiosidade como é que funciona essa parte de pesquisa realmente na Dark Web?
Speaker 3:Excelente, boa pergunta. Hoje é fato que o red team ele tem que consumir de threat intel, inteligência de ameaça. Tudo é inteligência, tudo é dados, tudo é informação que a gente coleta e tenta transformar isso em inteligência pra nosso negócio, pra gente entender quais são os nossos calcanhares de Aquiles, as nossas joias de coroa. E threat intel ele tem que olhar pra vários cenários. A gente olha pra darkários, a gente olha para a Dark Web também. A gente olha para esses cenários e a Dark Web não é só a gente falar que a Dark Web é acessar a rede Tor. Não, não é só isso. A Dark Web está em Discord, em Telegram, em Signal, em página que não é indexada no Google. Por exemplo, você tem fóruns de hacking, de venda de dados, né que estão aí na Surface. Então você dá um Google, você Recentemente, né esse fórum É, não tá indexado E alguns até tá indexado. Você pega o exemplo do Bridge Fóruns, né que é um fórum que sempre tá caindo mas é preso um dos donos, mas é igual, é hidra. Né Você corta uma cabeça, surge insetos, então é, e todas elas estão na Surface. Mas por quê? Ah, mas pera aí. Mas por que tá na Surface? Porque eles utilizam técnicas de anonimato. A gente chama de OPSEC avançados. Né, então, hoje tá muito mais.
Speaker 3:Hoje você consegue subir um servidor na sua face e dificultar o seu rastreamento. Tem recursos para isso, tem formas de você fazer isso. Porque a tecnologia foi evoluindo. Conforme a tecnologia vai evoluindo, o cybercrime vai evoluindo junto com ela. Então, quando a gente faz uma investigação como essa, a gente tem que pensar o primeiro da nossa responsabilidade. A gente não pode chegar lá é, por exemplo, começa a interrogar um usuário que vem de base de dados e perguntar olha, você tem base de dados dessa empresa aqui. Ah, peraí, ok, mas por que? ah, não, eu tenho aqui essa base de dados. Aqui você começa a Você tem que fazer todo o trabalho de inteligência e contra-inteligência também, mas tem que ser sábio nesse processo. Tem muita gente que já quer chegar criando uma thread lá no fórum perguntando ah, preciso, quero comprar bases dessa empresa aqui Não Monitora, vai entendendo, gera reputação. Existe todo esse esquema de investigação antes. Né Você tem que se passar despercebido. Tem fóruns que pra você acessar, você tem que responder um questionário. Eles têm uma que até pergunta você é algum policial ou algo nesse sentido.
Speaker 2:Você tá com intenção de me prender. Você tá falando a verdade.
Speaker 3:Então eles sempre vão monitorando toda essa série de comportamento. Então você também tem que ter cuidado, né Até pra você também não cair num phishing ali. Ah, não tem o sim, Olha aqui, toma pra lá. Aí você clica.
Speaker 1:Clica aqui, né cara.
Speaker 3:Olha, maravilhoso, né Você não sabe quais técnicas ele tem É um campo minado né, cara Você tem que saber onde pisar Exato É um campo minado sempre.
Speaker 3:Então você tem que tomar cuidado, porque isso também pode gerar problemas para a sua empresa. E como que você vai provar que você não era a pessoa, que você não fazia parte do esquema? né Porque os executivos, o board não quer, não entende isso a gente que é de red team que peraí o que ele estava fazendo nesses fóruns aí porque ele estava olhando, não é porque eu estava levantando inteligência, estava fazendo contra inteligência ali também. Peraí, calma, não quero saber o que você estava fazendo. Você fez uma ação ali que prejudicou a minha consultoria que a gente contratou aqui. Detectou lá alguma coisa? Não, mas era um teste que eu estava fazendo para ver se alguém se interessava. Tem muita gente que faz o teste que é o seguinte ah, quero testar o Threat Intel. Eu entro no fórum e falo vendo dados da empresa XYZ. Ah, coloca um pseudo dados ali da empresa XYZ. Ah, coloca um pseudo dados ali da empresa e fala agora vamos testar o Threat Intel. Só que você, se você não fizer isso de uma forma responsável, você gera um alvo pra sua empresa.
Speaker 2:Você tá chamando atenção porque as vezes o cara fica tão puto.
Speaker 3:Ele fala é, essa coisa é falsa deixa eu pegar um verdadeiro peraí, deixa eu te mostrar, tá criando um advertise ali pro seu cliente.
Speaker 1:Toma muito cuidado se você fala assim. Vendo dados da Coca-Cola, beleza ele tá querendo agora quando você pega uma empresa XYZ e faz isso, você, tá botando uma mira na resposta do cara.
Speaker 3:Nunca ouvi falar dessa empresa. Olha, essa empresa processa 100 milhões de dados por mês. Resposta do cara entendeu, Faun, que interessante. Eu nunca ouvi falar dessa empresa. Olha, Deixa eu ver aqui. Essa empresa processa 100 milhões de dados por mês.
Speaker 2:Ei, você aí já se inscreveu no nosso canal, já ativou o sininho das notificações E aquele comentário E as nossas redes sociais. Você já seguiu a dos apoiadores da CESPRO, da CESPRO, da CESCYBER. Bora, lá, tá tudo aqui na descrição, cara, aí chegamos no termo né Decepção cybernética ou cyberdeception, cara, que conta pra gente? que história é essa?
Speaker 3:Perfeito né.
Speaker 1:Informação falsa Deception e decepção são dois caminhos diferentes. É, Então?
Speaker 3:assim, a gente, olhando pra, entendendo um contexto também de de red team, de dark web, essas coisas, a gente vai e faz o processo de investigação, então a gente coleta esses dados, a gente traz esses dados pra empresa e traz inteligência em cima. A gente coletou dados, a gente traz com responsabilidade. Então isso pra concluir o assunto, ali da parte da dark web. Agora sobre server deception, esse é um termo que eu como é que traduz ele em? português cara decepção cybernética.
Speaker 2:Decepção cybernética decepção cybernética o conceito do deception é você gerar uma falsa expectativa em alguém, como é que a gente traduziria não tem em português acho que isso é um assunto meio polêmico.
Speaker 3:Isso é um assunto meio polêmico isso é um assunto meio polêmico, é uma trairagem mais ou menos o que você está explicando exato. Assim é que, de uma forma geral, essa parte de cyber deception a gente não usa com essa ênfase de cyber deception, a gente não usa com essa ênfase cyber deception. Acho que é um assunto você não seria como uma ratoeira digital.
Speaker 1:Você deixa?
Speaker 3:ali uma coisa dando mole mas essa coisa que está dando mole na verdade é uma armadilha. Ela pega quem quer pegar você como se fosse um ronin pot, uma roninete ou algo nesse sentido é que isso é referente a. É que a gente não usa esse termo. Esse é um termo até que eu já ouvi em alguns lugares, mas não é um termo que a gente usa, tá no nosso cotidiano não faz parte do nosso cotidiano então como é que tá sendo.
Speaker 2:IAiano, então, e IA cara, como é que tá sendo? IA Tão utilizando muito IA hoje já em IA Team, cara Bastante.
Speaker 3:Assim, hoje ainda a IA ela tá nesse hype, né Que é um hype que veio pra ficar, né Não vou nem chamar mais de hype, é um fato. É um fato hoje em dia E é hoje cada novas tecnologias de IA mais avançadas. Então hoje, por exemplo, o JetEPT está criando, tem o Operator. Então eu vi muitos casos da galera usando o Operator para automatizar testes de segurança, de gestão de SQL, alguns testes ali, usando IA, um bot automatizado. Mas também tem até um projeto da própria NVIDIA que eles criaram, que agora esqueci o nome acho que é GARAC, alguma coisa nesse sentido que é focado para segurança ofensiva. Então estão surgindo muitos projetos voltados à segurança ofensiva para testar qualidade de código, testar resiliência de aplicação, criar cenários de simulação de adversário, de emulação de adversário. Porém ainda não tem algo tão completo que explora uma cadeia completa de ataque. Tem empresas que estão prometendo criar uma IA que consiga automatizar muitos cenários de ataques dentro de um pentest de aplicação web. Tem uma mesmo que já pegou ferramenta, o PortSwig Labs, o Pentest Labs, entre outros laboratórios, e colocou a IA para resolver. Então algumas estão resolvendo ali, tem 80% do laboratório já resolvido. Então isso só mostra que a gente está indo para uma área, para um mundo que IA, ela não é mais um algo que a gente tem que descartar no nosso dia a dia Eu mesmo particularmente util tem que descartar no nosso dia a dia. Eu mesmo particularmente utilizo, eu utilizo bastante.
Speaker 3:Principalmente eu crio meus próprios modelos prontos ali, coloco o conhecimento que eu quero né e uso ela pra me cuspir resultados, cuspir dados mais voltados a negócio, cuspir informações mais precisas de cenários de ataques. Então eu tenho um IaaS que, ah, eu preciso gerar uma campanha, um script, um script pro Atomic Red Team, por exemplo. Então eu já criei, já trabalhei pra IaaS, gerar esses scripts. Eu só passo os requisitos E aí eu diminuo o meu tempo desenvolvendo automação, desenvolvendo scripts de automações, e eu fico mais na parte de execução e gerar e consolidar os resultados. Daqui um tempo eu vejo que consigo até consolidar melhor os resultados. Faz o processo de execução e você só vai ficar com mais a parte analítica transcrever aqueles resultados para nível de negócio. Mas acho que ainda vai demorar, não muito, mas um pouquinho, pra gente chegar nesse nível que tá evoluindo rápido, tem certa resistência tem preconceito com IA.
Speaker 1:Eu vejo essa situação da IA construindo código, você deixa de ser construtor de piano pra ser pianista, ao invés de você ir lá fazer toda a base, toda a escritura, pra depois você compor a música. Você já tá tudo pronto, ali Vai muito mais rápido.
Speaker 2:A velocidade é outra.
Speaker 3:E aí até falando até mesmo sobre a IA. A gente também usa muito IA pra investigação também. Então Threat, intel, entre outras coisas, a gente vai fazer uma investigação na Deep ou Dark. A gente trabalha com muitos dados. Então se você tem um LLM, seu não uso algo que você tem ali pronto dentro do seu ambiente controlado, você consegue fazer, minerar os dados que tem ali e transformar aqueles dados em inteligência, criar indicadores precisos para a empresa, para a gente também, melhorar nossas ferramentas. Então, até dentro de inteligência de ameaça, entre outros pontos, ia está começando a se envolver um pouco mais. Tem profissionais que estão resistentes, tem outros profissionais que já usam no dia a dia, porém tem profissionais que estão resistentes. Tem outros profissionais que já usam no dia a dia.
Speaker 3:Porém a gente começa a ver muitas ferramentas, até ferramentas de inteligência, usando essas soluções até pra gente percorrer, porque é muita coisa. Quando a gente fala de investigação de uma forma geral, é muitos horizontes que você vai entrar, é muito amplo. Então IA se tornou algo do cotidiano. Não tem como você falar, não uso IA até pra coisas mais bestas. Assim você pega IA e utiliza, porque eu falo que a IA substitui o Google né. Então você não vai mais no Google lá e escrever, você vai no.
Speaker 2:IA ou. LNM ao invés de perguntar pro Google, você pergunta pro chat PT eu fui longe de uma viagem.
Speaker 1:Aqui você falou sobre a capa do teu livro e eu sou um cara de raiz de design. Sempre gostei muito. Você escolheu os soldados pra estar aqui, porque estamos em guerra digital, isso é muito claro. Do teu livro. Um você escolheu a cena dos soldados levantando a bandeira. É exatamente a cena do, a foto famosa, o Raising the Flag, lá de Hiroshima, que os Estados Unidos usaram aquela foto basicamente como propaganda pra vender bônus de guerra, cara que assim já não tinha mais grana pra financiar a guerra. Eles começaram a vender bônus de guerra e o povo começa a botar dinheiro e aquilo ali foi uma virada de propaganda muito forte. E aí o que que me ocorre Sobre red team, sobre investimento em cibersegurança é preciso levantar essa bandeira de propaganda também da importância da cibersegurança, porque para você angariar investimento a galera botar grana, você tem que realmente mostrar ali os resultados. Acho que esse foi o grande lance, a grande virada foi essa.
Speaker 2:E mandando a pergunta dele qual a importância? porque a gente sempre está batalhando aqui para tentar conscientizar os executivos, os boards, o pessoal que não está de TI, o pessoal que libera a grana para ele conscientizar que segurança é investimento e não custo, não gasto. Então, qual o papel, na sua opinião, o papel do Red Team dentro desse contexto, utilizando essa deixa aí do Mr Anderson, Boa.
Speaker 3:Então, quando a gente olha pra um cenário Hoje Reddit, é muito difícil você vender pro negócio porque é um mundo totalmente, é um mundo totalmente fora da curva Comparado a outras áreas de cyber. O Reddit ele chegar e mostrar qual que é o valor do trabalho dele e pedir budget, pedir investimentos, segurança, ofensiva por si só é até um mundo muito complexo de se entender, é um mundo muito amplo. Então, o que eu sempre a gente como profissional de redit tem que estar esperto é como conectar o redit a um negócio. Se a empresa tem riscos de negócio mapeados, é um ponto. Se a empresa tem um plano, um, um BIA, um plano de análise de impacto de negócio, já é outro ponto.
Speaker 3:A gente tem que estar sempre olhando para o negócio de uma forma geral. Se o reditinho ele trabalha somente na casinha dele, ah, vou invadir tudo, vou hackear tudo. As pessoas vão olhar e falar legal, isso é interessante, mas não vai ver um valor em retorno, em investimento, em é como se você fosse pra uma guerra, mas essa guerra você não vê um resultado. Por que você tá indo pra essa guerra, por que você tá lutando essa batalha, se eu não estou vendo um resultado claro? Então, quando você vai para uma batalha e as pessoas começam a enxergar o resultado, começam a enxergar que aquela batalha faz sentido, eles começam a investir mais na sua ideia, na sua crença Propaganda de guerra Exato propaganda de guerra.
Speaker 2:Real guerra é verdade. Propaganda de guerra deixa eu pensar é aí que é por aí que realmente pode ajudar você vender a sua área.
Speaker 3:Vender a área de Reddit é um pouco difícil, não é muito simples. Até outras áreas sofrem com isso. Mas você fazer a melhor propaganda, mostrar valor ao seu trabalho como que você mostra o valor ao seu trabalho. Você tem que gerar métricas. Você tem que gerar algo qualitativo, quantitativo. Você tem que gerar métricas. Você tem que gerar algo qualitativo quantitativo. Você tem que gerar algo que demonstre para a empresa que você está trabalhando, que aquilo que você faz sentido de existência, que você não é só a pessoa que está ali para hackear, para invadir coisas. Você está ali para mostrar para a empresa que ela está segura ou que ela tem algum problema. Mas você tem que saber fazer a propaganda. Você tem que vender o seu trabalho como um trabalho mais estratégico possível para o negócio.
Speaker 3:Porque se você vende um trabalho não sendo totalmente estratégico, mostrar que é somente um trabalho, que você está ali só como operacional, como execução, como Não vai ter verba, não vai vir o dinheiro, não vai vir o budget, apesar que o Reddit consegue se virar sem budget, consegue de alguma forma ou outra. Mas mesmo assim, com budget as coisas ficam mais fáceis e a gente fala de grupos APTs, de ameaças mais avançadas. Eles tem dinheiro. Eles tem mais recursos que muitas das vezes red teams dentro de uma empresa, então eles testam bem mais. Tem mais pessoas, tem o foco deles são aquilo.
Speaker 2:É o negócio deles. É o business deles. É o business né É um business bilionário pra quem precisa Inclusive através da C-Cyberpro.
Speaker 1:Nós temos viajado o Brasil inteiro, estado em algumas empresas. Me lembrei do trabalho que foi feito lá em Jaraguá do Sul, lá na Malve Um abraço para o nosso amigo Alex lá Mas o que eles fizeram na empresa Eles têm lá a semana de cibersegurança É sensacional.
Speaker 2:Onde tem né Eu tive o prazer de palestrar lá.
Speaker 1:A galera é bem bacana, abre para a comunidade E fazem palestras de cibersegurança, elevando o nível de conhecimento de todo mundo.
Speaker 2:E não só da empresa. Tá Tem inclusive pra comunidade pessoal em volta bem interessante.
Speaker 1:Alertando pra o que é o universo de cibersegurança, o que assim? porque quanto mais elitizada também a informação, mais complicada e inacessível é até a própria propaganda. Sim, eu vejo aqui no nosso relacionamento com gestão, né Diogo, o nosso CEO, então assim algumas vezes, diogo, eu acho que isso aqui vai dar problema, aí ele ah, vai dar nada. Aí o Gomes vira e fala assim ó, eu também acho, aí ele opa.
Speaker 2:São duas pessoas Pera aí. E alguma coisa deve estar.
Speaker 1:Então, assim você difundir o conhecimento que às vezes chegando só do Red Team também chega assim. Ah, essa galera é pessimista demais. É exatamente A gente tem que aumentar o investimento em cibersegurança.
Speaker 2:Apesar de tudo Todo mundo pedindo dinheiro, O vermelhinho aí chegou né.
Speaker 3:Apesar de tudo, tem uma coisa que é muito interessante né Acho que a área de cibersegurança dependendo da empresa que você está, a área inteira pode ser uma decepção. Por quê O olhar para a cibersegurança às vezes só vem como um meio de propaganda? Ah, eu tenho cibersegurança, eu tenho um time de segurança. Mas e o investimento E os processos, como esses processos são aplicados? Eles são respeitados? Os ritos de segurança são respeitados dentro de uma organização? Não acontece isso Às vezes em algumas empresas? Ah, tem o cyber segurança, mas o cyber segurança está muito mais como o apagador de incêndio. Mas poxa, se eu sei que tem uma afiação solta, se eu tenho algo que pode causar um incêndio, por que eu não vou lá e corrijo, não vou tratar. Não, não espera o incêndio acontecer, que aí você vem, não espera aí.
Speaker 2:Aí é difícil né cara.
Speaker 3:E aí quando você vai ver o dano, mas primeiro você sabe o quanto.
Speaker 2:Mas em cyber é muito assim né cara É infelizmente ainda né cara Nossa ano após ano, a gente continua né lidando com clientes que é exatamente isso. A gente trata o projeto por seis meses, não tem verba. Aí do dia pra noite surgiu verba. Você pode ter certeza, cara.
Speaker 1:É muitas vezes é em conta.
Speaker 2:Aconteceu isso a XYZ e a verba apareceu do dia pra noite. Isso é muito errado, né cara. Custa muito mais caro.
Speaker 3:E tem um ponto também que agora eu tinha até uma frase de um amigo meu que eu até esqueci, como que era a frase de uma forma geral mas cybersegurança é a área que todo mundo sabe que precisa. Você pode ir na rua qualquer pergunta pro pessoal. Você acredita que tem que existir. Cibersegurança é fundamental, cibersegurança é fundamental, mas na prática é um custo é um custo, é uma pessoal vê como custo ainda.
Speaker 3:É um custo, é uma chatice, é uma burocracia, é tão burocrático às vezes, é tão burocrático como se fosse uma fila de lotérica, como se fosse guia de exame pra passar num convênio. Essas pequenas burocracias. Tem carimbado tem Não carimbou, Volta lá do apartamento A mesma coisa se fosse um cartório Segurança. A governança é só o cartório da adesão.
Speaker 2:Lá vem aquele cara chato E bloquear mais alguma coisa.
Speaker 1:Eu vou te dizer uma outra coisa também que me incomoda. A gente vê o nosso dia a dia. A gente vê no nosso dia a dia, a gente tem ferramentas de segurança, mas o que acontece? Vou contar uma história. Uma vez chegou eu estava com um amigo num bar, aí chegou um cara pedindo dinheiro. O cara virou e falou assim Cara, eu estou com fome, preciso comer Bababá. Abri a carteira, tirei 20 reais, obrigado, valeu, e foi embora. O meu amigo falou assim Eu jamais faria isso, de jeito nenhum. Como que você dá 20 reais, eu não dou 20 reais na mão do mendigo. Eu tenho que ver se ele vai comprar o pão, ou então eu vou com ele na padaria, compro o pão, compro não sei o que, porque senão o cara pode comprar cachaça, não sei o que. Eu falei assim amigo, deixa eu te falar uma coisa Eu não sou consultor de mendigo. O que ele vai fazer com o dinheiro dele com certeza não vai ser bom, porque senão ele não era um mendigo.
Speaker 1:Vamos partir do princípio pode não ser, bom, pode não ser, mas não cabe a mim ficar velando a expectativa do cara o cara me pediu ajuda, eu ajudo e eu acredito seriamente que em algum grau, em algum grau a área de segurança tem que ter liberdade do que ela vai fazer com a verba, porque às vezes o cara diz assim não peraí, eu tenho esse budget aqui e o teu especialista entende que ele tem que investir naquilo, e aí você não, mas peraí, isso aí não é importante. Agora O cara que é o especialista, ele que está dizendo que é aquele investimento.
Speaker 2:A galera tem que saber realmente priorizar, porque é muito amplo e o investimento vai ser muito longo.
Speaker 1:Você é um especialista e você quer ser consultor dele. Mas assim cara em algum grau é uma faca de dois, uma faca de dois lados. Tem que ser avaliado.
Speaker 2:O budget, ele tem que O rating, ele tem que conseguir explicar pro board o porquê que é importante o investimento. Cara, ninguém chega a dizer assim ou eu vou te, Não é 20 reais que o cara tá dando é um pouquinho mais, Tem que ser justificado. Tem que ser bem explicado. E quando tem justificado e o cara assume o risco, tudo bem. Aí o cara de segurança passa pra frente, assume o risco. beleza, O risco é seu.
Speaker 3:Tem um site chamado Red Team Guide. Ele foi criado por um Eu tô. Eu ia lembrar o nome do autor aqui Eu vou lembrar pra você.
Speaker 3:Ele tem um livro chamado Red Team Development Operations, que foi um livro que acho que era Ben Clark. Se puder pesquisar agora acho que o Ben Clark era do RTFM, mas ele tem o livro dele. É muito bom porque ele também fala um pouco dessa questão da área de negócios. Ele ensina você a criar uma operação de Red Team, desenvolver essa operação de red team e lá e você vê que não é algo só exclusivo do Brasil, esses problemas Também que eu queria trazer a gente tem muita gente falando.
Speaker 1:Ben Clark.
Speaker 3:Ben Clark, ele mesmo. O Ben Clark, acertei. Ele tem o. O livro dele é muito bom, é um livro de cabeceira. Ele tem o.
Speaker 3:O livro dele é muito bom, é um livro de cabeceira que também eu recomendo, o meu primeiro volume também. Eu me inspirei nas obras, nos artigos também que ele tem, e ele coloca muito essa questão sobre o Red Team, o Red Team hoje ele é visto como algo que é fundamental para a área de cibersegurança. Não tem nenhuma empresa que fala que não precisa de Red Team. Hoje é visto como algo que é fundamental para a área de Cyber Segurança. Não tem nenhuma empresa que fala que não precisa de Red Team. Só que ele é uma de todas as áreas. Dependendo de como você vende ela, ela pode ser uma área que todas as outras se beneficiam. Porque o Red Team está.
Speaker 3:Hoje a gente fala de Cyber Segurança, a gente fala de risco E o que que é risco? né Risco em forma geral, é tudo aquilo que pode te dar um problema, tudo aquilo que pode gerar algo pra sua empresa, algum dano de forma geral, o que é alguém melhor para comprovar que aquele risco existe. O red team, só que se você não é um red team que conversa com as outras áreas, que você tá ali muito isolado na sua caixinha, você já vai ter um problema e você também não vai conseguir se vender pro board, porque como que o board vai entender o que o red team faz, como que vai chegar a falar, como que o red team vai transcrever as entregas dele. Então as vezes você precisa do endosso de outras áreas para isso.
Speaker 3:Propaganda de guerra, propaganda de guerra. Você não escutou bem a nossa propaganda.
Speaker 1:Essa propaganda foi muito boa, isso inclusive, deveria se tornar uma fatia da educação em cibersegurança.
Speaker 3:Propaganda de guerra também é importante, é isso.
Speaker 2:Joás, cara, você está envolvido em outros projetos que não só é segurança ofensiva hoje, né cara, sim, e conta pra gente como é que você tem visto aí na questão estratégica, realmente das empresas na parte de cibersegurança, resposta de ataques, e também conta um pouco o que você tem visto da evolução da cibersegurança no Brasil nos últimos anos. Perfeito da evolução da cibersegurança no Brasil nos últimos anos, perfeito.
Speaker 3:Eu vejo que as empresas ainda são muito imaturas na hora de responder um ataque. Fica muito daquela coisa Está acontecendo um ataque, todo mundo correndo para o lugar.
Speaker 1:Vamos desenhar um.
Speaker 3:Um correndo para cá, outro correndo para lá, Tipo filme. Aconteceu um negócio, mas ninguém sabe o que faz. Vamos desligar Porque às não tem um. Às vezes tem um plano de resposta acidente. Só que esse plano de resposta não é divulgado, só existe ali porque não é testado.
Speaker 2:Se não é testado, como é que o povo vai saber? Você não faz exercícios. Vamos ler o plano. Olha, estudar o plano não dá né, cara.
Speaker 3:Tá tudo pegando fogo.
Speaker 2:você lá sentado, vamos Sentado vamos ler o plano como apagar o fogo.
Speaker 3:Uma coisa que é muito crucial é exercícios de mesa, né Os tabletops. Então você criar exercícios de resposta incidente, falar opa, peraí pessoal. Esse cenário como que funciona, só que também não pode ficar só na teoria.
Speaker 1:Aí, é onde entra o red team.
Speaker 3:novamente O red team, ele vai pra A gente chega lá pra fazer uma simulação de ransomware, pra fazer a infiltração de dados e provar e ver qual que é a reação da galera de resposta incidente, do C-Search de uma forma geral. Mas eu vejo que ainda tem essa maturidade Muitas das vezes pergunta pra depois agir Não é vocês que estão fazendo o ataque, Não Bloqueia. Depois você pergunta foram vocês que fizeram?
Speaker 2:A gente bloqueou.
Speaker 3:Começa a procurar quem que está fazendo o ataque. Não bloqueia. Você está vendo o comportamento malicioso, mas isso não ocorre. Um outro ponto também um arrum. Ah, tá acontecendo um incidente. Abre um arrum, joga todo mundo no arrum. Tá o que vocês tem de informação desse? não, a gente não tem nenhuma informação.
Speaker 2:Mas tá todo mundo aqui junto, então beleza, mas vamos rezar.
Speaker 3:Cadê a galera do Faro, a galera do Cien, a galera do pegar Cláudio, pegar Logs no Cláudio.
Speaker 2:Eles não tão de plantão hoje inclusive vamos rezarzar.
Speaker 1:Acho que faz parte. Você pergunta qual a religião?
Speaker 3:do cara que você está contratando do hacker que você está contratando pode ser útil isso é útil mesmo e você tem muito nesse, num aspecto geral, essas situações que vão acontecendo no dia a dia de pessoas sabendo qual direção responder a um ataque porque não tem playbooks, não tem runbooks, não tem documentação, não faz exercícios, não faz purple team. O red team não faz o trabalho dele, não faz o dever dele de olhar para o que realmente importa e o que que as vezes acontece. Muitas dessas áreas elas começam a brigar. Red team não faz o trabalho dele, não faz o dever dele de olhar pro que realmente importa então e o que que as vezes acontece. Muitas dessas áreas elas começam a brigar com as outras. Né poxa, o red team fica gerando fazendo ataques no feriado. Não é pra fazer isso. A gente tá, mas peraí, a gente tá testando como que tá a eficácia dos controles em vários cenários.
Speaker 2:É sim, cara, eu tô feriado, que a galera tá queimando Você tem que avisar que você tá fazendo um ataque.
Speaker 3:Mas peraí só avisar, já fica pesado Fazer um gemude de ataque.
Speaker 2:É isso Então, um gemude de ataque? É um gemude de ataque.
Speaker 1:Fazer um ataque na hora. Agora tem uma coisa isso tudo Cara. aqui, por exemplo, nós já tivemos longas discussões sobre o que é um SOC, por quê, qual é a definição de um SOC? A gente começa com pequenas ações de segurança englobadas ali no serviço. Cara, isso aqui já é um SOC, tá, mas é pequenininho. Aí você tem um SOC grande com red team, com blue team, com não sei o quê, e também chama SOC, entendeu, tipo assim. peraí, a gente já viu coisas variando num nível muito grande, entendeu?
Speaker 3:hoje, quando a gente fala de assim. Eu talvez não seja a melhor pessoa pra falar de SOC em si, mas eu acho que tem pessoas com com nível de qualificações que trabalham.
Speaker 2:Vivem um mundo de blue team mais do que eu, mas o que eu posso dizer, eu sou camisa vermelha.
Speaker 3:É, eu sou, eu gosto, eu prefiro, mas o que eu posso dizer, O negocinho do copo dele tá azul. O produção dele tem que ser o do Gomes É vermelho. Ele é um time vermelho Eu vou fazer o seguinte Eu vou trazer o ponto pra você sobre o SOC. Eu vou mudar a abordagem.
Speaker 1:Vamos fazer o seguinte Você, ouvinte, quer saber sobre SOC. Você fala com a C Cyber Pro, é isso.
Speaker 1:E aí a gente pega a mesma coisa, a mesma pergunta, porque ao mesmo tempo você aplica ao Red Team Que assim, quais são os básicos, o que é o mínimo que um Red Team Tem que ter de processos Pra ser chamado de ao Red Team. Sim, que assim, quais são os básicos, o que é o mínimo que um Red Team tem que ter de processos para ser chamado de um Red Team, porque se tu botar cinco hackers dentro de uma sala não quer dizer que você tem um Red Team.
Speaker 3:Exato E eu vou fazer esse paralelo para ambos. Né Tanto para o Blue Team como para o Red Team. Hoje, para um Blue Team funcionar para ter um SOC, muita o team funcionar pra ter um SOC, muita gente. Ah, pra ter um SOC eu preciso ter um CIEM. Calma, aí é tecnologia, é o pilar, só que é tecnologia, processos e pessoas. Red Team também é a mesma coisa, também tem tecnologia, processos e pessoas, só que qual que é o principal? todo mundo começa pela tecnologia. Vou contratar milhões de soluções e peraí o processo não tem o processo, não tem o processo, não tem aquela parte de. Ah, eu vou desenvolver um processo de um processo no meu SOC. Designar os processos adequados pro meu SOC, criar playbooks, criar o processo de engenharia de detecção, ter todo esse refinamento SOC, criar playbooks, criar o processo de engenharia de detecção, ter todo esse refinamento das detecções, o que o meu cliente precisa. Refinamento das regras. Então coloca a tecnologia, deixa ela coletando os logs e o que entregar é isso. Mas espera, aí eu já peguei cenários com clientes. Está acontecendo uma coisa muito crítica. Aqui está acontecendo umí. Eu já peguei cenários com clientes. Tá acontecendo uma coisa muito crítica, aqui tá acontecendo um ataque.
Speaker 3:Deixa eu olhar aqui ó retornou como crítico, mas peraí será que isso é um problema mesmo. Será que isso não é um falso positivo. Ah, não, mas aqui tá aparecendo, aqui tá falando ah, mas é um SQL Injection. Beleza, vamos validar quando você faz a validação, o SQL Injection. Beleza, vamos validar quando você faz a validação, o SQL Injection nem existe. Por quê? É uma ferramenta automatizada, é um atacante que tá rodando um dash ali, mas gerou alertas críticas. Então será que não tem que refinar as regras E falta esse processo. Ah, eu preciso ter um processo no meu SOC, eu preciso ter um processo no meu Red Team, eu preciso ter um processo que A galera realmente muitas vezes esquece que o processo é fundamental.
Speaker 2:Não é a melhor ferramenta, nem os melhores profissionais, nem os melhores profissionais.
Speaker 3:Se você tem que desenhar.
Speaker 2:Um depende do outro né.
Speaker 3:Você tem que desenhar até onde vai o N1, até onde vai o N2, até onde vai o N3, a mesma coisa. Até onde vai o red team dentro de uma empresa? Qual que é o limite dele, o que que ele tem que olhar?
Speaker 1:O limite dele é extremamente importante É importante se você não define Qual o limite do red team, eu vou citar aqui Será que tem Não tem, mas tem que ter chance É igual o limite do humor.
Speaker 2:Tem o limite do humor. Depende é o ser antes ou não.
Speaker 1:Eu vou citar aqui uma das maiores catástrofes da história, a bomba de Hiroshima não a piada do Lynch da catástrofe da história cinematográfica. Vamos falar de Jurassic Park. Qual deles? o 1? Jurassic Park 1, o início da parada. Ah, putz cara, tudo aconteceu por causa de uma questão.
Speaker 2:Não foi exatamente um ataque cibernético foi uma sabotagem, porque era um cara interno então esse lance de você ter não, não, não foi um erro humano.
Speaker 1:Tinha um cara que hackeou o sistema inteiro e soltou todos os dinossauros. Ele fez aquilo pra ele roubarou todos os dinossauros. Ele fez aquilo pra ele roubar o DNA dos dinossauros lá, roubar a informação privilegiada e fugir Porque ele tava vendendo Exatamente ele tava vendendo a parada Mas essa que é a parada. Então aí vem a pergunta do Red Team, que faz todo sentido, Porque assim a gente sempre pensa. A gente tá falando aqui sobre defesa, ataque, não sei o que olhando pra fora, Mas olhar pra dentro também é importante.
Speaker 2:Também é importante Ah, eu ia se brincar talvez mais importante nesse momento, porque a maioria dos ataques às vezes tá na questão interna, né Porque o cara.
Speaker 1:Você quer se proteger do cara que pode roubar a credencial, mas o cara que já tem a cred E esse cara E gestão de identidade está crítico.
Speaker 2:Você vê os principais ataques hoje em dia a galera E até por engenharia social. Você vai pegar um cara que normalmente é uma ponta mais fraca e aí você não tem um gerenciamento de acesso bem feio. E aí o Red Team consegue pesquisar e achar esses caras lá e te mostrar como é que você está fazendo a gestão de identidade de forma errada.
Speaker 1:Eu sei que você consegue fazer é levantar também um background dos executivos. Sim, exato, isso é um processo que está lá. Todo o Red Team tem que fazer isso ou não. Alguns fazem, outros não.
Speaker 3:Essa é uma boa pergunta. Não é comum, você ver, fazer levantamento de background de pessoas estratégicas da empresa Ou pessoas?
Speaker 2:que têm acesso demais.
Speaker 3:Exato Puxar ficha índole.
Speaker 2:Talvez isso fica muito Geralmente é RH né, rh faz esse processo de, mas a parte de credenciais, a busca por credenciais dessas pessoas chaves, com certeza né, ah, também.
Speaker 3:Aí sim, monitoramento, a gente chama de monitoramento de VIP por exemplo, que a gente monitora para ver se essas pessoas não estão tendo os dados vazados, porque esses são profissionais com níveis elevados de privilégio. Mas um ponto importante gerenciamento de acesso, zero trust. Se tem a questão de zero trust, que é confiança zero em tudo, ali você só dá acesso para quem tem que dar.
Speaker 1:E quando precisar E quando precisar e ainda vai questionar precisa mesmo pra que sempre tem.
Speaker 3:Mas apesar disso você tem inúmeras falhas. E aí volta toda aquela questão do processo. Como que tá o processo de liberação de acesso? como que tá o processo de desligamento? ah, você será, ah, mas geralmente quando eu demito alguém que é do time corporativo, demora um dia.
Speaker 2:Às vezes demora mais, fica meio chamada, etc. Não tem nada automatizado. Falta solução.
Speaker 3:Será que é o mesmo problema de segurança, não é o problema de segurança é um problema interno.
Speaker 2:Ali é questão de processo.
Speaker 3:Esse é o ponto principal. Uma pessoa que é do corporativo, ela tem que ter o mesmo e que demora um dia pra ser desligada. Alguém de segurança tem que ter o mesmo prazo.
Speaker 2:O SLA do cara que tem o nível de acesso ou o nível de conhecimento, maior tem que ser igual. Não velho, primeiro você desliga as cadencials e depois você avisa o cara que ele foi demitido.
Speaker 3:Teve um caso numa empresa indiana que foi demitido, e aí o funcionário ainda tinha acesso e fez um deleitou a base de dados inteira.
Speaker 2:Cara. A gente simplesmente tem uma solução que é automático se a hora que o cara está sendo desligado, o acesso dele já acaba E hoje tem Tem muitas soluções.
Speaker 1:A gente oferece um para o mercado. Lá na CS Pro o procedimento é esse O Gomes, de vez em quando a gente liga um para o outro. Se a gente tenta logar e não consegue, ele fala assim velho, eu fui demitido, é brincadeira mas é verdade Já aconteceu várias vezes. O Gomes me ligou.
Speaker 2:Aconteceu alguma coisa aí. O CRM está funcionando.
Speaker 3:O. O CRM tá funcionando, o e-mail também. Valeu, foi muito bom trabalhar com você.
Speaker 1:É porque a notícia vem depois.
Speaker 2:Os caras são meus amigos, pra eles serem desligados, teria que ser eu tentar ligar pra eles esse pergunto ainda não é amizade, é amizade, mas liga pra mim esse pergunta ainda imagina, não é a gente fala que a gente leva as coisas amizade é amizade é, mas liga pra mim pergunta né cara você tá puta, eu vou ligar.
Speaker 2:Se eu tô puta, eu tenho motivo fica claro, estamos chegando no tempo aqui, mas eu tenho que falar que o Joás é um dos caras mais generosos que eu conheço, principalmente ali no LinkedIn, auxiliando a comunidade, os profissionais, que muita gente faz muita pergunta pro Joás e ele tem a puta paciência de responder todo mundo e ajudar a galera que tá iniciando. Cara, você tem uma experiência bacana em mentoria ali, né, cara? Eu vou fazer duas perguntas em uma. Primeiro, como é que você, quem que você escolhe pra mentorar? Como é que funciona esse negócio? E o cara que tá iniciando tá ouvindo a gente aqui, tá gamadão, quer ser red team, quer atacar. Que pronto, ele tem que começar, que às vezes não é simples. Fica bem claro que cara leva tempo, é muito conhecimento, muito estudo e dedicação. E você falou algo no início que às vezes não é por causa da grana você gosta daquilo, você tem que ter uma paixão por aquilo, algo que o Prado falar. Você tem que estar a correr a cybersegurança na veia né cara Conta pra gente.
Speaker 3:Exato, não isso. Eu sempre olho pras pessoas que eu vou ajudar de alguma forma. Eu vejo o quão elas estão, o quanto elas acreditam na ideia de uma forma geral. Elas acreditam em cybersegurança. Tem muita gente que tá pelo dinheiro.
Speaker 3:Ok, normal, o dinheiro tá aí Todo mundo ninguém trabalha de graça né Só que você tem que pensar que existe uma responsabilidade E às vezes sempre tem aquela frase né Não tem dinheiro que pague para fazer alguma coisa que eu não quero. E saber a segurança tem muito sobre isso. Né Não que você vai chegar num momento que você vai estar ali numa situação complicada, mas você vai ter o estresse. Então, se você só tá pelo dinheiro, você vai falar ah poxa, esse estresse aqui não compensa. Então você, ah, acho que eu vou me ligar pra outra área, o que acontece. Muita gente fala acho que não tem pessoas que migram, não saem de cibersegurança, tem. Tem muita gente que sai de cibersegurança e vai pra outras áreas.
Speaker 1:O cara que é red team e tá ali só pelo dinheiro, ele acaba virando hacker ele vai pra maldade ele sai do red vai pro black team ele vai pro, ele vai pro lado negro da força
Speaker 3:então assim você vai passar por muitas burocracias dentro de empresas, você vai passar por várias situações. Então eu sempre deixo claro pessoas que pedem ajuda. Eu tento entender aonde você quer ir com o cyber segurança e como você vê cyber segurança. Se a pessoa vê Cyber Segurança como somente algo, uma oportunidade de fazer dinheiro, eu falo beleza, você está com uma mentalidade, você tem a sua própria mentalidade. Mas você vai desanimar no primeiro momento que você olhar o material de estudos que eu vou te passar. Esse é o material de estudos. Estuda aí os preços das certificações, os preços das formações de uma forma geral, fala ah, não, olha mil dólares numa certificação, acho que não vale a pena, não vou conseguir pagar. E aí muita gente fala porque tem esse o processo pra quem tá iniciando é muito complicado. Você conseguir sua primeira oportunidade, você conseguir entrar no mercado, etc. Isso gera um cyber deception. É Então você gera uma decepção ali de uma forma geral.
Speaker 3:E eu falo pessoal beleza, você tá, tem muita gente que chega. Já vi muitos amigos falam pô, eu tô decepcionado com o red team, mas por quê É muita? muitos amigos falam eu tô decepcionado com o red team, mas por quê é muita burocracia. Eu não posso fazer nada. Aí eu tenho outros amigos. Ah, tô decepcionado com o blue team, por quê eu só fico em ferramenta, é muita ferramenta. Parece que eu não tô fazendo cyber segurança.
Speaker 1:Aí eu falo é isso então não tem muito como eu falo não tem muito, falou assim.
Speaker 3:Você tem que buscar o que é bom pra você. Se você não se encontra em Blue Team, vai pra AppSec, vai pra outras. O profissional de Cyber Segurança tem que entender que ele é um profissional de Cyber Segurança. Aqui tá o Joage e Red Team, mas eu não posso deixar de entender de Blue Team, de AppSec, de Cloud Security. Eu tenho que entender desse mundo. Mas óbvio se perguntar, joás, qual que é o seu, sua ênfase principal? Red team, porque é uma coisa que eu gosto E você faz o que você gosta, mas também só vai fazer o que você não gosta. Então eu sempre deixo claro isso pras pessoas que eu mentoro eu não seleciono idade público, eu seleciono pessoas que querem entrar pra essa área e ser um diferencial com propósito, porque o mercado vai ficar cada vez mais um pouco complicado.
Speaker 3:Eu não vou usar aquele discurso de que falta profissionais para trabalhar. A gente sabe que o mercado vai inflando, várias empresas vão surgindo e vai ter mais vagas. A questão é profissionais que entendam de negócio e que sabem executar. Hoje a gente tem já um problema que questão é profissionais que entendam de negócio e que sabem executar. Hoje a gente tem um problema que é pegar profissionais que sejam pesquisadores. Hoje talvez a gente vive na era das coisas rápidas, né Do short, dos reels, do chat GPT, das coisas, e aí você tem um monte de informação. só que às vezes essas informações elas não vêm de uma forma limpa. Então, em vez de você pegar um artigo de alguém que escreveu um artigo lá no Medium 20 minutos de artigo explicando toda a teoria, todo o conceito, a gente vai no chat de EPT e coloca o que é isso E a gente já fica somente com aquele conceito Pesquisa é importante. Eu vejo esse perfil de profissional como um diferencial e vai ser um diferencial no futuro um profissional que saiba pesquisar e que seja autodidata e não um profissional que ele só pega e só sabe executar. então executa lá, mas você pergunta o que você está fazendo? Ah, eu não sei. eu só rodei esse comando, peguei o resultado porque eu aprendi que era assim no curso. o chat de EPT me ensinou dessa forma E isso cada vez mais vai ficando evidente conforme vai passando as gerações, novas gerações que estão vindo, que vamos ter esse problema no mercado. A gente vai ter mais executores e menos talvez analistas, menos pessoas com esse grau de percepção e de trazer resultados consistentes para o negócio, agregar valor ao trabalho.
Speaker 3:Então o que eu falo assim para quem quer entrar na área de cibersegurança, não é somente abrir o Calilino e estudar, é você entender o que você está estudando, pegar os conceitos, entender, adquirir essa base, colocar em prática, mas também fazer. o ponto principal é o que você está fazendo, o que você está estudando, o que você está desenvolvendo. o que você tá desenvolvendo, como que eu vendo esse trabalho pra alguém que não conhece ele, porque você chega lá, tô fazendo um pen test. o que você tá fazendo falando Ah, tô fazendo um pen test. Você encontrou o que? Ah, encontrei um SQL inject, xss. O que que é essa vulnerabilidade? Ah, não sei, mas eu sei que ela é alta, ela é crítica, eu sei que isso pode dar problema.
Speaker 1:Não sabe como faz Exato, não sabe o que é.
Speaker 2:Busca o que Conhecimento Busca. Conhecimento É tebilu.
Speaker 3:E aí uma coisa principal qual que é o impacto no meu negócio? Ah, você reportou essa vulnerabilidade aí, mas qual que O que que isso, o impacto no meu negócio? ah, você reportou essa vulnerabilidade aí, mas qual que o que que isso?
Speaker 2:impacta no meu negócio. É crítico por quê? não tem nenhuma máquina que não vai usar pra nada?
Speaker 3:me diga porque eu devo corrigir essa vulnerabilidade, não porque ela é alta vai. Porque ela é alta porque tá escrito na UASP, no CWE é o profissional, tem que entender do negócio.
Speaker 2:hoje é um diferencial tremendo, é um diferencial.
Speaker 3:Não adianta. Você não vai trabalhar com o cybersegurança sem você entender de negócio. É um desafio. Você vai trabalhar com vários tipos de negócios, vários tipos de empresas e até mesmo, às vezes, os próprios executivos. Eles estão com uma direção no negócio e eles mudam, e você tem que acompanhar isso também, se você não acompanhar.
Speaker 3:Ele vai entender e falar, mas peraí, o Reddit ainda está ali, o segurança ainda está ali, mas a gente já está indo para essa direção, onde que vocês estão olhando. Então vai faltar profissionais com essa capacidade E se você está querendo procurar uma oportunidade no mercado de trabalho, entenda que você tem que se desenvolver, você tem que ir atrás do conhecimento. Você vai ter que fazer alguns sacrifícios. Eu fiz vários sacrifícios sobre pagar curso, ter certificações. Você ficar a noite sem dormir vai priorizar outras coisas.
Speaker 2:Noites ali para estudar, né Carlos.
Speaker 3:Você vai ter que fazer algum sacrifício. Não ache que, ah, porque a cybersegurança está aquecido. está aquecido, só que é uma corrida E a gente até pra contratação, eu ajudo, às vezes na contratação de algum profissional. você pergunta ô, flano, por que você se candidatou na vaga? Ah, porque eu vi na reportagem, lá, que a cyberer Segurança estava aquecido, estava precisando de gente Aí você pergunta você sabe o que é confidencialidade, integridade e disponibilidade?
Speaker 3:Aí vai lá no chat de EPT ah, eu vi aqui confidencialidade. Me dá um exemplo? Aí, já era Como assim. Um exemplo de confidencialidade. Me dá um exemplo. Me fala de integridade, me fala de disponibilidade. Umidade Fala de disponibilidade. Um exemplo Fala um ataque que afeta a disponibilidade, um ataque que afeta a integridade. As pessoas travam Ah, pen test, vagas de pen test. Você está se adiantando em uma vaga de pen test. Chega lá, você já fez pen test? Não, já fiz. Já mexi com Kali Linux. Beleza, se eu te dar uma máquina Windows 10, windows 11, aqui, ah, eu vou instalar o Kali. Não, você não pode instalar a virtualização, você não pode instalar a WSL. E tem como fazer o pen test usando o Windows Uai.
Speaker 2:Como assim, só Kali.
Speaker 3:Como não Você E isso, Como, assim Só calha, Como não Você. E isso Isso até foi uma conversa que eu tive com um pentester. Eu falei que ele tinha muita dificuldade pra fazer pentest em ambientes adesos. Eu falei cara, mas se você tiver ali uma máquina com Windows, com PowerShell, o céu é limite. Já conectado num domínio, você já pode fazer muita coisa. Tiver ali uma máquina com Windows com PowerShell, o céu é limite. Se já tá conectado no domínio, você já pode fazer muita coisa. Ah, e tem como Eu não sabia que daria pra usar PowerShell pra fazer pen test, Porque eu falo peraí, aonde, como que? como que você acha que a galera fazia pen test antes do Carlinhos?
Speaker 1:Antes do backtrack Não existia, não existia, não existia. eu falo assim aquele aquele meme tem um cara eu descobri o Carlinhos é o cara nas peças, cara sabe o idiota que volta no tempo e aí, quando ele chega no passado, ele fala não, no futuro vai ter um negócio que você bota assim a água e vira não sei o que e tá pronto. Mas como é que faz? Não sei, não sei.
Speaker 3:É exatamente isso.
Speaker 1:Vai ter uma máquina que você aperta liga se sai a imagem ou sai a comida. Você acende o fogo. Você só arrisca. Aperta o botão, o fogo acende, Acende uma fogueira, aí Cadê o fósforo. O cara não sabe como fazer as coisas.
Speaker 3:E isso vale pra qualquer área, eu cito o Pentax aqui. Mas pra quem vai pra SOC, uma coisa que eu falo assim, eu já trabalhei com SOC, já liderei times de resposta incidente também, mas a parte de resposta incidente não fiquei muito ali no monitoramento. Mas eu falo pra galera pessoal. So que não é só você estar olhando para eventos de segurança, ligando para o cliente e falando olha, percebemos um alerta aqui. Não, você entende o que aquele ataque está fazendo. Se eu tenho uma empresa que está monitorando o meu ambiente e o analista não entende o ataque, ele só está pegando pelo nível de criticidade. Eu falo beleza, e se a minha técnica que eu estou utilizando o EDR, o CIEM, os logs do CIEM, ele joga com baixa o seu SLA, vai ser, você vai usar o SLA de critério baixo, sendo que aquela técnica pode ser uma evasão que ocorreu no dispositivo de matéria que as vezes o próprio EDR não detectou. Ele detectou algum comportamento específico, por isso que ele levou com baixa. Como que você usa o critério ali de análise das ameaças.
Speaker 3:Você está por dentro das ameaças do dia. Ah, não, eu já vi esses cenários. Ah, o que é mimiquete? aí olhei assim pra pessoa, pessoa com o beret Mimikatz. É aqui um alerta de Mimikatz na máquina. Por que você não avisou antes? Estava rodando o Mimikatz estava fazendo um dump dos credenciais da máquina ali Não, mas eu não sabia Mas. E outra Por que você não deu o Google O que é Mimikatz.
Speaker 2:O que é Mimikatz Estava lá.
Speaker 1:Curiosidade né cara, Não Google.
Speaker 3:Fulano, o que é Mimikatz Não dá um Google Ou o GTPT. O que é Mimikatz É um problema. Você ver um alerta, é só colocar um problema.
Speaker 2:O GTPT é um problema, né Sim nossa pergunta. Quem pergunta quer saber.
Speaker 3:E aí é isso.
Speaker 2:Então, E eu vejo que o cenário do mercado de cibersegurança está, a gente ainda está engatinhando. Vai continuar muito tempo aquecido, porque tem muito para evoluir.
Speaker 3:A gente está evoluindo, está engatinhando para coisas melhores. A IA está vindo aí para auxiliar, mas os profissionais têm que estar, têm que entender a função que ele, a função dele. Tem muitos profissionional que chega trabalhando mas ele não entende o que faz. E se você não entende o que faz, não entende a sua função, você não vai conseguir vender pra sua diretoria, até mesmo o seu trabalho, pro seu chefe, como que você vai pedir uma promoção, se você não sabe vender o seu trabalho. Então eu deixo essa dica pra qualquer profissional que vai entrar agora no mercado de ciberseg, cyber, segurança, que quer se especializar saiba como vender o seu trampo. Então você está estudando o Red Team, está estudando o Blue Team, devsecops, estude, adquira a parte técnica, adquira também a soft skill para aprender a vender o seu trampo, para você divulgar melhor o seu trampo ali. mas você também tem que saber vender o seu trampo pra qualquer tipo de pessoa, o que você faz.
Speaker 2:Ah, eu faço cibersegurança, mas o que você faz necessariamente Defina. Então é isso, Galera o papo tá bom, mas, mr Anzzi, que hora que nós chegamos, mr.
Speaker 1:Anzzi, vamos chegar agora em considerações finais, onde você tem espaço pra fazer aí suas declarações.
Speaker 3:Passar link do livro falar do seu campo, falar onde vai o seu campo falar sobre dar conselho vender o que você quer vender e é claro, faça o seu jabá.
Speaker 1:É claro que também, considerações finais, é um oferecimento de AciaCyberPro. Vamos que vamos.
Speaker 3:Perfeito. Então, pessoal, quem quiser adquirir o livro é só acessar a Amazon, procurar lá Introdução a Red Team Operations. Tem outros livros também, tem o Introdução à Segurança Ofensiva, tem a Parte 1, tem outras obras também, tem o Desenvolvimento em Linguagem C. Está surgindo outros livros também desenvolvimento de exploit, evasão de defesa, segurança ofensiva 3.0, purple team, blue team e etc. Se você também quiser entrar em contato comigo ali no LinkedIn, fica à vontade. Eu tô sempre à disposição.
Speaker 3:Nem tudo eu sei, mas a gente vai junto atrás das respostas, procurar conhecimento, porque essa é a parte divertida da área de cibersegurança E o fundamental se você é alguém que quer entrar na área de cibersegurança, busque conhecimento. Não espere as coisas caírem no seu colo, não espere as coisas virem até você vá atrás delas E questione, pegue ali aquele profissional que você sente confortável e beba da fonte do conhecimento dele, fala aonde quais foram os seus erros, seus acertos. Tem muito profissional, principalmente os que vêm aqui no podcast, que estão à disposição pra ajudar você de alguma forma. Então eu também estou, assim como os outros convidados que já vieram aqui. Com certeza eles vão estar à disposição pra ajudar você. E é isso Eu deixo aqui como o recado final.
Speaker 1:Não, não é só isso. Você que não quer comprar, você não quer investir num livro de cibersegurança, tira essa camisa vermelha que tu não é Red velho.
Speaker 2:Busque conhecimento, busque conhecimento.
Speaker 1:Busque conhecimento pra lá baixo.
Speaker 2:Joss, muitíssimo obrigado, cara, obrigado pela sua generosidade de sempre pra auxiliar a comunidade, compartilhar o conhecimento. Ó a galera falou, eu não sei de tudo. Se ele não souber, pode saber que você não sabe obrigado pra caramba valeu, até a próxima.
Speaker 3:Que é o café. Que é o café.
.png)
