Definições completas de termos de segurança, frameworks e metodologias usados em testes de penetração, conformidade e DevSecOps.
Guias de configuração de segurança baseados em consenso e melhores práticas, desenvolvidos pelo Center for Internet Security. Os CIS Benchmarks fornecem recomendações específicas de hardening para sistemas operacionais (Windows, Linux, macOS), plataformas cloud (AWS, Azure, GCP), dispositivos de rede e aplicações para reduzir a superfície de ataque.
Um modelo de serviço que fornece liderança estratégica de segurança sem contratar um Chief Information Security Officer em tempo integral. Os serviços vCISO incluem orientação de segurança de nível executivo, gestão de riscos, supervisão de conformidade, desenvolvimento do programa de segurança e relatórios para o conselho.
Um framework de conformidade desenvolvido pelo AICPA que avalia como organizações gerenciam dados de clientes baseado em cinco critérios de confiança: segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. SOC2 Tipo I avalia o design de controles; Tipo II avalia a efetividade operacional. Essencial para empresas SaaS.
Uma metodologia de teste de segurança que analisa aplicações em execução para detectar vulnerabilidades simulando ataques contra sistemas em produção. Ferramentas DAST testam aplicações do exterior (teste caixa-preta), identificando problemas como injeção SQL, XSS, falhas de autenticação e erros de configuração.
Técnica pós-exploração onde atacantes se movem através de uma rede de sistema em sistema após o comprometimento inicial, buscando acessar recursos adicionais, escalar privilégios e alcançar alvos de alto valor. Técnicas comuns incluem Pass-the-Hash, Pass-the-Ticket e exploração de serviços remotos.
A prática de integrar testes e práticas de segurança ao longo do ciclo de desenvolvimento de software, tornando a segurança uma responsabilidade compartilhada entre equipes de desenvolvimento, segurança e operações. DevSecOps envolve testes de segurança automatizados (SAST, DAST), varredura de dependências, segurança de infraestrutura como código e monitoramento contínuo.
Uma tecnologia revolucionária do kernel Linux que permite a programas executarem em sandbox no kernel sem modificar o código-fonte ou carregar módulos do kernel. Em segurança, eBPF impulsiona ferramentas de observabilidade, redes (Cilium) e segurança de runtime de nova geração com overhead mínimo.
Uma técnica de ataque onde adversários obtêm permissões de nível superior às inicialmente obtidas, tipicamente movendo de acesso de usuário padrão para privilégios de administrador ou root. Escalada vertical aumenta o acesso no mesmo sistema; escalada horizontal acessa outras contas no mesmo nível.
Uma extensão do DevSecOps que foca especificamente em proteger fluxos de trabalho baseados em Git, repositórios e pipelines CI/CD. Práticas de GitSecOps incluem proteção de branches, commits assinados, varredura de secrets, hooks pre-commit para verificações de segurança e medidas de segurança da cadeia de suprimentos.
Uma técnica de ataque ao Active Directory onde adversários solicitam tickets de serviço para contas com Service Principal Names (SPNs), então quebram a criptografia do ticket offline para revelar a senha da conta de serviço. Kerberoasting bem-sucedido frequentemente leva à escalada de privilégios.
Uma base de conhecimento acessível globalmente de táticas e técnicas adversárias baseadas em observações do mundo real. MITRE ATT&CK fornece uma linguagem comum para descrever o comportamento de atacantes através da kill chain, permitindo modelagem de ameaças, engenharia de detecção, operações red team e análise de lacunas de segurança.
Um formato de assinatura genérico para sistemas SIEM que permite regras de detecção portáteis entre diferentes plataformas. Regras SIGMA descrevem padrões suspeitos em dados de logs (eventos Windows, logs de servidor web, etc.) e podem ser convertidas para queries do Splunk, Elastic, Microsoft Sentinel e outras ferramentas.
Uma ferramenta de correspondência de padrões usada principalmente para identificação e classificação de malware. Regras YARA descrevem padrões (strings, sequências de bytes, condições) para identificar famílias de malware, arquivos suspeitos ou indicadores de comprometimento.
Uma metodologia de teste de segurança que analisa código-fonte, bytecode ou binários para detectar vulnerabilidades de segurança sem executar a aplicação. Ferramentas SAST (como Semgrep, Bearer, SonarQube) identificam problemas cedo no desenvolvimento incluindo injeção SQL, XSS, criptografia insegura e secrets codificados.
Um inventário formal e legível por máquina de componentes de software e dependências usados na construção de uma aplicação. SBOMs permitem rastreamento de vulnerabilidades, conformidade de licenças e segurança da cadeia de suprimentos. Formatos incluem SPDX e CycloneDX.
Um framework de segurança para garantir a integridade de artefatos de software ao longo da cadeia de suprimentos. SLSA fornece níveis incrementais de garantia (1-4) cobrindo integridade de fonte, integridade de build e procedência.
Um ciberataque simulado realizado por profissionais de segurança para identificar vulnerabilidades em sistemas, redes e aplicações antes que atacantes reais possam explorá-las. Diferente de avaliações de vulnerabilidades, testes de penetração envolvem exploração ativa para demonstrar o impacto real de um ataque.
Ver Regras YARA.
Um modelo de segurança baseado no princípio "nunca confie, sempre verifique" que requer verificação estrita de identidade para cada pessoa e dispositivo tentando acessar recursos, independentemente da localização na rede. Zero Trust elimina confiança implícita, implementa acesso de privilégio mínimo e valida continuamente a postura de segurança.
Nossa equipe pode ajudá-lo a implementar essas práticas de segurança. Comece com uma consulta.
Fale Conosco