Apresentação de Dani Dilkin no Mind The Sec São Paulo de 2020.
A tecnologia da informação está passando pela maior mudança de paradigma desde que migramos dos mainframes para redes Novell.
A tecnologia de nuvem está permitindo que times cada vez menores, usando cada vez menos capital, e de forma mais ágil criem soluções altamente complexas e profissionais. Isso ajuda a explicar a profusão de novas startups e serviços SaaS, tais como FinTechs, MedTechs e outras. A aparente simplicidade da nuvem, a falta de conhecimento detalhado de como implementar sua segurança e o perfil de tomadores de risco dos empreendedores são fatores críticos que podem ser observados em muitas destas empresas.
De outro lado, os reguladores estão atuando de forma cada vez mais ativa para exigir que as organizações sejam responsabilizadas por eventuais incidentes de segurança em sua cadeia de suprimentos. Grandes empresas que estão confiando dados pessoais, financeiros, médicos e outros dados sensíveis a seus fornecedores estão expostas cada vez mais a penalidades regulatórias advindas destas relações.
A combinação destes fatores está criando uma tempestade perfeita de oportunidades e riscos para o mercado. Durante esta palestra vamos abordar de forma objetiva como lidar com as principais regulamentações envolvidas (LGPD/GDPR, PCI DSS, BACEN 3909 e 4658), e indicar estratégias e melhores práticas para lidar com o desafio de conformidade e segurança neste novo cenário tão desafiador.
A Tenchi Security tem o prazer de convidá-lo para um evento da série de Security and Cloud. O formato é uma sequência de webinars para profissionais de operações, desenvolvimento, tecnologia e segurança da informação, dependendo do tema do webinar.
Nesta 1ª edição temos apoio da Aqua Security e iremos tratar do tema segurança de DevOps em ambientes de nuvem. Serão discutidos o uso de alta freqüência de deployment, pipelines de CI/CD, e o uso de containers ou adoção de aplicações serverless no contexto corporativo. Em especial, quais os benefícios para o negócio, os riscos à segurança da informação e os controles que o mercado tem adotado para mitigá-los.
O evento terá duração de 1 hora, sendo:
* 25 min - Apresentação de Segurança de DevOps por Alexandre Sieira, Fundador da da Tenchi Security;
* 25 min - Apresentação de Soluções de Segurança de Aplicativos Cloud Native por Carolina Bozza, Regional Sales Director da Aqua Security; e
* 10 min – Dúvidas e respostas.
Gravação do webinar pode ser assistida em https://youtu.be/ac339gAqtj4
Introdução à Segurança de Containers e KubernetesTenchi Security
Apresentação de Alexandre Sieira na edição online do evento Mind The Sec Rio de Janeiro de 2020. Oferece uma introdução a conceitos básicos de segurança de containers e do orquestrador Kubernetes.
Implementando APIs REST mais seguras - TDC 2019 - Porto AlegreRenato Groff
O documento discute implementações seguras de APIs REST, cobrindo tópicos como injeção de SQL, acesso indevido a informações e criptografia. Ele fornece exemplos de como evitar problemas de segurança comuns e recomenda estratégias como uso de JWT, armazenamento seguro de credenciais e habilitação do HTTPS.
Implementando APIs REST mais seguras - TDC 2019 - São PauloRenato Groff
O documento discute implementar APIs REST mais seguras, cobrindo tópicos como segurança da informação em APIs REST, injeção de SQL, criptografia, JWT e armazenamento seguro de chaves. Ele fornece exemplos de como evitar problemas comuns de segurança e recomendações para proteger APIs REST, incluindo o uso de HTTPS, autenticação com JWT e armazenamento seguro de configurações com soluções como Azure Key Vault.
O documento discute como o Big Data pode ser usado para melhorar a segurança da informação. Explica que o Big Data envolve a geração, estruturação e armazenamento de grandes volumes de dados de diferentes fontes para análise. Também descreve como os dados podem ser usados para mapear a superfície de ataque de uma organização e simular cenários de ameaças cibernéticas como parte de um processo de segurança orientado a dados.
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
Palestra ministrada na 12ª edição do H2HC (Hackers To Hackers Conference)
Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK (Elasticsearch, Logstash, Kibana)
Logs, logs e mais logs é o que mais encontramos no nosso dia a dia, seja simples informações do sistema, como produtos e caixa mágicas. A grande questão é como usar essas informações de forma inteligente para que isso não se transforme num lixão eletrônico apenas, ou seja, não somente um monte de dados crus e sim dados trabalhados com a sua necessidade.
A ideia dessa palestra é demonstrar como podemos com open source, utilizando ou não produtos comerciais e um pouco de análise podemos obter ótimos resultados, criando um ciclo para adição de fonte de dados úteis, extraindo dela o máximo possível para detectar ameaças relativas ao seu ambiente.
O documento apresenta o projeto Octopus, um sistema de detecção e resposta a ameaças desenvolvido pela Clavis Segurança da Informação. O projeto oferece inteligência de ameaças customizável e orientada a dados para monitoramento dinâmico de ambientes com detecção de ameaças em tempo real e relatórios. O sistema é flexível, de baixo custo e pode integrar-se a outros sistemas de gestão de eventos de segurança.
A Tenchi Security tem o prazer de convidá-lo para um evento da série de Security and Cloud. O formato é uma sequência de webinars para profissionais de operações, desenvolvimento, tecnologia e segurança da informação, dependendo do tema do webinar.
Nesta 1ª edição temos apoio da Aqua Security e iremos tratar do tema segurança de DevOps em ambientes de nuvem. Serão discutidos o uso de alta freqüência de deployment, pipelines de CI/CD, e o uso de containers ou adoção de aplicações serverless no contexto corporativo. Em especial, quais os benefícios para o negócio, os riscos à segurança da informação e os controles que o mercado tem adotado para mitigá-los.
O evento terá duração de 1 hora, sendo:
* 25 min - Apresentação de Segurança de DevOps por Alexandre Sieira, Fundador da da Tenchi Security;
* 25 min - Apresentação de Soluções de Segurança de Aplicativos Cloud Native por Carolina Bozza, Regional Sales Director da Aqua Security; e
* 10 min – Dúvidas e respostas.
Gravação do webinar pode ser assistida em https://youtu.be/ac339gAqtj4
Introdução à Segurança de Containers e KubernetesTenchi Security
Apresentação de Alexandre Sieira na edição online do evento Mind The Sec Rio de Janeiro de 2020. Oferece uma introdução a conceitos básicos de segurança de containers e do orquestrador Kubernetes.
Implementando APIs REST mais seguras - TDC 2019 - Porto AlegreRenato Groff
O documento discute implementações seguras de APIs REST, cobrindo tópicos como injeção de SQL, acesso indevido a informações e criptografia. Ele fornece exemplos de como evitar problemas de segurança comuns e recomenda estratégias como uso de JWT, armazenamento seguro de credenciais e habilitação do HTTPS.
Implementando APIs REST mais seguras - TDC 2019 - São PauloRenato Groff
O documento discute implementar APIs REST mais seguras, cobrindo tópicos como segurança da informação em APIs REST, injeção de SQL, criptografia, JWT e armazenamento seguro de chaves. Ele fornece exemplos de como evitar problemas comuns de segurança e recomendações para proteger APIs REST, incluindo o uso de HTTPS, autenticação com JWT e armazenamento seguro de configurações com soluções como Azure Key Vault.
O documento discute como o Big Data pode ser usado para melhorar a segurança da informação. Explica que o Big Data envolve a geração, estruturação e armazenamento de grandes volumes de dados de diferentes fontes para análise. Também descreve como os dados podem ser usados para mapear a superfície de ataque de uma organização e simular cenários de ameaças cibernéticas como parte de um processo de segurança orientado a dados.
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
Palestra ministrada na 12ª edição do H2HC (Hackers To Hackers Conference)
Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK (Elasticsearch, Logstash, Kibana)
Logs, logs e mais logs é o que mais encontramos no nosso dia a dia, seja simples informações do sistema, como produtos e caixa mágicas. A grande questão é como usar essas informações de forma inteligente para que isso não se transforme num lixão eletrônico apenas, ou seja, não somente um monte de dados crus e sim dados trabalhados com a sua necessidade.
A ideia dessa palestra é demonstrar como podemos com open source, utilizando ou não produtos comerciais e um pouco de análise podemos obter ótimos resultados, criando um ciclo para adição de fonte de dados úteis, extraindo dela o máximo possível para detectar ameaças relativas ao seu ambiente.
O documento apresenta o projeto Octopus, um sistema de detecção e resposta a ameaças desenvolvido pela Clavis Segurança da Informação. O projeto oferece inteligência de ameaças customizável e orientada a dados para monitoramento dinâmico de ambientes com detecção de ameaças em tempo real e relatórios. O sistema é flexível, de baixo custo e pode integrar-se a outros sistemas de gestão de eventos de segurança.
O documento discute monitoramento de serviços REST usando Application Insights e Distributed Tracing. Apresenta o contexto atual de microserviços e escalabilidade, explica porque monitorar é importante e como fazer isso. Detalha como o Application Insights coleta automaticamente métricas de desempenho e logs para análise, e como o Distributed Tracing mapeia requisições entre serviços. Aponta exemplos de uso de Application Insights e Zipkin para esse fim.
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentasGustavo Lichti Mendonça
O documento discute o conceito de DevSecOps, que envolve considerar a segurança de aplicações e infraestrutura desde o início do ciclo de desenvolvimento. Isso é alcançado por meio de pessoas, processos e ferramentas, incluindo treinamento de segurança, revisão de código, automação e monitoramento. Embora nenhum software seja 100% seguro, a automação ajuda a encontrar e corrigir problemas com mais rapidez.
Não espere seu sistema ser invadido para torná-lo a prova de balas. Antecipe-se e tome as medidas preventivas para proteger seus dados, sistemas e sua reputação profissional. Conheça alguns dos principais recursos para fortalecer a segurança de servidores Linux e minimizar riscos e ameaças de possíveis invasões.
O documento discute a adoção de microserviços e event sourcing em larga escala por uma plataforma bancária. Apresenta os desafios de CRUD e arquitetura REST, e como event sourcing, CQRS e arquitetura baseada em eventos ajudam a atender requisitos como auditoria, desempenho e consistência. Exemplifica as abordagens com um caso de e-commerce e discute tecnologias, desafios e conclusões.
DevSecOps nada mais é a união dos benefícios da cultura DevOps com práticas e processos da segurança da informação, um dos grandes desafios desta nova onda é como de fato implementar e automatizar ferramentas de segurança dentro do ciclo de desenvolvimento de software até o momento do deploy. A palestra tem uma abordagem prática e teórica de soluções automatizadas com Docker e Jenkins para incrementar segurança desde a integração contínua (CI) até a entrega contínua (CD), soluções que também permitem o monitoramento automatizado de vulnerabilidades em redes e sites.
Cisco lança primeiro firewall com detecção avançada de violação e remediação em único dispositivo
A nova solução prevê que a defesa integrada contra ameaças ajude as empresas a lidarem com seus maiores riscos, as ameaças avançadas e de dia-zero.
A Cisco está mudando a maneira como as organizações se protegem contra ameaças à segurança cada vez mais sofisticadas, com o lançamento mundial, hoje, do Cisco ASA com FirePOWER Services, que oferece proteção contínua e integrada antes, durante e depois de um ataque. A solução oferece a identificação contextual completa e os controles dinâmicos necessários para avaliação das ameaças automaticamente, além de correlacionar a inteligência e otimizar as defesas para a segurança de todas as redes.
Este é o primeiro produto a integrar o firewall Cisco ASA 5500 Series com controle de aplicações e o líder da próxima geração de sistemas de prevenção de intrusão (Next-Generation Intrusion Prevention Systems, NGIPS) com a proteção avançada contra malware (Advanced Malware Protection, AMP) da Sourcefire®.
1. O documento discute a gestão integrada de ativos para proteção de informações sigilosas, com foco nos 20 Controles Críticos de Segurança do SANS para reduzir riscos cibernéticos.
2. É apresentada uma análise de maturidade cibernética para avaliar o grau de implementação dos controles e gerar recomendações para evoluir a segurança.
3. A conclusão ressalta a importância da vigilância contínua para a proteção da liberdade e das informações.
Introdução a Web Applications Firewalls - Apresentação realizada no dia 31/março/2011 no primeiro encontro do grupo OWASP Porto Alegre - http://www.owasp.org/index.php/Porto_Alegre
Este documento fornece informações sobre serviços de segurança digital e identidade corporativa da empresa GMO GlobalSign Inc., incluindo:
1) A GlobalSign oferece soluções de gestão de identidades em grande volume e alta escala para bilhões de dispositivos, pessoas e objetos na Internet das Coisas.
2) A empresa tem escritórios em vários países e emprega 300 funcionários para atender mais de 30.000 clientes.
3) Exemplos de clientes e parceiros de tecnologia, assim como detalhes sobre o mercado de certificados digita
O documento discute as atividades do Núcleo de Segurança e Credenciamento (NSC) em garantir a segurança das informações classificadas no Brasil através da regulamentação, credenciamento de pessoas e entidades, e o uso de tecnologias para proteção. O NSC também promove workshops para discutir o assunto e criar uma rede de relacionamento sobre tecnologias de proteção de informações sigilosas.
O documento apresenta a empresa GVTech, seus valores e soluções de segurança e tecnologia da informação oferecidas, incluindo produtos Sophos, Microsoft Office 365, Windows Azure e Mozy Backup. É fornecido detalhes sobre serviços, contatos e links para o site e redes sociais da empresa.
1) O documento descreve como o Domain Driven Design (DDD) e o Strategic Design estão ajudando a modernizar um legado de sistema para uma empresa de medicina do trabalho.
2) O sistema começou simples mas cresceu de forma desorganizada ao longo de 5 anos, levando a muitos bugs. O DDD está sendo usado para dividir o domínio em Bounded Contexts e melhorar a arquitetura.
3) A estratégia envolve isolar funcionalidades em módulos/libs, definir interfaces para comunicação com o legado, e
A apresentação discute a importância da segurança no desenvolvimento de software. Aborda os requisitos mínimos para um software ser considerado seguro, como revisão de código, análise de risco da arquitetura e pentesting. Também apresenta projetos da OWASP como o Top 10, ASVS e guia de testes que fornecem diretrizes para o desenvolvimento seguro de aplicações.
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
Este documento resume um webinar da Symantec sobre ameaças avançadas, descrevendo: (1) O ciclo de vida típico de uma ameaça avançada, incluindo reconhecimento, incursão, descoberta, captura e exfiltração de dados; (2) As características e objetivos de uma ameaça avançada; (3) As recomendações da Symantec para proteção contra ameaças avançadas, como monitoramento, autenticação forte e prevenção de vazamento de dados.
A arquitetura serverless substitui máquinas virtuais de longa duração por poder computacional efêmero que é acionado sob demanda e desaparece imediatamente após o uso. Serviços como AWS Lambda permitem que desenvolvedores tragam seu código sem se preocupar com servidores, permitindo pagar apenas pelo que é executado. Embora não exista bala de prata, a arquitetura serverless oferece alta disponibilidade, escalabilidade e orientação a eventos de forma eficiente.
O documento discute a utilização de um "chassis" para microserviços, que facilita a configuração de mecanismos transversais como log, métricas e rastreamento distribuído. Um chassis padroniza essas funcionalidades e permite iniciar rapidamente o desenvolvimento de novos serviços. Frameworks como Spring Boot e Dropwizard podem ser usados como chassis para Java, enquanto Gizmo e Micro são opções para Go.
1) O documento discute análise de código e segurança de software, incluindo inspeção de código, programação segura, e análise de vulnerabilidades como buffer overflows e injeção.
2) Também aborda proteção de software através de ofuscação, incorruptibilidade e marca d'água para dificultar engenharia reversa e modificações não autorizadas.
3) Conclui que as falhas de software em infraestruturas críticas aumentam a necessidade de novas regulamentações, serviços de avaliação de
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Analise de riscos e contramedidas em cloud computing Paulo Rodrigues
Este documento apresenta uma análise de riscos e contramedidas para a adoção de cloud computing. Resume os principais tipos de cloud, analisa os riscos em 12 domínios, compara o custo-benefício de diferentes opções e fornece recomendações como estabelecer políticas e SLA para a escolha de fornecedores.
O documento discute o conceito de computação em nuvem, incluindo suas características, modelos de serviço e implementação. Também aborda tópicos como virtualização, economia de custos, segurança e contratos na nuvem.
O documento discute monitoramento de serviços REST usando Application Insights e Distributed Tracing. Apresenta o contexto atual de microserviços e escalabilidade, explica porque monitorar é importante e como fazer isso. Detalha como o Application Insights coleta automaticamente métricas de desempenho e logs para análise, e como o Distributed Tracing mapeia requisições entre serviços. Aponta exemplos de uso de Application Insights e Zipkin para esse fim.
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentasGustavo Lichti Mendonça
O documento discute o conceito de DevSecOps, que envolve considerar a segurança de aplicações e infraestrutura desde o início do ciclo de desenvolvimento. Isso é alcançado por meio de pessoas, processos e ferramentas, incluindo treinamento de segurança, revisão de código, automação e monitoramento. Embora nenhum software seja 100% seguro, a automação ajuda a encontrar e corrigir problemas com mais rapidez.
Não espere seu sistema ser invadido para torná-lo a prova de balas. Antecipe-se e tome as medidas preventivas para proteger seus dados, sistemas e sua reputação profissional. Conheça alguns dos principais recursos para fortalecer a segurança de servidores Linux e minimizar riscos e ameaças de possíveis invasões.
O documento discute a adoção de microserviços e event sourcing em larga escala por uma plataforma bancária. Apresenta os desafios de CRUD e arquitetura REST, e como event sourcing, CQRS e arquitetura baseada em eventos ajudam a atender requisitos como auditoria, desempenho e consistência. Exemplifica as abordagens com um caso de e-commerce e discute tecnologias, desafios e conclusões.
DevSecOps nada mais é a união dos benefícios da cultura DevOps com práticas e processos da segurança da informação, um dos grandes desafios desta nova onda é como de fato implementar e automatizar ferramentas de segurança dentro do ciclo de desenvolvimento de software até o momento do deploy. A palestra tem uma abordagem prática e teórica de soluções automatizadas com Docker e Jenkins para incrementar segurança desde a integração contínua (CI) até a entrega contínua (CD), soluções que também permitem o monitoramento automatizado de vulnerabilidades em redes e sites.
Cisco lança primeiro firewall com detecção avançada de violação e remediação em único dispositivo
A nova solução prevê que a defesa integrada contra ameaças ajude as empresas a lidarem com seus maiores riscos, as ameaças avançadas e de dia-zero.
A Cisco está mudando a maneira como as organizações se protegem contra ameaças à segurança cada vez mais sofisticadas, com o lançamento mundial, hoje, do Cisco ASA com FirePOWER Services, que oferece proteção contínua e integrada antes, durante e depois de um ataque. A solução oferece a identificação contextual completa e os controles dinâmicos necessários para avaliação das ameaças automaticamente, além de correlacionar a inteligência e otimizar as defesas para a segurança de todas as redes.
Este é o primeiro produto a integrar o firewall Cisco ASA 5500 Series com controle de aplicações e o líder da próxima geração de sistemas de prevenção de intrusão (Next-Generation Intrusion Prevention Systems, NGIPS) com a proteção avançada contra malware (Advanced Malware Protection, AMP) da Sourcefire®.
1. O documento discute a gestão integrada de ativos para proteção de informações sigilosas, com foco nos 20 Controles Críticos de Segurança do SANS para reduzir riscos cibernéticos.
2. É apresentada uma análise de maturidade cibernética para avaliar o grau de implementação dos controles e gerar recomendações para evoluir a segurança.
3. A conclusão ressalta a importância da vigilância contínua para a proteção da liberdade e das informações.
Introdução a Web Applications Firewalls - Apresentação realizada no dia 31/março/2011 no primeiro encontro do grupo OWASP Porto Alegre - http://www.owasp.org/index.php/Porto_Alegre
Este documento fornece informações sobre serviços de segurança digital e identidade corporativa da empresa GMO GlobalSign Inc., incluindo:
1) A GlobalSign oferece soluções de gestão de identidades em grande volume e alta escala para bilhões de dispositivos, pessoas e objetos na Internet das Coisas.
2) A empresa tem escritórios em vários países e emprega 300 funcionários para atender mais de 30.000 clientes.
3) Exemplos de clientes e parceiros de tecnologia, assim como detalhes sobre o mercado de certificados digita
O documento discute as atividades do Núcleo de Segurança e Credenciamento (NSC) em garantir a segurança das informações classificadas no Brasil através da regulamentação, credenciamento de pessoas e entidades, e o uso de tecnologias para proteção. O NSC também promove workshops para discutir o assunto e criar uma rede de relacionamento sobre tecnologias de proteção de informações sigilosas.
O documento apresenta a empresa GVTech, seus valores e soluções de segurança e tecnologia da informação oferecidas, incluindo produtos Sophos, Microsoft Office 365, Windows Azure e Mozy Backup. É fornecido detalhes sobre serviços, contatos e links para o site e redes sociais da empresa.
1) O documento descreve como o Domain Driven Design (DDD) e o Strategic Design estão ajudando a modernizar um legado de sistema para uma empresa de medicina do trabalho.
2) O sistema começou simples mas cresceu de forma desorganizada ao longo de 5 anos, levando a muitos bugs. O DDD está sendo usado para dividir o domínio em Bounded Contexts e melhorar a arquitetura.
3) A estratégia envolve isolar funcionalidades em módulos/libs, definir interfaces para comunicação com o legado, e
A apresentação discute a importância da segurança no desenvolvimento de software. Aborda os requisitos mínimos para um software ser considerado seguro, como revisão de código, análise de risco da arquitetura e pentesting. Também apresenta projetos da OWASP como o Top 10, ASVS e guia de testes que fornecem diretrizes para o desenvolvimento seguro de aplicações.
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
Este documento resume um webinar da Symantec sobre ameaças avançadas, descrevendo: (1) O ciclo de vida típico de uma ameaça avançada, incluindo reconhecimento, incursão, descoberta, captura e exfiltração de dados; (2) As características e objetivos de uma ameaça avançada; (3) As recomendações da Symantec para proteção contra ameaças avançadas, como monitoramento, autenticação forte e prevenção de vazamento de dados.
A arquitetura serverless substitui máquinas virtuais de longa duração por poder computacional efêmero que é acionado sob demanda e desaparece imediatamente após o uso. Serviços como AWS Lambda permitem que desenvolvedores tragam seu código sem se preocupar com servidores, permitindo pagar apenas pelo que é executado. Embora não exista bala de prata, a arquitetura serverless oferece alta disponibilidade, escalabilidade e orientação a eventos de forma eficiente.
O documento discute a utilização de um "chassis" para microserviços, que facilita a configuração de mecanismos transversais como log, métricas e rastreamento distribuído. Um chassis padroniza essas funcionalidades e permite iniciar rapidamente o desenvolvimento de novos serviços. Frameworks como Spring Boot e Dropwizard podem ser usados como chassis para Java, enquanto Gizmo e Micro são opções para Go.
1) O documento discute análise de código e segurança de software, incluindo inspeção de código, programação segura, e análise de vulnerabilidades como buffer overflows e injeção.
2) Também aborda proteção de software através de ofuscação, incorruptibilidade e marca d'água para dificultar engenharia reversa e modificações não autorizadas.
3) Conclui que as falhas de software em infraestruturas críticas aumentam a necessidade de novas regulamentações, serviços de avaliação de
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Analise de riscos e contramedidas em cloud computing Paulo Rodrigues
Este documento apresenta uma análise de riscos e contramedidas para a adoção de cloud computing. Resume os principais tipos de cloud, analisa os riscos em 12 domínios, compara o custo-benefício de diferentes opções e fornece recomendações como estabelecer políticas e SLA para a escolha de fornecedores.
O documento discute o conceito de computação em nuvem, incluindo suas características, modelos de serviço e implementação. Também aborda tópicos como virtualização, economia de custos, segurança e contratos na nuvem.
O documento descreve como o Cisco Domain Ten pode ajudar empresas a acelerar sua transformação digital e dos departamentos de TI. Ele destaca que o Domain Ten fornece uma metodologia para planejar estratégias de TI, identificando oportunidades tecnológicas para melhorar os resultados de negócios, como segurança, nuvem, aplicativos e infraestrutura. O documento também lista benefícios como implantação mais rápida de soluções e redução de custos.
Cloud Computing: a chave para inovar durante a criseCisco do Brasil
O documento discute como a adoção de nuvem pode ajudar as empresas a inovar durante períodos econômicos instáveis. Aproximadamente 55% das empresas brasileiras já usam soluções de nuvem e 67% dos executivos planejam aumentar os investimentos em nuvem em mais de 5% em 2016 para reduzir custos e direcionar esses ganhos para projetos de inovação. A adoção de nuvem pode reduzir custos operacionais em até 87% e custos totais em até 66%. Isso permite que os executivos foque
Síntese dos principais pontos da Resolução CMN 4.658 sobre política de segurança cibernética e contratação de serviços de processamento, armazenagem de dados e computação em nuvem para instituições financeiras.
O documento discute os riscos associados a projetos de computação em nuvem e fornece recomendações para mitigar esses riscos. As recomendações incluem estabelecer acordos de nível de serviço detalhados, fornecer informações sobre a arquitetura de segurança e permitir auditorias de segurança. O objetivo é ajudar os clientes a se protegerem adequadamente ao adotarem serviços de nuvem.
Requisitos da continuidade(dos negócios)na segurança da informaçãoSidney Modenesi, MBCI
O documento discute os requisitos da continuidade de negócios na segurança da informação. Apresenta o sistema de gestão da continuidade de negócios e discute a importância de assegurar que a segurança da informação esteja inserida neste sistema para garantir a continuidade mesmo em situações de contingência. Também aborda exemplos de ameaças potenciais à segurança da informação e a relação entre esta área e a continuidade de negócios.
Fitic 2016 - Palestra Cloud - Andrea RigoniAndrea Rigoni
A palestra discute as novas tecnologias de TI corporativo como cloud computing e sua aplicação no futuro. A palestrante Andrea Rigoni apresenta sua experiência com soluções em nuvem e como a MXM Sistemas migrou seus serviços para o modelo cloud. Ela destaca como a cloud pode reduzir custos, aumentar produtividade e colaboração, e como o papel do TI corporativo mudará para ter mais foco no negócio.
O documento discute os conceitos e implicações da computação em nuvem, resumindo: (1) a definição de computação em nuvem segundo o NIST; (2) os principais modelos de serviço (IaaS, PaaS, SaaS); (3) os riscos envolvidos, como segurança e questões jurídicas e tributárias que devem ser tratados em contratos.
Trabalho apresentado na disciplina de Segurança da Informação no curso de Tecnologia em Análise e Desenvolvimento de Sistemas do Instituto Federal de São Paulo.
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
1) O documento discute as oportunidades e riscos de segurança na computação na nuvem, focando na plataforma Microsoft Windows Azure. 2) É analisado o impacto da nuvem nas organizações, TI e segurança da informação, identificando riscos como perda de controle e confiabilidade em terceiros. 3) O documento resume considerações de segurança do Azure, como arquitetura, controle de acesso e localização de dados.
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...Amazon Web Services LATAM
Utilizada pelos maiores bancos do país, a solução Guardião da Diebold, utiliza os serviços da AWS (CloudFront, S3, SQS, SNS, API Gateway, Lambda) para escrever a nova versão da plataforma, dando mais agilidade ao seu time e clientes, com segurança e escalabilidade.
Transforme sua rede em um mecanismo de inovaçãoCisco do Brasil
Este documento promove as soluções de rede da Cisco para inovação, segurança e agilidade. Ele descreve como o Hyatt Regency Santa Clara usou a rede Wi-Fi da Cisco para melhorar a experiência do cliente e como o Mondi Group usou o Cisco TrustSec para reforçar a segurança sem aumentar a equipe de TI. Também destaca como a Zitcom e a Lufthansa Systems reduziram o tempo de implantação de aplicações usando soluções de rede definida por software da Cisco.
Um velho dilema da terceirização de ti radicalizado na nuvemAlfredo Saad
O documento discute o dilema entre ter um único provedor ou múltiplos provedores para serviços de nuvem. No cenário de nuvem, é quase impossível ter um único provedor para atender todas as necessidades, levando à adoção de dezenas de provedores. Isso torna a gestão muito mais complexa do que em modelos tradicionais de terceirização. Fatores críticos como catálogo de serviços, controle de acesso, automação e medição de custos devem ser cuidadosamente administrados.
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvemATMOSPHERE .
O documento discute a falta de confiabilidade na computação em nuvem e propõe a plataforma ATMOSPHERE para fornecer serviços confiáveis em ambientes híbridos de nuvem. A plataforma fornecerá métricas e ferramentas para avaliar a confiabilidade de aplicações, além de serviços para processamento, armazenamento e implantação de dados de forma confiável através de provedores de nuvem federados. Uma aplicação de telemedicina será desenvolvida como prova de conceito.
O documento fornece um resumo sobre computação em nuvem, discutindo seu histórico, definição, modelos de serviço, arquitetura, vantagens, desvantagens e estudos de caso de três principais provedores de nuvem: Amazon Web Services, Google Cloud Platform e Microsoft Azure.
O documento discute conceitos de computação em nuvem, incluindo histórico, definição, vantagens e desvantagens, modelos de serviço, segurança, e plataformas como Amazon EC2, Google Cloud Platform e Azure. Ele também apresenta um estudo de caso sobre a virtualização de processos na SEFAZ/SE.
O documento descreve um curso de MBA em Arquiteturas de Redes e Cloud Computing oferecido pela FIAP. O curso tem duração de 360 horas e aborda tópicos como gestão empresarial, projeto de arquitetura de redes, plataformas e implementação de Cloud, projeto integrado de Cloud Computing e trabalho de conclusão de curso. O curso prepara os alunos para compreender e projetar ambientes Cloud, considerando aspectos como infraestrutura, disponibilidade e segurança.
Cloud x outsourcing tradicional des semelhanças na gestão de riscosAlfredo Saad
A contratação de serviços na nuvem guarda semelhanças e dessemelhanças com a contratação “tradicional” de serviços de IT Outsourcing.
Dentre as semelhanças, podemos destacar a relevância relacionada à importância da gestão de riscos em cada fase do processo, a saber:
Identificação e priorização dos business drivers aplicáveis
Definição da estratégia de sourcing da organização
Seleção do(s) provedor(es)
Negociação dos termos e condições contratuais
Transição dos serviços
Governança do contrato
A gestão de riscos em cada uma dessas fases evita que sua materialização comprometa os benefícios potenciais que atenderão aos business drivers motivadores da decisão.
O documento discute as medidas de segurança que devem ser implementadas para proteger dados de cartões de crédito de acordo com o Padrão de Segurança de Informação da Indústria de Cartões de Pagamento (PCI-DSS). Entre as medidas estão criptografar dados durante transmissão, restringir acesso físico e lógico aos dados, monitorar acessos à rede, manter sistemas atualizados e implementar controles de gerenciamento de chaves. O documento também fornece recomendações sobre como identificar onde os dados estão armazenados e flux
Semelhante a Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organização ou Terceiros na Nuvem (20)
us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...Tenchi Security
Attackers do not always land close to their objectives (data to steal). Consequently, they often need to move laterally to accomplish their goals. That is also the case in cloud environments, where most organizations are increasingly storing their most valuable data. So as a defender, understanding the possibilities of lateral movements in the cloud is a must.
Because the control plane APIs are exposed and well documented, attackers can move between networks and AWS accounts by assuming roles, pivoting, and escalating privileges. It is also possible for attackers to move relatively easily from the data plane to the control plane and vice-versa.
In this talk, we are going to explore how attackers can leverage AWS Control and Data Planes to move laterally and achieve their objectives. We will explore some scenarios that we discovered with our clients and how we approached the problem. We will also share a tool we created to help us visualize and understand those paths.
Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...Tenchi Security
Slides of the talk presented at DEF CON Cloud Village on August 12th, 2022 by Alexandre Sieira. Contains research content from Glaysson Tomaz and Marcelo Lima as well.
Recently the Conti ransomware group internal chat leaks was fascinating reading. Among other things, it reminded us that both well-intentioned and malicious actors are constantly trying to find ways to find vulnerabilities and develop exploits to widely used IT products. This is particularly true those that are externally exposed firewalls, VPNs and load balancers, or security products that might thwart their techniques and tools.
The timeline from the chats seems to show a gap of several months between Conti members trying to procure either appliances or commercial software that they were trying to get for these purposes. This got us thinking about how the major cloud service providers these days have marketplaces where you can easily buy virtual appliances or SaaS licenses for lots of widely used IT and security products with little more than a valid credit card, in minutes. And we decided to check how feasible it is to use this to conduct vulnerability research.
In this presentation we will show what kind of access one can get to the internals of IT and security products using these marketplaces, particularly in the case of products only typically offered in hardware appliances. Which cloud providers try to prevent this sort of activity, how they do it, which ones simply don't care, and what techniques we were able to use to access these appliance's internals.
The objective here is threefold: 1) help well intentioned vulnerability researchers find an easier avenue to do their work; 2) allow cloud providers to get a better understanding of how their marketplaces can be abused and which controls they could implement to mitigate that risk, and 3) let IT and security vendors realize the added exposure of publishing their products on these marketplaces.
Like all major public cloud providers, AWS allows users to expose managed resources like S3 buckets, SQS queues, RDS databases, and others publicly on the Internet. There are legitimate uses for making resources public, such as publishing non-sensitive data. However, we often find that this functionality is mistakenly used, often due to a lack of cloud security expertise, to erroneously expose sensitive data. News of exposed S3 buckets are sadly very frequent in the specialized media. It is important to note, however, that there are many other relevant kinds of AWS resources that can be equally dangerous when publicly exposed but that doesn't get nearly as much scrutiny as S3 buckets. In this talk we are going to describe some of the methods that researchers and attackers use to discover and exploit these publicly exposed resources, and how cloud providers and defenders can have taken action to monitor, prevent and respond to these activities.
Presented at DEF CON 29 Cloud Village.
The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...Tenchi Security
Serverless applications are a really interesting new trend that promises benefits such as increased scalability and reduced cost. Frameworks like Serverless Application Model (SAM) and Serverless Framework are increasingly used to build them. APIs are a natural part of serverless applications, and in AWS that typically is implemented using the AWS API Gateway backed by Lambdas that implement the actual API endpoint logic. Our research focused on API Gateway Lambda Authorizers. This is a feature that allows developers to use a custom authentication and authorization scheme that uses a bearer token authentication strategy (like JWTs, OAuth or SAML), or that uses request parameters to determine the caller's identity and enforce which API endpoints they are allowed to access. We will present (AFAIK novel) techniques to attack the authentication and authorization of APIs that use Lambda Authorizers. We show how IAM policy injection is possible in theory but highly unlikely in practice due to some good decisions by AWS. We also show a class of problems based on incorrect security assumptions baked into AWS' own documentation and Lambda Authorizer open source code templates. Sample source code will be provided to demonstrate all techniques.
Presented at DEF CON 29 Cloud Village.
Detecting AWS control plane abuse in an actionable way using Det{R}ailsTenchi Security
This document summarizes a system called Det{R}ails that analyzes AWS CloudTrail logs to detect abuse of the AWS control plane. It begins with an overview of AWS threats and CloudTrail. It then describes how Det{R}ails uses the Elastic Stack along with custom enrichments to analyze CloudTrail logs. Det{R}ails generates detection dashboards and detects two example scenarios: a policy rollback that enables privilege escalation, and exploitation of a service using PACU. Future work includes improving use cases, adding more enrichments and services, and publishing the code.
Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)Tenchi Security
O documento discute problemas de privilégios excessivos no AWS IAM. Apresenta uma introdução ao IAM, tipos de políticas e vazamentos de chaves. Mostra como analisar políticas existentes e detectar quando privilégios foram elevados indevidamente, como no caso de uma política de terceiros que recebeu permissões adicionais de forma inadequada. Conclui enfatizando a importância do princípio do mínimo privilégio e da análise contínua do ambiente.
SaaSpocalypse - The Complexity and Power of AWS Cross Account AccessTenchi Security
Slide deck of the presentation at DEF CON 28 "Safe Mode" Cloud Village by Alexandre Sieira.
In this talk we will present in detail the policy-fu needed in order to securely allow principals from one account to perform actions on another, both inside different accounts in an organization but especially from the perspective of a SaaS provider that needs to access hundreds or thousands of customer accounts. Existing research on defenses and possible attacks will be presented and demonstrated to illustrate the concepts.
SaaS vendors like ""single pane of glass"" offerings, multi-cloud solutions and CSPM offerings are huge concentrators of risk since they have access to potentially thousands of customer AWS accounts. By exploring how this access can be uniquely secured due to capabilities only AWS provides and how vendors can fail at this we hope to allow attendees to better understand the risks of using these services, and also help service providers mitigate them.
Palestra Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CTTenchi Security
O documento apresenta três frameworks (ATT&CK, DeTT&CT e Caldera) para medir a visibilidade e detecção de ameaças cibernéticas. O ATT&CK mapeia técnicas de ataque, o DeTT&CT avalia fontes de dados e habilidades de detecção, e o Caldera simula ações de adversários para testar as defesas.
The document discusses securing clouds and some of the security challenges with cloud computing. It begins with an introduction of the presenter and their background. Several examples of common security issues with cloud environments are demonstrated, such as exposed credentials, open S3 buckets, and exposed EC2 services. The presentation emphasizes the importance of credentials and understanding cloud resources. It concludes that the most secure environment is one with the best understanding of deployed resources.
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
A linguagem C# aproveita conceitos de muitas outras linguagens,
mas especialmente de C++ e Java. Sua sintaxe é relativamente fácil, o que
diminui o tempo de aprendizado. Todos os programas desenvolvidos devem
ser compilados, gerando um arquivo com a extensão DLL ou EXE. Isso torna a
execução dos programas mais rápida se comparados com as linguagens de
script (VBScript , JavaScript) que atualmente utilizamos na internet
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organização ou Terceiros na Nuvem
1. Aprendizados do Uso
de Nuvem na Gestão
de Riscos e
Conformidade
Regulatória de sua
Organização ou
Terceiros
2. Dani Dilkin
Senior Partner @ Tenchi Security
• +23 anos de experiência em segurança da informação
• Ex-líder das práticas de prestação de serviço de Cyber Security da
Deloitte e da Kroll no Brasil
• Um dos primeiros PCI QSA do Brasil e pioneiro em projetos adequação à
LGPD
São Paulo, Brasil 🇧🇷
ddilkin@tenchisecurity.com
3. 1. Contexto
2. Alguns desafios
3. Algumas oportunidades
4. Governança e gestão de riscos
5. Ponto final
Agenda
4. Contexto
What’s going on…
• Reconhecimento do impacto do
risco cibernético para o negócio
Cybersecurity
The Global Risks Report 2019
5. Contexto
What’s going on…
• Reconhecimento do impacto do
risco cibernético para o negócio
• Aumento na complexidade das
cadeias de suprimentos
• Controlador e operador
• Solução SaaS, prestador de
serviço e parceiro de negócio
• Financeiro (CorBan, Agente
Autônomo, FinTech, etc.)
• Seguradora, corretora, e
segurado
• Adquirente e estabelecimento
• HealthTech e outros
Cybersecurity
6. Contexto
What’s going on…
• Reconhecimento do impacto do
risco cibernético para o negócio
• Aumento na complexidade das
cadeias de suprimentos
Cybersecurity
4MInformation security professionals
shortage in 2019 ((ISC)2 Cyber Security
Workforce Study)
https://www.cnbc.com/2019/11/01/jobs-companies-need-cybersecurity-
workers-as-attacks-intensify.html
7. Contexto
What’s going on…
• Reconhecimento do impacto do
risco cibernético para o negócio
• Aumento na complexidade das
cadeias de suprimentos
Cybersecurity
4MInformation security professionals
shortage in 2019 ((ISC)2 Cyber Security
Workforce Study)
Serviços de nuvem
94%of workloads will be in the cloud in
2021 (Cisco Global Cloud Index 2019)
95%of cloud security failures through
2025 will be the customer’s fault
(Gartner – Is the Cloud Secure?)
8. Contexto
What’s going on…
• Reconhecimento do impacto do
risco cibernético para o negócio
• Aumento na complexidade das
cadeias de suprimentos
Cybersecurity
4MInformation security professionals
shortage in 2019 ((ISC)2 Cyber Security
Workforce Study)
Serviços de nuvem
94%of workloads will be in the cloud in
2021 (Cisco Global Cloud Index 2019)
95%of cloud security failures through
2025 will be the customer’s fault
(Gartner – Is the Cloud Secure?)
Consequências
4.4Bfiles exposed on public S3 buckets in
July 10th 2020 (buckets.grayhatwarfare.com)
• ~90% concedem privilégios
excessivos e publicam
informações indevidas
• ~75% sem logs/trilhas de
auditoria
9. Contexto
What’s going on…
• Reconhecimento do impacto do
risco cibernético para o negócio
• Aumento na complexidade das
cadeias de suprimentos
Cybersecurity
4MInformation security professionals
shortage in 2019 ((ISC)2 Cyber Security
Workforce Study)
Serviços de nuvem
94%of workloads will be in the cloud in
2021 (Cisco Global Cloud Index 2019)
95%of cloud security failures through
2025 will be the customer’s fault
(Gartner – Is the Cloud Secure?)
Consequências
10. Alguns desafios
Winter is coming
On premises
• Ambiente estático
• Papéis e responsabilidades definidos
• O perímetro é o obstáculo inicial
• Variedade de tecnologias
Serviços de nuvem
• Ambiente dinâmico
• Novo modelo de atribuições e responsabilidades
• Autenticação é o obstáculo inicial
• API pública
11. Algumas oportunidades
Old problems, new friends
API pública IAM
• Processo de integração simplificado
• +7.000* ações/eventos
• Security as code
* Na AWS, por exemplo.
• Granularidade
• Guard-rails
• Automação
“…77% of those cloud breaches
also involved breached
credentials."
DBIR de 2020 página 27
12. Algumas oportunidades
Old problems, new friends
Shared responsability model Automação
Credit: Ory Segal (@orysegal)
• CI/CD pipeline
• Incident response
• Security assessment
• Security as code
• Cloud Security Posture
Management (CSPM)
13. Governança e gestão de riscos
• Análise de entrevistas e amostras
• Permissões de acesso privilegiadas
• Dias ou semanas
• SAQs anuais ou security ratings
• Gestão de relatórios, planilhas e documentos
14. Governança e gestão de riscos
• Análise de entrevistas e amostras
• Permissões de acesso privilegiadas
• Dias ou semanas
• SAQs anuais ou security ratings
• Gestão de relatórios, planilhas e documentos
“No apparent difference in security outcome when
comparing organizations with extensive third-party
evaluation processes to those with none.”
Gartner Outlook for Cloud
Security 2019
15. Governança e gestão de riscos
• Análise de entrevistas e amostras
• Permissões de acesso privilegiadas
• Dias ou semanas
• SAQs anuais ou security ratings
• Gestão de relatórios, planilhas e documentos
• Coleta e análise automatizada de segurança
• Privilégio mínimo
• Minutos ou dias
• Avaliações objetivas, contínuas, e abrangentes
• Automatização e integração (tickets, GRC, etc.)
17. Governança e gestão de riscos
• Sim, você pode utilizar computação em nuvem.
• Embora os principais provedores de serviço de
nuvem possuam datacenters no Brasil, não é
obrigatório que os dados estejam no Brasil.
Posso estar em conformidade com
LGPD e BACEN 4658 usando
computação em nuvem? Os dados
precisam estar necessariamente no
Brasil?
Art. 16. A contratação de serviços relevantes de
processamento, armazenamento de dados e de
computação em nuvem prestados no exterior
deve observar os seguintes requisitos:
I – A existência de convênio para troca de
informações entre o Banco Central do Brasil e as
autoridades supervisoras dos países onde os
serviços poderão ser prestados; (…)
(Resolução 4.658)
Art. 33, incisos I, II, III, IV, V, VI, e VII.
Art. 5, inciso XII.
Art. 7, incisos II, V, e VI.
(LGPD)
Referências:
https://www.bcb.gov.br/acessoinformacao/legado?url=https:%2F%2Fwww.bcb.gov.br%2Ffis%2Fsup
ervisao%2Fmemsupervisao.asp%3Fidpai%3DSUPERVISAOSFN (países conveniados com o BACEN)
https://cloudblogs.microsoft.com/industry-blog/pt-br/financial-services/2019/04/18/computacao-
nuvem-segmento-financeiro/
https://www.conjur.com.br/2020-mar-31/tribuna-defensoria-lgpd-tratamento-dados-assistidos-
defensoria
18. Governança e gestão de riscos
• Não, os principais provedores de serviço de
nuvem podem atender individualmente aos
requisitos da resolução sob sua responsabilidade.
• Geralmente esta pergunta está associada aos
requisitos de continuidade de negócio da 4658
(vide ao lado). Estes requisitos podem ser
atendidos com a definição correta de arquitetura
e serviços complementada com um plano de
continuidade que contemple os serviço de nuvem
documentado junto ao BACEN.
Para estar em conformidade com a
resolução BACEN 4658 eu preciso de
um segundo provedor de serviços de
nuvem?
Art. 19. As instituições referidas no art. 1º devem assegurar que
suas políticas para gerenciamento de riscos previstas na
regulamentação em vigor disponham, no tocante à continuidade
de negócios, sobre:
I - o tratamento dos incidentes relevantes relacionados com o
ambiente cibernético de que trata o art. 3º, inciso IV;
II - os procedimentos a serem seguidos no caso da interrupção de
serviços relevantes de processamento e armazenamento de
dados e de computação em nuvem contratados, abrangendo
cenários que considerem a substituição da empresa contratada e
o reestabelecimento da operação normal da instituição; e
III - os cenários de incidentes considerados nos testes de
continuidade de negócios de que trata o art. 3º, inciso V, alínea
"a".
Art. 20. Os procedimentos adotados pelas instituições para
gerenciamento de riscos previstos na regulamentação em vigor
devem contemplar, no tocante à continuidade de negócios:
I - o tratamento previsto para mitigar os efeitos dos incidentes
relevantes de que trata o inciso IV do art. 3º e da interrupção dos
serviços relevantes de processamento, armazenamento de dados
e de computação em nuvem contratados;
II - o prazo estipulado para reinício ou normalização das suas
atividades ou dos serviços relevantes interrompidos, citados no
inciso I; e
III - a comunicação tempestiva ao Banco Central do Brasil das
ocorrências de incidentes relevantes e das interrupções dos
serviços relevantes, citados no inciso I, que configurem uma
situação de crise pela instituição financeira, bem como das
providências para o reinício das suas atividades.
(Resolução 4.658)
19. Ponto final
Minimizar a superfície de ataque e impacto
Proteger o Control Plane
Eliminar e automatizar atividades operacionais
Preparar para monitoração e resposta
Arquitetura e gestão de privilégios são contrapiso!
Avaliar e gerir sua conformidade e de terceiros de
forma objetiva, contínua, e abrangente
Não faça lift & shift da segurança!!!
Arquitetura (DIE model, native solutions)
Scan de vulnerabilidade
Teste de penetração
Modelo de responsibilidades
No native solutions
Security ratings
3rd party risk management
Análise do Control Plane é fundamental