Extraclasse SEGINF — 2S2023
Índice de Aulas
- Aula 1 — Apresentação e Contextualização
- Aula 2 — Fundamentos de Segurança da Informação
- Aula 3 — Classificação das Ameaças e seus Atributos
- Aula 4 — Gestão de Riscos de Segurança da Informação
- Aula 5 — Organização, Processos e Padrões de Segurança da Informação
- Aula 6— Fatores Humanos em Segurança da Informação
- Aula 7 — Segurança nas Operações e Comunicações
- Aula 8 — Correção da Prova e Hack the Box
- Aula 9 — Controle de Acesso
- Aula 10 — Criptografia e Esteganografia
- Aula 11 — Segurança na Aquisição, Desenvolvimento e Manutenção de Sistemas
- Aula 12 — Segurança de Software e Ciclo de Desenvolvimento Seguro
- Aula 13 — Modelagem de Ameaças
- Aula 14 — OWASP e Arquitetura de Segurança
Aula 1 –07/08 — Apresentação e Contextualização
Tarefas Básicas
1.Notícia — Invasões cibernéticas ameaçam os negócios — https://www.valor.com.br/financas/5552593/invasoes-ciberneticas-criminosas-ameacam-os-negocios
2.Notícia — Davos: crise geopolítica torna ‘catástrofe’ cibernética iminente — https://www.cisoadvisor.com.br/davos-crise-geopolitica-torna-catastrofe-cibernetica-iminente/
3.Artigo — Além da Revolução da Informação — Peter Drucker — Disponível no Teams
Tarefas Complementares
1.Artigo — O que é a 4ª revolução industrial — e como ela deve afetar nossas vidas — https://www.bbc.com/portuguese/geral-37658309
2.Filme — Snowden: Herói ou Traidor (2016) — https://www.imdb.com/title/tt3774114/
3.Notícia — Ucrânia diz ter provas do envolvimento russo em ciberataque — https://www.dw.com/pt-br/ucr%C3%A2nia-diz-ter-provas-do-envolvimento-da-r%C3%BAssia-em-ciberataque/a-60440864
Aula 2–14/08— Fundamentos de Segurança da Informação
Tarefas Básicas
1.Vídeo — The Security Mindset — https://www.computer.org/publications/tech-news/computing-conversations/bruce-schneier-the-security-mindset
2.TED Talk — The security mirage — https://www.ted.com/talks/bruce_schneier_the_security_mirage
3.Exercício 1/12 — Disponível no Teams da Disciplina
Tarefas Complementares
1.Artigo — Como iniciar a carreira de Segurança da Informação? — https://seginfo.com.br/2019/04/12/dicas-de-como-iniciar-na-carreira-de-seguranca-da-informacao/
2.Curso Extra — Segurança de TI: Defesa Contra as Artes Obscuras do Mundo Digital — https://www.coursera.org/learn/seguranca-de-it
Aula 3–21/08 — Classificação das Ameaças e seus Atributos
Tarefas Básicas
- Artigo — Classification of security threats in information systems — Disponível no Teams
- Artigo — Know Your Enemy — The Social Dynamics of Hacking — Disponível no Teams
- Artigo — The Cyber Wild West — https://www.thecipherbrief.com/column_article/the-cyber-wild-west
- Texto — Ameaças (ABIN) — https://www.gov.br/abin/pt-br/acesso-a-informacao/acoes-e-programas/PNPC/ameacas
- Exercício 2/12 — Disponível no Teams da Disciplina
Tarefas Complementares
- Livro 1 — CyBOK KA Adversarial Behaviours — Somente a seção 1 — Disponível no Teams
- Livro 2 — Who is the Opponent? (Ross Anderson) — Disponível no Teams
- Artigo — From Ransomware to DDoS: Guide to Cyber Threat Actors — How, Why, and Who Threat Actors Choose to Attack — https://www.flashpoint-intel.com/blog/guide-to-cyber-threat-actors
- Palestra — Inteligência de Ameaças: Como aprimorar a detecção e resposta a ataques — https://speakerdeck.com/nicholsjasper/inteligencia-de-ameacas-como-aprimorar-a-deteccao-e-resposta-a-ataques
- Artigo — A Short History of “Hack” — https://www.newyorker.com/tech/annals-of-technology/a-short-history-of-hack
Aula 4–28/08 —Gestão de Riscos de Segurança da Informação
Tarefas Básicas
- Artigo 1 — Gestão da Segurança da Informação (Prefácio e Capítulo 1 — Sociedade do Conhecimento) — Disponível no Teams
- Artigo 2 — Incentives and cyber-security — https://webcache.googleusercontent.com/search?q=cache:BJApkQq1vmwJ:https://www.economist.com/leaders/2016/12/20/incentives-need-to-change-for-firms-to-take-cyber-security-more-seriously
- Artigo 3 — The New Religion of Risk Management — https://hbr.org/1996/03/the-new-religion-of-risk-management
- Estudo de Caso — Web Services em IB (3/12) — Disponível no Teams
- Questionário (4/12) — Disponível no Teams
Tarefas Complementares
- Artigo Científico 1 — Why Information Security is Hard — An Economic Perspective — https://www.cl.cam.ac.uk/~rja14/Papers/econ.pdf
- Livro 1 — Gestão da Segurança da Informação — Marcos Sêmola — https://www.amazon.com.br/Gestão-segurança-informação-Marcos-Sêmola/dp/8535271783
- Artigo 4 — Desafio aos Deuses: a Fascinante História do Risco — https://fernandonogueiracosta.wordpress.com/2010/02/06/desafio-aos-deuses-a-fascinante-historia-do-risco/
Aula 5–04/09 — Organização, Processos e Padrões de Segurança da Informação
Tarefas Básicas
- Documento 1 — PSI (Política de Segurança da Informação) do Nubank — https://nubank.com.br/contrato/politica-seguranca/
- Documento 2 — Política de Segurança da Informação DASA — https://bkt-sa-east-1-cms-2-assets-prd.s3.amazonaws.com/dasa/wp-content/uploads/2021/04/politica-publica-de-seguranca-da-informacao.pdf
- Padrão 1 — Seções 3 até 4.2.5 do documento “ISO 27000 — Overview and Vocabulary” — Disponível no Teams
- Artigo 1 — 5 benefícios do alinhamento de processos com padrões de segurança — https://www.welivesecurity.com/br/2017/06/16/beneficios-alinhamento-padroes-seguranca/
- Artigo 2 –13 questões sobre a Lei de Proteção de dados pessoais — https://cryptoid.com.br/protecao-de-dados/13-questoes-sobre-a-lei-de-protecao-de-dados-pessoais/
- Questionário 5/12 — Disponível no Teams
Tarefas Complementares
- Guia Técnico 1 — CIS v8 Implementation Groups — https://www.cisecurity.org/controls/implementation-groups
- Coletânea 1 — Legislações nacionais relacionadas a SI — https://www.portaldaprivacidade.com.br/legislacao-brasileira/
- Cartilha de Segurança para Internet — Fascículo sobre Proteção de Dados — https://cartilha.cert.br/fasciculos/protecao-de-dados/fasciculo-protecao-de-dados.pdf
- Documento 3 — Seções 5 (Políticas de segurança da informação) e 6 (Organização da segurança da informação) do Projeto de Revisão da ISO 27002 — Disponível no Teams
- Artigo 3 — The Biggest Cybersecurity Threats Are Inside Your Company — https://hbr.org/2016/09/the-biggest-cybersecurity-threats-are-inside-your-company
Aula 6–11/09— Aula 6 — Fatores Humanos em Segurança da Informação
Tarefas Básicas
- Leitura 1 — Phishing — https://br.malwarebytes.com/phishing/
- Leitura 2 — Cartilha Cert.BR — Privacidade — https://cartilha.cert.br/fasciculos/privacidade/fasciculo-privacidade.pdf
- Artigo 1 — The Meanest Email You Ever Wrote, Searchable on the Internet — http://webcache.googleusercontent.com/search?q=cache%3Ahttps%3A%2F%2Fwww.theatlantic.com%2Ftechnology%2Farchive%2F2015%2F09%2Forganizational-doxing-ashley-madison-hack%2F403900%2F
- Vídeo 1 — Playlist Não seja esse cara (Trend Micro) — 5 vídeos https://www.youtube.com/playlist?list=PLcaWiSBV1nWq8EgRBXdLWlaiw73ZGXUOw
- Questionário 6/12 — Disponível no Teams
Tarefas Complementares
- Livro 1 — A Arte de Enganar — https://www.amazon.com.br/Arte-Enganar-Kevin-D-Mitnick/dp/8534615160
- Livro 2 — No Tech Hacking — https://www.amazon.com.br/No-Tech-Hacking-Engineering-Dumpster/dp/1597492159
- Livro 3 — CYBOK Human Factors Knowledge Area — https://www.cybok.org/media/downloads/Human_Factors_issue_1.0.pdf
Aula 7–18/09 — Segurança nas Operações e Comunicações
Tarefas Básicas
- Leitura 1 — Red Hat — O que há de diferente na segurança em nuvem? — https://www.redhat.com/pt-br/topics/security/cloud-security
- Leitura 2 — Ransomware — https://br.malwarebytes.com/ransomware/
- Leitura 3 — Códigos Maliciosos — https://cartilha.cert.br/fasciculos/codigos-maliciosos/fasciculo-codigos-maliciosos.pdf
- Artigo 1 — An Introduction to Intrusion-Detection Systems — Disponível no Teams
- Vídeo 1 — Silicon Plagues (Mikko Hypponen) — https://www.youtube.com/watch?v=TGxTn-b5jvg
- Tarefa 7/12 — Disponível no Teams
Tarefas Complementares
- Vídeo 2 — Malware Fundamentals (Kaspersky) — https://www.youtube.com/watch?v=afzkoB_lYNk
- Leitura 4 — NotPetya — https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
- Leitura 5 — Threat Detection (detecção de ameaças) — https://www.rapid7.com/fundamentals/threat-detection/
- Leitura 6 — Malware Gallery — https://www.phrozen.io/malware-gallery/
Aula 8–02/10 — Correção da Prova e Hack The Box
Aula 9–09/10— Controle de Acesso
Tarefas Básicas
- Leitura 1 — Fascículo Autenticação — CERT.BR — https://cartilha.cert.br/fasciculos/autenticacao/fasciculo-autenticacao.pdf
- Leitura 2 — O que é ABAC para a AWS? — https://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/introduction_attribute-based-access-control.html
- Leitura 3 — O que é Credential stuffing — https://blog.axur.com/pt/o-que-e-credential-stuffing-a-nova-tendencia-do-cibercrime
- Tarefa 8/12 — Disponível no Teams
Tarefas Complementares
- Acesso 1 — Monitoramento de Credenciais — https://monitor.firefox.com/
- Leitura 4 — Stealers, vendas de acesso e ransomware: cadeia de suprimentos e modelos de negócio no cibercrime — https://www.sidechannel.blog/stealers-vendas-de-acesso-e-ransomware-cadeia-de-suprimentos-e-modelos-de-negocio-no-cibercrime/
- Leitura 5 — Protocolos AAA — https://pt.wikipedia.org/wiki/Protocolos_AAA
Aula 10–16/10 — Criptografia e Esteganografia
Tarefas Básicas
- Leitura 1 — O que eu deveria saber sobre criptografia? — https://ssd.eff.org/pt-br/module/o-que-eu-deveria-saber-sobre-criptografia
- Leitura 2 — Esteganografia e Ofuscação — https://www.gta.ufrj.br/ensino/eel878/redes1-2016-1/16_1/esteganografia/
- Tarefa 9/12 — Disponível no Teams
Tarefas Complementares
- Leitura 3 — Classificação de Algoritmos Esteganográficos — https://speakerdeck.com/nicholsjasper/classificacao-de-algoritmos-esteganograficos
- Leitura 4 — Aprendendo Criptologia de Forma Divertida — Teams
- Livro — O Livro dos Códigos — Simon Singh
- Filme — O jogo da imitação (2014)
Aula 11— Segurança na Aquisição, Desenvolvimento e Manutenção de Sistemas
Tarefas Básicas
- Leitura 1 — Gary McGraw — What is Software Security — https://www.synopsys.com/blogs/software-security/software-security/
- Leitura 2 — O que é a segurança da cadeia de suprimentos de software? — https://www.redhat.com/pt-br/topics/security/what-is-software-supply-chain-security
- Leitura 3 — IBliss — Guia dos testes de invasão — https://www.ibliss.com.br/guia-dos-testes-de-invasao-da-ibliss/
- Leitura 4— Conviso — O papel do desenvolvedor em segurança de aplicações — https://blog.convisoappsec.com/o-papel-do-desenvolvedor-em-seguranca-de-aplicacoes/
Tarefas Complementares
- Leitura 5— Net of Insecurity series — Parte 1 — A flaw in the design — https://www.washingtonpost.com/sf/business/2015/05/30/net-of-insecurity-part-1/
- Artigo 1— Security Requirements and the SQUARE Methodology — https://resources.sei.cmu.edu/asset_files/TechnicalNote/2010_004_001_15197.pdf
- Palestra 1 — The Unexpected Attack Vector: Software Updaters — https://www.slideshare.net/cisoplatform7/the-unexpected-attack-vector-software-updaters
Aula 12–Segurança de Software e Ciclo de Desenvolvimento Seguro
Tarefas Básicas
- Leitura 1 — Melhores práticas de desenvolvimento seguro no Azure — https://docs.microsoft.com/pt-br/azure/security/develop/secure-dev-overview
- Leitura 2 — Como Desenvolver Aplicações Com Segurança? Um guia inicial — https://blog.convisoappsec.com/como-desenvolver-aplicacoes-com-seguranca-um-guia-inicial/
- Leitura 3 — Memo from Bill Gates (Trustworthy Computing) — https://news.microsoft.com/2012/01/11/memo-from-bill-gates/
- Palestra 1 — Vulnerabilidades em Aplicações Web e SDLC (Congresso de Tecnologia da Fatec-SP de 2013) — Disponível no Teams
- Questionário aulas 11 e 12 (tarefa 10/12) — Disponível no Teams
Tarefas Complementares
- Leitura 4 — Do Waterfall ao DevSecOps — https://blog.caelum.com.br/do-waterfall-ao-devsecops/
- Leitura 5 — Por que usar software no fim da vida útil é uma má ideia — https://www.softwareone.com/pt-br/blog/artigos/2021/08/03/por-que-usar-software-no-fim-da-vida-util-e-uma-ma-ideia
- Leitura 6 — Lições aprendidas após 5 anos de criação de software seguro — Disponível no Teams
- Artigo 1 — Wagner, Brandolt e Rossi — Processo de desenvolvimento de software seguro através da identificação de níveis de segurança — https://san.uri.br/sites/anais/Stin/trabalhos/03.pdf
Aula 13 — Modelagem de Ameaças
Tarefas Básicas
- Artigo Científico 1 — Threat Modeling as a Basis for Security Requirements — Disponível no Microsoft Teams
- Leitura 1 — Attack Trees — https://www.schneier.com/academic/archives/1999/12/attack_trees.html
- Questionário aula 13 (tarefa 11/12) — Disponível no Teams
Tarefas Complementares
- Leitura 2 — Uma introdução à modelagem de ameaças — https://ssd.eff.org/pt-br/module/avaliando-seus-riscos
- Leitura 3 — Modelagem de ameaças de segurança — Entenda a importância — http://blog.conviso.com.br/entenda-a-importancia-da-modelagem-de-ameacas-de-seguranca/
- Livro 1 — Adam Shostack — Threat Modeling: Designing for Security — https://www.amazon.com.br/Threat-Modeling-Designing-Security-English-ebook/dp/B00IG71FAS
Aula 14 — OWASP e Arquitetura de Segurança
Tarefas Básicas
- Leitura 1 — Saltzer and Schroeder — The Protection of Information in Computer Systems — Somente a seção A. Considerations Surrounding the Study of Protection — http://web.mit.edu/Saltzer/www/publications/protection/Basic.html
- Vídeo 1 — AWS re:Invent 2015 — How Should We All Think About Security? — https://www.youtube.com/watch?v=fCH4r3s4THQ
- Questionário aula 14 (tarefa 12/12) — Disponível no Teams
Tarefas Complementares
- Leitura 2 — GAT Digital — Gestão de Segurança de Aplicações com OWASP ASVS — https://www.gat.digital/blog/seguranca-de-aplicacoes-com-owasp-asvs/
- Leitura 3 — OWASP. Top 10 Proactive Controls v3.0 — https://www.owasp.org/images/b/bc/OWASP_Top_10_Proactive_Controls_V3.pdf — Pág 1–9
- Leitura 4 — Plínio Ventura — Acoplamento e Coesão — https://www.ateomomento.com.br/acoplamento-e-coesao/
- Leitura 5 — Conviso — Afinal, o que é Arquitetura de Segurança? — https://blog.convisoappsec.com/afinal-o-que-e-arquitetura-de-seguranca/
- Livro 1 — Robert “RSnake” Hansen — Detecting Malice — https://www.detectingmalice.com/