Extraclasse SEGINF - 1S2023

Tarefas Extraclasse da disciplina de SEGINF (ADS) — 1S2023 da FATEC-SP

Índice de Aulas

1. Aula 1 – Apresentação e Contextualização
2. Aula 2 – Fundamentos de Segurança da Informação
3. Aula 3 – Classificação das Ameaças e seus Atributos
4. Aula 4 – Gestão de Riscos de Segurança da Informação
5. Aula 5 – Padrões, Organização e Processos de Segurança da Informação
6. Aula 6 – Fatores Humanos em Segurança da Informação
7. Aula 7 – Segurança nas Operações e Comunicações
8. Aula 8 — Controle de Acesso
9. Aula 9 — Criptografia e Esteganografia
10. Aula 10 — Segurança na Aquisição, Desenvolvimento e Manutenção de Sistemas
11. Aula 11 — Segurança de Software e Ciclo de Desenvolvimento Seguro
12. Aula 12 — Modelagem de Ameaças e Árvores de Ataque
13. Aula 13 — OWASP e Arquitetura de Segurança de Software

Aula 1 – Apresentação e Contextualização

Tarefas Básicas

1.Notícia — Invasões cibernéticas ameaçam os negócios — https://www.valor.com.br/financas/5552593/invasoes-ciberneticas-criminosas-ameacam-os-negocios

2.Notícia — Davos: crise geopolítica torna ‘catástrofe’ cibernética iminente — https://www.cisoadvisor.com.br/davos-crise-geopolitica-torna-catastrofe-cibernetica-iminente/

3.Artigo — Além da Revolução da Informação — Peter Drucker — Disponível no Teams

Tarefas Complementares

1.Artigo — O que é a 4ª revolução industrial — e como ela deve afetar nossas vidas — https://www.bbc.com/portuguese/geral-37658309

2.Filme — Snowden: Herói ou Traidor (2016) — https://www.imdb.com/title/tt3774114/

3.Notícia — Ucrânia diz ter provas do envolvimento russo em ciberataque — https://www.dw.com/pt-br/ucr%C3%A2nia-diz-ter-provas-do-envolvimento-da-r%C3%BAssia-em-ciberataque/a-60440864

Aula 2 – 27/02/23 – Fundamentos de Segurança da Informação

Tarefas Básicas

1.Vídeos — The Security Mindset — https://www.computer.org/publications/tech-news/computing-conversations/bruce-schneier-the-security-mindset

2.TED Talk — The security mirage — https://www.ted.com/talks/bruce_schneier_the_security_mirage

3.Exercício 1/10 — Disponível no Teams da Disciplina

Tarefas Complementares

1.Artigo — Como iniciar a carreira de Segurança da Informação? — https://seginfo.com.br/2019/04/12/dicas-de-como-iniciar-na-carreira-de-seguranca-da-informacao/

2.Curso Extra — Segurança de TI: Defesa Contra as Artes Obscuras do Mundo Digital — https://www.coursera.org/learn/seguranca-de-it

Aula 3–06/03/23 —Classificação das Ameaças e seus Atributos

Tarefas Básicas

1. Artigo — Classification of security threats in information systems — Disponível no Teams
2. Artigo — Know Your Enemy — The Social Dynamics of Hacking — Disponível no Teams
3. Artigo — The Cyber Wild West — https://www.thecipherbrief.com/column_article/the-cyber-wild-west

Tarefas Complementares

1. Livro — CyBOK KA Adversarial Behaviours — Somente a seção 1 — Disponível no Teams
2. Artigo — From Ransomware to DDoS: Guide to Cyber Threat Actors — How, Why, and Who Threat Actors Choose to Attack — https://www.flashpoint-intel.com/blog/guide-to-cyber-threat-actors
3. Palestra — Inteligência de Ameaças: Como aprimorar a detecção e resposta a ataques — https://speakerdeck.com/nicholsjasper/inteligencia-de-ameacas-como-aprimorar-a-deteccao-e-resposta-a-ataques
4. Artigo — A Short History of “Hack” — https://www.newyorker.com/tech/annals-of-technology/a-short-history-of-hack

Aula 4–13/03/23 — Gestão de Riscos de Segurança da Informação

Tarefas Básicas

1. Artigo 1 — Gestão da Segurança da Informação (Prefácio e Capítulo 1 — Sociedade do Conhecimento) — Disponível no Teams
2. Artigo 2 — Incentives and cyber-security — https://webcache.googleusercontent.com/search?q=cache:BJApkQq1vmwJ:https://www.economist.com/leaders/2016/12/20/incentives-need-to-change-for-firms-to-take-cyber-security-more-seriously
3. Artigo 3 — The New Religion of Risk Management — https://hbr.org/1996/03/the-new-religion-of-risk-management
4. Estudo de Caso — Web Services em IB + Exercício 2/10 —Disponível no Teams

Tarefas Complementares

1. Artigo Científico 1 — Why Information Security is Hard — An Economic Perspective — https://www.cl.cam.ac.uk/~rja14/Papers/econ.pdf
2. Livro 1 — Gestão da Segurança da Informação — Marcos Sêmola — https://www.amazon.com.br/Gestão-segurança-informação-Marcos-Sêmola/dp/8535271783
3. Artigo 4 — Desafio aos Deuses: a Fascinante História do Risco — https://fernandonogueiracosta.wordpress.com/2010/02/06/desafio-aos-deuses-a-fascinante-historia-do-risco/

Aula 5–20/03/23 — Padrões, Organização e Processos de Segurança da Informação

Tarefas Básicas

1. Padrão 1 — Seções 3 até 4.2.5 do documento “ISO 27000 — Overview and Vocabulary” — Disponível no Teams
2. Artigo 1 — 5 benefícios do alinhamento de processos com padrões de segurança — https://www.welivesecurity.com/br/2017/06/16/beneficios-alinhamento-padroes-seguranca/
3. Cartilha de Segurança para Internet — Fascículo sobre Proteção de Dados — https://cartilha.cert.br/fasciculos/protecao-de-dados/fasciculo-protecao-de-dados.pdf
4. Artigo 2 — 13 questões sobre a Lei de Proteção de dados pessoais — https://cryptoid.com.br/protecao-de-dados/13-questoes-sobre-a-lei-de-protecao-de-dados-pessoais/
5. Documento 2 — PSI (Política de Segurança da Informação) do Nubank — https://nubank.com.br/contrato/politica-seguranca/
6. Exercício 3/10 — Disponível no Teams

Tarefas Complementares

1. Guia Técnico 1 — CIS v8 Implementation Groups — https://www.cisecurity.org/controls/implementation-groups
2. Coletânea 1 — Legislações nacionais relacionadas a SI — https://www.portaldaprivacidade.com.br/legislacao-brasileira/
3. Documento 3 — Seções 5 (Políticas de segurança da informação) e 6 (Organização da segurança da informação) do Projeto de Revisão da ISO 27002 —Disponível no Teams
4. Artigo 3 — The Biggest Cybersecurity Threats Are Inside Your Company — https://hbr.org/2016/09/the-biggest-cybersecurity-threats-are-inside-your-company
5. Documento 4 — Política de Segurança da Informação DASA — https://bkt-sa-east-1-cms-2-assets-prd.s3.amazonaws.com/dasa/wp-content/uploads/2021/04/politica-publica-de-seguranca-da-informacao.pdf

Aula 6–27/03/23 — Aula 6 — Fatores Humanos em Segurança da Informação

Tarefas Básicas

1. Leitura 1 — Phishing — https://br.malwarebytes.com/phishing/
2. Leitura 2 — Cartilha Cert.BR — Privacidade — https://cartilha.cert.br/fasciculos/privacidade/fasciculo-privacidade.pdf
3. Vídeo 1 — Playlist Não seja esse cara (Trend Micro) — 5 vídeos https://www.youtube.com/playlist?list=PLcaWiSBV1nWq8EgRBXdLWlaiw73ZGXUOw
4. Exercício 4/10 — Disponível no Teams

Tarefas Complementares

1. Livro 1 — A Arte de Enganar — https://www.amazon.com.br/Arte-Enganar-Kevin-D-Mitnick/dp/8534615160
2. Livro 2 — No Tech Hacking — https://www.amazon.com.br/No-Tech-Hacking-Engineering-Dumpster/dp/1597492159
3. Livro 3 — CYBOK Human Factors Knowledge Area — https://www.cybok.org/media/downloads/Human_Factors_issue_1.0.pdf

Aula 7–03/04/23 — Segurança nas Operações e Comunicações

Tarefas Básicas

1. Leitura 1 — Red Hat — O que há de diferente na segurança em nuvem? — https://www.redhat.com/pt-br/topics/security/cloud-security
2. Leitura 2 — Ransomware — https://br.malwarebytes.com/ransomware/
3. Leitura 3 — Códigos Maliciosos — https://cartilha.cert.br/fasciculos/codigos-maliciosos/fasciculo-codigos-maliciosos.pdf
4. Artigo 1 — An Introduction to Intrusion-Detection Systems — Disponível no Teams
5. Exercício 5/10 — Disponível no Teams

Tarefas Complementares

1. Vídeo 1 — Silicon Plagues (Mikko Hypponen) — https://www.youtube.com/watch?v=TGxTn-b5jvg
2. Vídeo 2 — Malware Fundamentals (Kaspersky) — https://www.youtube.com/watch?v=afzkoB_lYNk
3. Leitura 4 — NotPetya — https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
4. Leitura 5 — Threat Detection (detecção de ameaças) — https://www.rapid7.com/fundamentals/threat-detection/

Aula 8–24/04/23 — Controle de Acesso

Tarefas Básicas

1. Leitura 1 — Fascículo Autenticação — CERT.BR — https://cartilha.cert.br/fasciculos/autenticacao/fasciculo-autenticacao.pdf
2. Leitura 2 — O que é ABAC para a AWS? — https://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/introduction_attribute-based-access-control.html
3. Leitura 3 — O que é Credential stuffing — https://blog.axur.com/pt/o-que-e-credential-stuffing-a-nova-tendencia-do-cibercrime
4. Exercício 6/10 — Disponível no Teams

Tarefas Complementares

1. Acesso 1 — Monitoramento de Credenciais — https://monitor.firefox.com/
2. Leitura 4 — Stealers, vendas de acesso e ransomware: cadeia de suprimentos e modelos de negócio no cibercrime — https://www.sidechannel.blog/stealers-vendas-de-acesso-e-ransomware-cadeia-de-suprimentos-e-modelos-de-negocio-no-cibercrime/
3. Leitura 5 — Protocolos AAA — https://pt.wikipedia.org/wiki/Protocolos_AAA

Aula 9–08/05/23 — Criptografia e Esteganografia

Tarefas Básicas

1. Leitura 1 — O que eu deveria saber sobre criptografia? — https://ssd.eff.org/pt-br/module/o-que-eu-deveria-saber-sobre-criptografia
2. Leitura 2 — Esteganografia e Ofuscação — https://www.gta.ufrj.br/ensino/eel878/redes1-2016-1/16_1/esteganografia/
3. Exercício 7/10 — Disponível no Teams

Tarefas Complementares

1. Leitura 3— Classificação de Algoritmos Esteganográficos — https://speakerdeck.com/nicholsjasper/classificacao-de-algoritmos-esteganograficos
2. Leitura 4 — Aprendendo Criptologia de Forma Divertida — Teams
3. Livro — O Livro dos Códigos — Simon Singh
4. Filme — O jogo da imitação (2014)

Aula 10–15/05/23 — Segurança na Aquisição, Desenvolvimento e Manutenção de Sistemas

Tarefas Básicas

1. Leitura 1 — Gary McGraw — What is Software Security — https://www.synopsys.com/blogs/software-security/software-security/
2. Leitura 2 — O que é a segurança da cadeia de suprimentos de software? — https://www.redhat.com/pt-br/topics/security/what-is-software-supply-chain-security
3. Leitura 3 — IBliss — Guia dos testes de invasão — https://www.ibliss.com.br/guia-dos-testes-de-invasao-da-ibliss/

Tarefas Complementares

1. Leitura 4 — Net of Insecurity series — Parte 1 — A flaw in the design — https://www.washingtonpost.com/sf/business/2015/05/30/net-of-insecurity-part-1/
2. Leitura 5 — Security Requirements and the SQUARE Methodology — https://resources.sei.cmu.edu/asset_files/TechnicalNote/2010_004_001_15197.pdf
3. Leitura 6 — The Unexpected Attack Vector: Software Updaters — https://www.slideshare.net/cisoplatform7/the-unexpected-attack-vector-software-updaters

Aula 11–22/05/23 — Segurança de Software e Ciclo de Desenvolvimento Seguro

Tarefas Básicas

1. Leitura 1 — Melhores práticas de desenvolvimento seguro no Azure — https://docs.microsoft.com/pt-br/azure/security/develop/secure-dev-overview
2. Leitura 2 — Como Desenvolver Aplicações Com Segurança? Um guia inicial — https://blog.convisoappsec.com/como-desenvolver-aplicacoes-com-seguranca-um-guia-inicial/
3. Leitura 3 — Do Waterfall ao DevSecOps — https://blog.caelum.com.br/do-waterfall-ao-devsecops/
4. Questionário aulas 11 e 12 — Microsoft Teams

Tarefas Complementares

1. Leitura 4 — Por que usar software no fim da vida útil é uma má ideia — https://www.softwareone.com/pt-br/blog/artigos/2021/08/03/por-que-usar-software-no-fim-da-vida-util-e-uma-ma-ideia
2. Leitura 5 — Lições aprendidas após 5 anos de criação de software seguro — https://pt.slideshare.net/nicholsjasper/computao-confivel-lies-aprendidas-pela-microsoft-sobre-desenvolvimento-seguro-57470179
3. Artigo 1 — Wagner, Brandolt e Rossi — Processo de desenvolvimento de software seguro através da identificação de níveis de segurança — https://san.uri.br/sites/anais/Stin/trabalhos/03.pdf

Aula 12–29/05/23 — Modelagem de Ameaças e Árvores de Ataque

Tarefas Básicas

1. Artigo Científico 1 — Threat Modeling as a Basis for Security Requirements — Disponível no Microsoft Teams
2. Leitura 1 — Attack Trees — https://www.schneier.com/academic/archives/1999/12/attack_trees.html
3. Leitura 2 — Uma introdução à modelagem de ameaças — https://ssd.eff.org/pt-br/module/avaliando-seus-riscos
4. Leitura 3 — Memo from Bill Gates — https://news.microsoft.com/2012/01/11/memo-from-bill-gates/
5. Questionário aula 12 — Disponível no Microsoft Teams

Tarefas Complementares

1. Leitura 4 — Modelagem de ameaças de segurança — Entenda a importância — http://blog.conviso.com.br/entenda-a-importancia-da-modelagem-de-ameacas-de-seguranca/
2. Livro 1 — Adam Shostack — Threat Modeling: Designing for Security — https://www.amazon.com.br/Threat-Modeling-Designing-Security-English-ebook/dp/B00IG71FAS

Aula 13–05/06/23 — OWASP e Arquitetura de Segurança de Software

Tarefas Básicas

1. Leitura 1 — Saltzer and Schroeder — The Protection of Information in Computer Systems — Somente a seção A. Considerations Surrounding the Study of Protection — http://web.mit.edu/Saltzer/www/publications/protection/Basic.html
2. Leitura 2 — GAT Digital — Gestão de Segurança de Aplicações com OWASP ASVS — https://www.gat.digital/blog/seguranca-de-aplicacoes-com-owasp-asvs/
3. Vídeo 1 — AWS re:Invent 2015 — How Should We All Think About Security? — https://www.youtube.com/watch?v=fCH4r3s4THQ
4. Questionário aula 13 — Disponível no Microsoft Teams

Tarefas Complementares

1. Leitura 3 — OWASP. Top 10 Proactive Controls v3.0 — https://www.owasp.org/images/b/bc/OWASP_Top_10_Proactive_Controls_V3.pdf — Pág 1–9
2. Leitura 4 — Plínio Ventura — Acoplamento e Coesão — https://www.ateomomento.com.br/acoplamento-e-coesao/
3. Leitura 5— Conviso — Afinal, o que é Arquitetura de Segurança? — https://blog.convisoappsec.com/afinal-o-que-e-arquitetura-de-seguranca/
4. Livro 1 — Robert “RSnake” Hansen —Detecting Malice — https://www.detectingmalice.com/