Escrito por Geovana & Guisso
Curiosidade do mês#
Em junho de 2013, Edward Snowden, ex-funcionário da NSA e da CIA, tornou públicos documentos confidenciais que revelaram programas de vigilância em massa da NSA. Este evento histórico, ocorrido no mês de junho, destacou a importância da cibersegurança e provocou debates globais sobre privacidade, vigilância e as éticas da vigilância governamental, levando a uma maior consciência das ameaças à segurança online e à proteção de informações privadas.
Protegendo microsserviços nativos da nuvem com controle de acesso baseado em função usando Keycloak#
O artigo discute a implementação de controle de acesso baseado em funções (RBAC) usando o Keycloak para proteger microserviços nativos em nuvem, abordando estratégias de segurança e integração de identidade e acesso em ambientes distribuídos.
Threat Modelling Cloud Platform Services by Example: Google Cloud Storage#
Essa publicação do NCC Group discute a importância da modelagem de ameaças ao avaliar a segurança dos serviços de plataforma em nuvem, com foco específico no Google Cloud Storage. Ele fornece exemplos de ameaças comuns, juntamente com as melhores práticas de segurança para mitigar esses riscos.
OWASP Top 10 para Large Language Model Applications#
É um projeto da OWASP (Open Web Application Security Project) que identifica e destaca as principais vulnerabilidades de segurança em aplicações que utilizam modelos de linguagem de grande escala, como o GPT-3. O OWASP Top 10 é uma lista das principais ameaças que os desenvolvedores devem estar cientes ao construir e implementar essas aplicações. O objetivo é fornecer orientações e práticas recomendadas para mitigar essas ameaças e melhorar a segurança das aplicações baseadas em modelos de linguagem de grande escala.
Ransomware como serviço: entendendo a economia do cibercrime e como se proteger#
É um artigo publicado pelo blog de segurança da Microsoft que explora o conceito de Ransomware como serviço (RaaS), que é um modelo em que criminosos cibernéticos oferecem software malicioso e infraestrutura para outros executarem ataques de ransomware. O artigo aborda como o RaaS funciona, suas implicações no cibercrime e fornece orientações sobre como se proteger contra esses ataques, como manter backups atualizados, usar soluções de segurança confiáveis e educar os usuários sobre a conscientização em segurança cibernética.
Nosy Parker: Encontre segredos em dados textuais#
Mantido pela empresa Praetorian, “Nosy Parker” é uma ferramenta de código aberto que usa técnicas de aprendizado de máquina para detectar segredos codificados no código-fonte. A ferramenta realiza uma análise automatizada em busca de dados confidenciais, como senhas, chaves de API, tokens de acesso e outras informações sensíveis. O objetivo é ajudar a identificar e corrigir essas exposições de dados, fortalecendo a segurança de seus projetos.
Banco de Dados de Padrões de Segredos#
O projeto “Secrets Patterns Database” contém um banco de dados de padrões para detectar segredos sensíveis em código-fonte. Esses padrões ajudam a identificar senhas, chaves de API e outras informações confidenciais expostas acidentalmente em repositórios. É uma ferramenta útil para aumentar a segurança e promover boas práticas de proteção de segredos em desenvolvimento de software.
ReDoS “vulnerabilidades” e incentivos desalinhados#
Esse texto, publicado no blog yossarian.net, explora as vulnerabilidades de ReDoS em expressões regulares e como elas podem ser exploradas por atacantes. Também aborda os incentivos desalinhados entre desenvolvedores, agentes de segurança e proprietários de sistemas, que podem levar à falta de atenção às vulnerabilidades ReDoS. O objetivo do artigo é aumentar a conscientização sobre essas vulnerabilidades e promover uma melhor colaboração entre as partes envolvidas para mitigar riscos de segurança.