Elementos da segurança da informação

Basicamente galera temos os 3 elementos :

* Visibilidade - e a parte da segurança que define a oportunidade que um atacante vê sabe ou pode recolher para melhor assim obter acesso ao seu ataque,um esforço compromentendo assim a segurança, se o atacante não pode ver isso ele não tem nenhum outro meio ou razao para fazer o tal ataque

* Acesso - o acesso e um meio de interatividade,que pode ser uma resposta a um serviço ou um pedido,estudos comprovam que convidando alguem que mal conheça você esta fornecendo acesso ela para um propicio roubo, mas e importante fornecermos acesso a um determinado serviço,durante um pentest porque procuramos um alvo com uma porta aberta , pois assim e mais facil de observarmos os serviços, versão e tudo mais a que esta atrelado naquela execução.
Um exemplo mais simples seria uma visita no caso a sua casa de uma pessoa, você so vai fornecer acesso a ela na sala,banheiro e lugares mais publicos, os lugares mais privados como quarto, ou aquela moita que você gosta de desenbolar de vez em quando com um muezinha e tal ...ahaahahah... essa e mais restrito "so para descontrair" negando assim o acesso a ela nesses lugares

* Confiança - essa e parte da segurança que e mais chata, para galera de sec, quando você entra em um projeto somos os caras mais chatos da TI ..ahahhah.. confiança um exemplo um aplicação web pode interagir com um banco de dados e um servidor sem exigir um autenticação especifica?, então o atacante entra em cena e ve na oportunidade de ter acesso e intereção com a aplicação, a maioria dos admin vai dizer nao confie em usuarios, devemos ter um limite de confiança entre o sistema e qualquer pessoa que esta usando o mesmo para não termos dores de cabeça.

______________

 Valeu galera

Otimo Post muito bem explicado, Parabéns.

C40S escreveu:Otimo Post muito bem explicado, Parabéns.

tamo junto mano \o/

Pow cara... tu é muito fera

Gostaria de contribuir se possível:

Como programador que ainda vou ser, vejo muita gente falando que desativa notificações de erros em softwares quando vão para produção. Mas acho isso muito errado! A desculpa é de não mostrar os erros para os usuários para não ficar feio. Mas convenhamos, se for um usuário que mexa com segurança, não vai adiantar nada esconder, portanto, acho melhor tratá-los antes de deixar online.

E também, é meio óbvio, mas tem de lembrar que Acesso e Confiança estão mais ligado entre si que com o terceiro ponto. Pois é a partir da Confiança que você tem no usuário, que vai dar certo Acesso a ele... portanto, leis de Privilégios em softwares, sistemas e qualquer outra coisa é muito importante!!

Att.

isso e o que mais vejo mano,desenvolvedores não terem Security Development Lifecycle (SDL) acham que e simplesmente programar e pronto, quase sair no fight com coordenador da computação,vc mesmo viu o e-mail ....ahaahahh .... achou um falha tenta mitigar, desativar que e melhor caso, se não pode desativar a aplicação tente contornar com path e etc, antes de colocar em produção homologue a fins de teste para assim depois não ter problema.

E acesso e confiança e imprencidivel para meio cooporativo e para o usuario em questão,falo d + ....ahahaahh.. valeu mano

Exatamente... o ruim é quando o programador tem a teoria do egocentrismo, que nunca quer está errado... conheço alguns assim, e tendo evitar conversa para não pegar ar facilmente kkkkk

é nóis cara