2. $ whoami
Leone Tolesano a.k.a. @fallc0nn
• Entusiasta em segurança da informação;
• Cientista amador maluco J;
• Formado pelo IFES Campus Serra;
• Arquiteto de Sistemas e Consultor Sênior em
Segurança da Informação, especializado em
soluções SIEM, Security Analytics, Forense
de rede, Threat Intelligence e (Security)
Big Data, Análise de Comportamento, Desvio
Padrão, Técnicas de Anti-fraude e análise
preditiva com Machine Learning e I.A.
3. DISCLAIMER
• Eu não falo pelo(s) meu(s) empregador(es). Todas
as opiniões e informações ditas aqui são de
minha responsabilidade apenas.
• Por favor sinta-se a vontade para me interromper
a qualquer momento se tiver alguma pergunta
relevante ao que estamos conversando.
• Muito do que será discutido hoje vem de
observações e experiências minhas de mercado,
portanto além de obviamente não serem verdades
universais, também são um escopo limitado da
visão de um único profissional.
5. OBJETIVOS
• Uma conversa franca sobre mercado de segurança,
minha perspectiva, como têm sido comigo.
• Uma tentativa de orientar quem está com vontade
de investir na carreira de segurança.
• Incentivar o trabalho dos hackers mundo afora,
pesquisadores, cientistas, e citar a importância
e relevância de algumas das principais áreas.
11. O MERCADO EMERGENTE COM MAIOR GAP
Fonte: https://www.forbes.com/sites/jeffkauflin/2017/03/16/the-fast-growing-job-with-a-
huge-skills-gap-cyber-security/#2e69c9a35163
Déficit de mão de obra de
2 milhões profissionais até
2019.
14. NICE CYBERSECURITY WORKFORCE FRAMEWORK
Fonte: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-181.pdf
Securely
Provision
Operate
and
Maintain
Oversee
and Govern
Protect and
Defend
Analyze Investigate
Risk
Management
Software
Development
System
Architecture
System
Requirements
Planning
Test and
Evaluation
Software
Development
Technology
R&D
Data
Administration
Knowledge
Management
Customer Service
and Technical
Support
System
Administration
Systems
Analysis
Network
Services
Legal Advice
and
Advocacy
Training,
Education and
Awareness
Cybersecurity
Management
Executive
Cyber
Leadership
Program/Project
Manager and
Acquisition
Strategic
Planning and
Policy
Cyber
Defense
Analysis
Cyber Defense
Infrastructure
Support
Incident
Response
Vulnerability
Assessment and
Management
Threat
Analysis
Exploitation
Analysis
All-Source
Analysis
Cyber
Investigation
Digital
Forensics
Language
Analysis
Targets
Collect
and
Operate
Collection
Operations
Cyber
Operational
Planning
Cyber
Operations
15. ALGUNS PERFIS PROFISSIONAIS
• Operacional:
• Profissional de infra em TI (Firewall,
IPS, AV, etc)
• Desenvolvedor/Tester
• Pentester
• Operador de SOC/NOC e/ou CSIRT (Resposta
à Incidente etc)
• Especialista em produto(s) de S.I.
• Arquiteto de Soluções e/ou Consultor
Pré-Vendas
16. ALGUNS PERFIS PROFISSIONAIS
• Administrativo:
• Auditoria e Processos
• Legislação
• Análise de Riscos
• Cargos gerenciais (Coordenador, Gerente,
Diretor, CSO, etc)
17. PRINCIPAIS DESAFIOS PROFISSIONAIS
• Idioma: O inglês hoje é fundamental.
• Novas tecnologias e ameaças, estar sempre
estudando.
• Pensar coletivamente no ecossistema que
está inserido, desde o projeto quanto as
pessoas... desde o DBA, o desenvolvedor, o
analista de infraestrutura, as áreas de
negócio, os tomadores de decisão.
• Ser multidisciplinar, incluindo soft
skills. Acompanhar novas legislações,
compliances, auditoria, experiência do
usuário final.
19. ESTUDE. MUITO.
• Tenha muita vontade de aprender e perca o medo
de errar e pedir ajuda.
• Descubra o que você ama fazer. Só assim o estudo
será um prazer, e não um sacrifício.
• Aprenda a trabalhar sob pressão. Isso é normal.
• Formação acadêmica de base ajuda demais.
• Certificações profissionais são bem-vindas e
existem várias que realmente valem a pena.
• Estudar jogando é muito menos cansativo. Dê uma
chance à gametização do conhecimento. Procure
sobre CTFs (Capture the Flags).
• “Feliz aquele que transfere o que sabe e aprende
o que ensina.” (Cora Coralina)
20. ESTUDE. MUITO. É SÉRIO.
• Procure acompanhar sites, blogs, revistas, livros,
canais no YouTube.
• Participe de grupos, listas de discussões, fóruns.
• A comunidade muitas vezes pode ser troll e não há
“líderes”. Não espere atitude politicamente correta.
Aprenda a lidar com isso.
• Aplique segurança no seu dia-a-dia. Se hoje você já
trabalha com TI e quer migrar para segurança, comece
mudando seus hábitos, aplicando e evangelizando
cultura de segurança ao seu redor.
• Trabalhe como voluntário em eventos de segurança, em
projetos open source.
• Interaja com a área de segurança da sua empresa.
• “Eu tive sorte, mas só depois que comecei a treinar 10
horas por dia.” (Tiger Woods).
21. ESTUDE. MUITO. MAS TENHA CRITÉRIO.
• Infelizmente existem muita informação errada na Internet. Desde
publicações sem aprofundamento científico até oportunistas com
“cursos” (exemplo) sem qualidade técnica nenhuma (e/ou pior,
disseminando informação errada mesmo).
• Mesmo profissionais de renome no mercado podem errar. Ou ainda,
ele(a) pode ser especialista num assunto A, mas sua opinião num
assunto B pode ser rasa. Como você confia na credibilidade do
profissional, o perigo é tomar automaticamente tudo como verdade.
• Pessoas erram. Seja gentil mas não tenha medo de apontar os
erros. Bons profissionais irão agradecer e aprender com isso.
• O filósofo René Descartes em suas obras introduz a dúvida, não
como a recusa a qualquer coisa, mas como possibilidade de
suspeita, para que não tenhamos uma visão superficial ou banal,
de uma forma metódica, pensada, para então sim construir
certezas.
23. SEM DÚVIDAS. NUNCA DESISTA.
• Alguns dos melhores profissionais que tive a honra de
trabalhar têm formações diversas, como Filosofia, Física,
Eng. Mecânica etc.
• Muito conhecimento que você inicialmente pode achar inútil
pode complementar muito. Por exemplo, uma pessoa da área
acadêmica normalmente está acostumada e possui seu próprio
método de organização de pesquisa, facilitando aprendizado
constante que a área exige.
• “O insucesso é apenas uma oportunidade para recomeçar de
novo com mais inteligência” (Henry Ford)
• “Você aprende mais na falha do que jamais irá aprender no
sucesso.” (Jay Z)
• “Tenho pena de todos que me venceram, pois não puderam
aprender e se desenvolver como eu” (Desconhecido *)
* Não consegui achar o autor. Se alguém souber o autor original, por favor me comunique J
26. SUGESTÃO: ÁRVORE DE ESTUDO
A
B
D
Fonte: Palestra “A Praise for Hackers” (Rodrigo Rubira Branco, 2015)
Início do paper
Assunto essencial para entender “A”
C Assunto essencial para entender “B”
Assunto legal, mas não essencial.
Ver depois.
27. CERTO, MAS O QUE PRIORIZAR?
Fonte: Palestra “A Praise for Hackers” (Rodrigo Rubira Branco, 2015)
• Alguns dos melhores times de futebol do mundo,
estatisticamente falando, possuem excelente posse de bola,
condicionamento físico e cometem pouquíssimos erros de
passe.
• Sempre estude, reforce, reestude os fundamentos. Mantenha
eles afiados.
• O modelo da Máquina de Turing foi escrito em 1936, antes
do computação digital existir, e permitia que fosse
possível matematicamente provar o que pode ser resolvido
computacionalmente ou não.
• Chomsky criou na década de 50 um modelo hierárquico de
linguagens.
• TCP/IP é da década de 80.
• Toda essência da arquitetura de PC moderna também é J
29. AGRADECIMENTOS
Muito do que foi discutido nessa apresentação veio
inspirado e/ou copiado de palestras de dois profissionais
que me autorizaram à utilizar seus conteúdos.
1)Rodrigo Rubira Branco (@BSDaemon), Chief Security
Researcher (Intel) e especialista em Segurança da
Informação, em especial sua palestra no Roadsec 2015:
https://www.youtube.com/watch?v=P5oFOazwjHQ
e
https://github.com/rrbranco/Presentations/blob/master/Roa
dsec2015-Keynote.pdf
2) Anchises Moraes (@anchisesbr), Cyber Culture
Evangelist (C6bank) em sua palestra:
https://www.slideshare.net/anchises/carreira-em-segurana-
da-informao