book

Segurança contínua inteligente

by Marc Hornbeek

June 2025

Intermediate to advanced

316 pages

11h 20m

Portuguese (Portugal, Brazil)

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Convenções utilizadas neste livroAprendizagem em linha da O'ReillyComo contactar-nosAgradecimentos
Definição e visão geralHistória do DevSecOps e do SecOpsDefinição de Segurança Contínua InteligenteImportância da segurança contínua inteligente no cenário de ameaças modernoCenário de risco DevSecOpsCenário de risco do SecOpsCenário de risco da segurança contínuaCenário regulamentar e de conformidadeCenário regulamentarCenário de conformidadeAuditorias de segurança e conformidade em tempo realResumo
Limitações das práticas separadas de DevSecOps e SecOpsLimitações da abordagem DevSecOps à segurança do softwareLimitações da abordagem SecOps à segurança do softwareA necessidade de uma abordagem integrada de segurança contínuaSegurança contínua: Uma solução integradaMitigando explorações com ML para segurança contínuaFerramentas de IA para monitorização e resposta contínuasA IA generativa e o seu papel vital na segurança contínua inteligenteResumo
Princípios e conceitos fundamentaisSegurança incorporada em todas as fasesMitigação de ameaças proactiva e orientada por IAAutomatização e escalabilidadeColaboração unificada entre equipasMelhoria contínua e adaptabilidadeO que a IA pode fazer pela segurança contínuaDeteção e Prevenção Proactiva de AmeaçasAutomatização do fluxo de trabalho de segurançaResposta a incidentes em tempo realInteligência de ameaças melhoradaApoio à monitorização contínuaAprendizagem e melhoria adaptativasColaboração entre equipasConclusãoLimitações e armadilhas da IA e da segurança contínuaQualidade e enviesamento dos dadosConfiança excessiva na automatizaçãoFalsos positivos e fadiga de alertasRequisitos de custos e recursosFalta de transparência nas decisões sobre IAVulnerabilidade a ataques adversáriosPreocupações éticas e de privacidadeConclusãoNíveis de maturidade da Segurança Contínua InteligenteConceitos do Nível de Maturidade da Segurança ContínuaNível 1: Inicial (Ad Hoc e Imprevisível)Nível 2: Gerido (definido a nível de projeto)Nível 3: Definido (padronizado em toda a organização)Nível 4: Gerido quantitativamente (medido e optimizado)Nível 5: Optimizado (Adaptativo e Melhoria Contínua)Conceitos de segurança contínua inteligenteNível 1: Inicial (Ad Hoc e Imprevisível)Nível 2: Gerido (definido a nível de projeto)Nível 3: Definido (padronizado em toda a organização)Nível 4: Gerido quantitativamente (medido e optimizado)Nível 5: Optimizado (Adaptativo e Melhoria Contínua)Pilares da Prática da Segurança Contínua InteligenteCultura de segurança contínua orientada para a IASensibilização e formação contínuas e inteligentes em matéria de segurançaCiclo de vida da segurança integradaTestes de segurança automatizados e adaptativosInteligência proactiva dos riscos de segurançaResposta inteligente a incidentesMonitorização contínua da segurança e conformidade preditivaCiclos de feedback de segurança e evolução contínuaResumo
Funções e responsabilidadesCentro de Excelência em IAEstratégias de colaboraçãoTopologias de equipa para uma segurança contínua inteligenteTopologias de equipa que funcionamTopologias de equipa a evitarSuperar os desafios da equipaResumo
IA generativa para segurança contínuaAprendizagem automática para segurança contínuaCombina a IA generativa e a aprendizagem automática para uma segurança contínuaTecnologias de IA e ML para uma segurança contínuaGestão segura da cadeia de fornecimento: Salvaguarda de dependênciasAvaliação e seleção de tecnologias de IA para a segurança contínua assistida por IAA importância de uma abordagem metódicaUm processo gradual de avaliação e seleçãoValidar a escolhaConsiderações éticas na avaliação das tecnologias de IA para aplicações de segurançaOs riscos dos erros éticosIncorporação de considerações éticas no processo de avaliaçãoGovernação e responsabilidade: Equilíbrio entre segurança e éticaApoiar as tecnologias de IA nas aplicações de segurançaResumo
Sete etapas do projeto de transformaçãoPasso 1: Visão da liderançaPasso 2: Alinhamento da equipaEtapa 3: Descoberta e avaliaçãoPasso 4: Mapeamento da soluçãoEtapa 5: RealizaçãoPasso 6: OperacionalizaEtapa 7: ExpansãoPráticas de implementação da transformaçãoO papel do consultor de transformaçãoFerramentas assistidas por IA e modelos gerados por IADiscriminação fase a faseTemas do roteiro de implementação do ICSTema 1 Exemplo: MVP de segurança com IAExemplo do tema 2: Padronização e escalonamentoExemplo do tema 3: Expansão da coberturaTema 4 Exemplo: Otimização e Melhoria ContínuaPorque é que esta abordagem funcionaMacro-fluxos de segurança contínua (Epics)Modelos assistidos por IAMicrofluxos assistidos por IA (Histórias)Armadilhas e desafios comuns: Mantendo as soluções ICSResumo
Estruturas tecnológicas ICSInformações sobre ameaçasGestão de vulnerabilidadesArquitetura Zero TrustGestão de segredosGestão de Identidade e AcessoInfraestrutura imutável como códigoCadeia de fornecimento de software seguroObservabilidade da segurançaEngenharia de deteçãoMonitorização da segurançaTestes de segurança automatizadosConclusãoFerramentas de teste ICSAnálise de composição de softwareTeste estático de segurança de aplicaçõesTeste de segurança de contentoresTeste de segurança de aplicações dinâmicasTeste interativo de segurança de aplicaçõesTeste de FuzzAutomação de testes de penetraçãoAnálise de vulnerabilidadesModelação de ameaçasTeste de segurança da APITeste de segurança CloudTeste de carga para segurançaTeste de injeção de SQLValidação da conformidade de segurançaConclusãoPlataformas de integração ICSPlataformas DIY: Integração ICS personalizadaPlataformas CI/CD: Incorporar a segurança na entrega de softwarePlataformas de gestão do fluxo de valor: Segurança como uma função empresarialPlataformas de orquestração de lançamentos automatizados: Implantações seguras em escalaEngenharia de plataformas: Segurança como uma capacidade de serviçoSIEM: visibilidade centralizada das ameaçasOrquestração, automação e resposta de segurança: Automatização da resposta a incidentesConclusãoPainéis de controlo ICSRequisitos do ICS DashboardSoluções e práticas recomendadas do ICS DashboardDesafios, armadilhas e soluções do ICS DashboardExemplo do mundo real: O ataque do MOVEit RansomwareFerramentas de governação da tecnologia ICSPráticas de governaçãoDesafios da governaçãoFerramentas de transformação da tecnologia ICSDefinição dos requisitos e prioridades da solução tecnológica ICSSeleção de soluções tecnológicas ICSMonitorização e operação do desempenho da solução tecnológica ICSSoluções tecnológicas ICS sustentáveis e em evoluçãoResumo
Grandes empresas com equipas de DevSecOps e SecOps isoladasPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança das grandes empresasFornecedores de software separados dos seus clientesPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança para fornecedores e clientes de softwareInstituições governamentais e militares em que os fornecedores de software estão separados das aplicações finaisPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança para ambientes governamentais e militaresSepara os fabricantes de software de rede dos operadores de sistemas de redePreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas ICS melhoram a segurança do software de rede e dos operadores de redeOs fornecedores de serviços Cloud e a necessidade de práticas de ICSPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança dos CSPsInstituições financeiras que lidam com transacções em grande escalaPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança das instituições financeirasSectores da saúde e farmacêuticoPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança dos sectores da saúde e farmacêuticoOperadores de infra-estruturas críticas: Energia, serviços públicos e transportesPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas ICS melhoram a segurança das infra-estruturas críticasAs vantagens do ICS para a segurança das infra-estruturas críticasPlataformas de retalho e comércio eletrónicoPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança para o retalho e o comércio eletrónicoEquipas DevOps em pipelines CI/CD com elevada frequência de implementaçãoPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança dos pipelines de CI/CDAs vantagens do ICS para equipas DevOps de alta velocidadeOrganizações com requisitos regulamentares e de conformidade rigorososPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança das organizações regulamentadasAmbientes multicloud e de nuvem híbridaPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança para ambientes multicloud e de Cloud híbridaCargas de trabalho de IA e ML em ambientes sensíveis à segurançaPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança para cargas de trabalho de IA/MLResumo

Uma visão panorâmica das métricas ICSMétricas de resultados comerciaisMétricas de eficácia do ICSMétricas de transformação e melhoria do ICSMétricas de exposição a riscos e ameaçasMétricas de Conformidade e GovernaçãoAlinhar as métricas com os objetivos do ICSMétricas de resultados comerciaisMétricas de eficácia do ICSMétricas de transformação e melhoria do ICSMétricas de exposição a riscos e ameaçasMétricas de Conformidade e GovernaçãoMedição do ICS ObservabilidadeA importância da observabilidade do ICSRequisitos de observabilidade em todas as categorias de métricas ICSConceber uma estratégia de observabilidade ICSExemplos reais de conceção de observabilidade ICSArquitetura de Segurança ICSO Modelo de Arquitetura de Segurança ICS de Cinco CamadasCaso de uso: Dashboards personalizados para categorias de métricas ICSManter uma arquitetura fiável de métricas ICSTácticas para garantir a sustentabilidade, a fiabilidade e a adaptabilidadeAs consequências de não conseguir manter uma arquitetura sustentável de métricas ICSEscolha de métricas ICSArmadilhas a evitar na escolha de métricas ICSMelhores práticas para uma seleção eficaz de métricas ICSResumo
Tendências emergentes na segurança contínua inteligentePessoas: Tendências emergentesProcessa: Tendências emergentesTecnologia: Tendências emergentesPrepara-te para as tendências futurasPrepara-te para as tendências das pessoasPreparação para as tendências de mudança de processoPrepara-te para as tendências tecnológicasResumoConsiderações finais
LivrosSítios WebArtigos, blogues, livros electrónicos e webinarsCursos e certificações

Overview

Este trabalho foi traduzido com recurso a IA. Agradecemos o teu feedback e comentários: translation-feedback@oreilly.com

Com a IA nas mãos dos cibercriminosos, os controles de segurança e os mecanismos de resposta tradicionais estão rapidamente a tornar-se obsoletos. A Segurança Contínua Inteligente (ICS) ajuda as organizações a manterem-se à frente dos adversários, substituindo defesas ultrapassadas por uma estratégia coesa que unifica a segurança em todo o ciclo de vida do software.

O autor Marc Hornbeek descreve os princípios, as estratégias e as implementações reais da ICS, incluindo como quebrar silos entre DevSecOps e SecOps, como medir e otimizar a eficácia da segurança e como a IA pode transformar tudo, desde operações de segurança até conformidade regulatória. Profissionais de segurança, engenheiros de DevOps, líderes de TI e tomadores de decisão aprenderão como avançar em direção a defesas adaptáveis e com autorrecuperação para acompanhar os riscos emergentes.

Alinhe as estratégias de segurança com os objetivos organizacionais
Implementar segurança contínua assistida por IA em todas as equipas
Selecione e integre ferramentas com IA para deteção de vulnerabilidades, verificações de conformidade automatizadas e resposta a incidentes em tempo real
Faça a transição de uma segurança reativa para uma proativa para se adaptar continuamente às ameaças emergentes
Aplicar as melhores práticas para mitigar riscos e evitar violações