book

Segurança contínua inteligente

Name: Segurança contínua inteligente
Author: Marc Hornbeek
ISBN: 9798341660502

by Marc Hornbeek

June 2025

Intermediate to advanced

316 pages

11h 20m

Portuguese (Portugal, Brazil)

O'Reilly Media, Inc.

Read now

Unlock full access

Prefácio
Prefácio
Convenções utilizadas neste livroAprendizagem em linha da O'ReillyComo contactar-nosAgradecimentos
1. Introdução à Segurança Contínua Inteligente
Definição e visão geralHistória do DevSecOps e do SecOpsDefinição de Segurança Contínua InteligenteImportância da segurança contínua inteligente no cenário de ameaças modernoCenário de risco DevSecOpsCenário de risco do SecOpsCenário de risco da segurança contínuaCenário regulamentar e de conformidadeCenário regulamentarCenário de conformidadeAuditorias de segurança e conformidade em tempo realResumo
2. Do DevSecOps e SecOps à Segurança Contínua Inteligente
Limitações das práticas separadas de DevSecOps e SecOpsLimitações da abordagem DevSecOps à segurança do softwareLimitações da abordagem SecOps à segurança do softwareA necessidade de uma abordagem integrada de segurança contínuaSegurança contínua: Uma solução integradaMitigando explorações com ML para segurança contínuaFerramentas de IA para monitorização e resposta contínuasA IA generativa e o seu papel vital na segurança contínua inteligenteResumo
3. Fundamentos da segurança contínua inteligente
Princípios e conceitos fundamentaisSegurança incorporada em todas as fasesMitigação de ameaças proactiva e orientada por IAAutomatização e escalabilidadeColaboração unificada entre equipasMelhoria contínua e adaptabilidadeO que a IA pode fazer pela segurança contínuaDeteção e Prevenção Proactiva de AmeaçasAutomatização do fluxo de trabalho de segurançaResposta a incidentes em tempo realInteligência de ameaças melhoradaApoio à monitorização contínuaAprendizagem e melhoria adaptativasColaboração entre equipasConclusãoLimitações e armadilhas da IA e da segurança contínuaQualidade e enviesamento dos dadosConfiança excessiva na automatizaçãoFalsos positivos e fadiga de alertasRequisitos de custos e recursosFalta de transparência nas decisões sobre IAVulnerabilidade a ataques adversáriosPreocupações éticas e de privacidadeConclusãoNíveis de maturidade da Segurança Contínua InteligenteConceitos do Nível de Maturidade da Segurança ContínuaNível 1: Inicial (Ad Hoc e Imprevisível)Nível 2: Gerido (definido a nível de projeto)Nível 3: Definido (padronizado em toda a organização)Nível 4: Gerido quantitativamente (medido e optimizado)Nível 5: Optimizado (Adaptativo e Melhoria Contínua)Conceitos de segurança contínua inteligenteNível 1: Inicial (Ad Hoc e Imprevisível)Nível 2: Gerido (definido a nível de projeto)Nível 3: Definido (padronizado em toda a organização)Nível 4: Gerido quantitativamente (medido e optimizado)Nível 5: Optimizado (Adaptativo e Melhoria Contínua)Pilares da Prática da Segurança Contínua InteligenteCultura de segurança contínua orientada para a IASensibilização e formação contínuas e inteligentes em matéria de segurançaCiclo de vida da segurança integradaTestes de segurança automatizados e adaptativosInteligência proactiva dos riscos de segurançaResposta inteligente a incidentesMonitorização contínua da segurança e conformidade preditivaCiclos de feedback de segurança e evolução contínuaResumo
4. Capacitar as equipas
Funções e responsabilidadesCentro de Excelência em IAEstratégias de colaboraçãoTopologias de equipa para uma segurança contínua inteligenteTopologias de equipa que funcionamTopologias de equipa a evitarSuperar os desafios da equipaResumo
5. IA generativa e aprendizagem automática para ICS
IA generativa para segurança contínuaAprendizagem automática para segurança contínuaCombina a IA generativa e a aprendizagem automática para uma segurança contínuaTecnologias de IA e ML para uma segurança contínuaGestão segura da cadeia de fornecimento: Salvaguarda de dependênciasAvaliação e seleção de tecnologias de IA para a segurança contínua assistida por IAA importância de uma abordagem metódicaUm processo gradual de avaliação e seleçãoValidar a escolhaConsiderações éticas na avaliação das tecnologias de IA para aplicações de segurançaOs riscos dos erros éticosIncorporação de considerações éticas no processo de avaliaçãoGovernação e responsabilidade: Equilíbrio entre segurança e éticaApoiar as tecnologias de IA nas aplicações de segurançaResumo
6. Modelo de transformação em sete etapas para o ICS
Sete etapas do projeto de transformaçãoPasso 1: Visão da liderançaPasso 2: Alinhamento da equipaEtapa 3: Descoberta e avaliaçãoPasso 4: Mapeamento da soluçãoEtapa 5: RealizaçãoPasso 6: OperacionalizaEtapa 7: ExpansãoPráticas de implementação da transformaçãoO papel do consultor de transformaçãoFerramentas assistidas por IA e modelos gerados por IADiscriminação fase a faseTemas do roteiro de implementação do ICSTema 1 Exemplo: MVP de segurança com IAExemplo do tema 2: Padronização e escalonamentoExemplo do tema 3: Expansão da coberturaTema 4 Exemplo: Otimização e Melhoria ContínuaPorque é que esta abordagem funcionaMacro-fluxos de segurança contínua (Epics)Modelos assistidos por IAMicrofluxos assistidos por IA (Histórias)Armadilhas e desafios comuns: Mantendo as soluções ICSResumo
7. Tecnologias ICS
Estruturas tecnológicas ICSInformações sobre ameaçasGestão de vulnerabilidadesArquitetura Zero TrustGestão de segredosGestão de Identidade e AcessoInfraestrutura imutável como códigoCadeia de fornecimento de software seguroObservabilidade da segurançaEngenharia de deteçãoMonitorização da segurançaTestes de segurança automatizadosConclusãoFerramentas de teste ICSAnálise de composição de softwareTeste estático de segurança de aplicaçõesTeste de segurança de contentoresTeste de segurança de aplicações dinâmicasTeste interativo de segurança de aplicaçõesTeste de FuzzAutomação de testes de penetraçãoAnálise de vulnerabilidadesModelação de ameaçasTeste de segurança da APITeste de segurança CloudTeste de carga para segurançaTeste de injeção de SQLValidação da conformidade de segurançaConclusãoPlataformas de integração ICSPlataformas DIY: Integração ICS personalizadaPlataformas CI/CD: Incorporar a segurança na entrega de softwarePlataformas de gestão do fluxo de valor: Segurança como uma função empresarialPlataformas de orquestração de lançamentos automatizados: Implantações seguras em escalaEngenharia de plataformas: Segurança como uma capacidade de serviçoSIEM: visibilidade centralizada das ameaçasOrquestração, automação e resposta de segurança: Automatização da resposta a incidentesConclusãoPainéis de controlo ICSRequisitos do ICS DashboardSoluções e práticas recomendadas do ICS DashboardDesafios, armadilhas e soluções do ICS DashboardExemplo do mundo real: O ataque do MOVEit RansomwareFerramentas de governação da tecnologia ICSPráticas de governaçãoDesafios da governaçãoFerramentas de transformação da tecnologia ICSDefinição dos requisitos e prioridades da solução tecnológica ICSSeleção de soluções tecnológicas ICSMonitorização e operação do desempenho da solução tecnológica ICSSoluções tecnológicas ICS sustentáveis e em evoluçãoResumo
8. Aplicações do mundo real e casos de utilização
Grandes empresas com equipas de DevSecOps e SecOps isoladasPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança das grandes empresasFornecedores de software separados dos seus clientesPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança para fornecedores e clientes de softwareInstituições governamentais e militares em que os fornecedores de software estão separados das aplicações finaisPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança para ambientes governamentais e militaresSepara os fabricantes de software de rede dos operadores de sistemas de redePreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas ICS melhoram a segurança do software de rede e dos operadores de redeOs fornecedores de serviços Cloud e a necessidade de práticas de ICSPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança dos CSPsInstituições financeiras que lidam com transacções em grande escalaPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança das instituições financeirasSectores da saúde e farmacêuticoPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança dos sectores da saúde e farmacêuticoOperadores de infra-estruturas críticas: Energia, serviços públicos e transportesPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas ICS melhoram a segurança das infra-estruturas críticasAs vantagens do ICS para a segurança das infra-estruturas críticasPlataformas de retalho e comércio eletrónicoPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança para o retalho e o comércio eletrónicoEquipas DevOps em pipelines CI/CD com elevada frequência de implementaçãoPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança dos pipelines de CI/CDAs vantagens do ICS para equipas DevOps de alta velocidadeOrganizações com requisitos regulamentares e de conformidade rigorososPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança das organizações regulamentadasAmbientes multicloud e de nuvem híbridaPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança para ambientes multicloud e de Cloud híbridaCargas de trabalho de IA e ML em ambientes sensíveis à segurançaPreocupações de segurança nas práticas típicas de DevSecOps e SecOpsOrganizações do mundo real que correspondem a este caso de usoComo as práticas de ICS melhoram a segurança para cargas de trabalho de IA/MLResumo

9. Métricas para uma segurança contínua inteligente
Uma visão panorâmica das métricas ICSMétricas de resultados comerciaisMétricas de eficácia do ICSMétricas de transformação e melhoria do ICSMétricas de exposição a riscos e ameaçasMétricas de Conformidade e GovernaçãoAlinhar as métricas com os objetivos do ICSMétricas de resultados comerciaisMétricas de eficácia do ICSMétricas de transformação e melhoria do ICSMétricas de exposição a riscos e ameaçasMétricas de Conformidade e GovernaçãoMedição do ICS ObservabilidadeA importância da observabilidade do ICSRequisitos de observabilidade em todas as categorias de métricas ICSConceber uma estratégia de observabilidade ICSExemplos reais de conceção de observabilidade ICSArquitetura de Segurança ICSO Modelo de Arquitetura de Segurança ICS de Cinco CamadasCaso de uso: Dashboards personalizados para categorias de métricas ICSManter uma arquitetura fiável de métricas ICSTácticas para garantir a sustentabilidade, a fiabilidade e a adaptabilidadeAs consequências de não conseguir manter uma arquitetura sustentável de métricas ICSEscolha de métricas ICSArmadilhas a evitar na escolha de métricas ICSMelhores práticas para uma seleção eficaz de métricas ICSResumo
10. O futuro da segurança contínua inteligente
Tendências emergentes na segurança contínua inteligentePessoas: Tendências emergentesProcessa: Tendências emergentesTecnologia: Tendências emergentesPrepara-te para as tendências futurasPrepara-te para as tendências das pessoasPreparação para as tendências de mudança de processoPrepara-te para as tendências tecnológicasResumoConsiderações finais
Apêndice. Recursos para aprenderes mais
LivrosSítios WebArtigos, blogues, livros electrónicos e webinarsCursos e certificações
Glossário de termos de segurança contínua
Índice
Sobre o autor

Overview

Este trabalho foi traduzido com recurso a IA. Agradecemos o teu feedback e comentários: translation-feedback@oreilly.com

Com a IA nas mãos dos cibercriminosos, os controles de segurança e os mecanismos de resposta tradicionais estão rapidamente a tornar-se obsoletos. A Segurança Contínua Inteligente (ICS) ajuda as organizações a manterem-se à frente dos adversários, substituindo defesas ultrapassadas por uma estratégia coesa que unifica a segurança em todo o ciclo de vida do software.

O autor Marc Hornbeek descreve os princípios, as estratégias e as implementações reais da ICS, incluindo como quebrar silos entre DevSecOps e SecOps, como medir e otimizar a eficácia da segurança e como a IA pode transformar tudo, desde operações de segurança até conformidade regulatória. Profissionais de segurança, engenheiros de DevOps, líderes de TI e tomadores de decisão aprenderão como avançar em direção a defesas adaptáveis e com autorrecuperação para acompanhar os riscos emergentes.

Alinhe as estratégias de segurança com os objetivos organizacionais
Implementar segurança contínua assistida por IA em todas as equipas
Selecione e integre ferramentas com IA para deteção de vulnerabilidades, verificações de conformidade automatizadas e resposta a incidentes em tempo real
Faça a transição de uma segurança reativa para uma proativa para se adaptar continuamente às ameaças emergentes
Aplicar as melhores práticas para mitigar riscos e evitar violações

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Sistemas de produção de aprendizagem automática

Publisher Resources

ISBN: 9798341660502

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills