MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

MVP–Um titulo que devo a todos

MVPLogo Hoje recebi um e-mail com a minha nomeação como MVP (Microsoft Most Valuable Professional).

Segundo o e-mail que recebi o MVP é um titulo levando em conta o que o profissional disponibilizou e representa para a comunidade e mercado.

Eu ainda não sei bem o que isto representará daqui para frente, mas sei o que me fez recebe-lo.
Sendo assim não mereci, vocês me indicaram !!!!

Sou já veterano na área técnica, meu primeiro emprego em 1987 foi como digitador e programador ainda com Cobol em computadores CP700 da Prológica, passando pelo QBasic, Dbase II, Clipper, Fox Pro, VB3 até o VB6, Java e .NET. Na época em que iniciei não havia a divisão Infra/Dev nas pequenas e médias empresas e com isso também tive a oportunidade de conhecer Novell, Lantastic e a família Windows Server. Este ano, em 12 de agosto de 2010, completei 10 anos como MCT.

Por outro lado, a área de comunidades eu era cético e acreditava ser coisa de novatos e algo para se fazer no tempo livre e que eu nunca faria nada sem receber. GRANDE ENGANO !!!!!!!

Descobri nestes últimos 2 anos que comunidades são mais fortes do que partidos políticos, que ultrapassam barreiras linguísticas e geográficas, que mobilizam centenas de profissionais.

Posso agradecer a pessoas pelos seus nomes, mas tenho certeza que com a minha memória de peixe para nomes vou esquecer e ser injusto com alguns. Então agradeço ao pessoal do DPE da Microsoft, ao pessoal que organizou o HCL que foi meu primeiro evento voluntário voltado a comunidades e aos que organizaram e apresentaram comigo os eventos por webcast.

Espero poder corresponder ao que esperam de alguém que recebe o titulo de MVP e me coloco a disposição a esta mesma comunidade que me ajudou a receber este titulo.

Posted: out 01 2010, 13:44 by msincic | Comentários (8) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Comunidades | MVP

Videos: Certificações Microsoft: O que os recrutadores precisam saber?

O Emilio Mansur legendou uma série de videos em ingles da Microsoft para falar sobre o valor das certificações Microsoft:

Vídeo 01: Introdução http://www.youtube.com/watch?v=gGx4UcS-PrA
Vídeo 02: Sobre a Certificação http://www.youtube.com/watch?v=1fnN1Sktuno
Vídeo 03: Como funciona http://www.youtube.com/watch?v=2XaHy4JhSNU
Vídeo 04: Benefícios de treinamento http://www.youtube.com/watch?v=QYsUS6h0Cow
Vídeo 05: Benefícios de recrutamento http://www.youtube.com/watch?v=v3uShk88G4g

Posted: out 01 2010, 13:05 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Certificação

Análise: Oracle e Sun-O que esperar? - Atualizado em 11/11

Nota: Desde que publiquei este post a primeira vez em 15/06/2010 vários desdobramentos ocorreram. Eu estou linkando outras fontes e destacando as atualizações.

Desde que a Sun Microsystems comprou o MySQL que comento com meus amigos e alunos que isso parecia uma manobra comercial (http://www.mysql.com/news-and-events/sun-to-acquire-mysql.html). O motivo é que a Sun já amargava prejuízo a um bom tempo e esta compra não parecia lhe trazer benefícios. Passado um ano começamos a ver a movimentação da IBM e da Microsoft para comprar a Sun, que acabou sendo vendida para a Oracle em abril/2009 (http://info.abril.com.br/noticias/negocios/oracle-compra-sun-por-us-7-4-bilhoes-20042009-5.shl).

A Oracle não é uma empresa que tem o costume de manter produtos que compra e sim agregar os colaboradores. Tanto é que produtos como PeopleSoft, BEA e JD Edwards já tiveram seus programadores desviados e os produtos estão ficando desatualizados. Sendo assim, qual impressão tenho desde este evento, e o que está se confirmando?

Oracle declarada inimiga do Open Source (11/11)

Nos ultimos dias se avolumou os problemas com a Oracle o os integrantes de programas Open Source:

Oracle começa a mostrar o que quer com a Sun

A Oracle quer ter seu próprio hardware e software. Isso pode ser notado claramente na noticia de que a Oracle deu indícios de que irá “fechar” o Open Solaris neste sábado, dia 14/8 (http://computerworld.uol.com.br/negocios/2010/08/16/oracle-vai-abandonar-o-pacote-opensolaris/) incluindo referencias a que irá proteger seus direitos autorais com as distribuições sobre o CDDL, e note o tom sugestivo do comunicado "”…não podemos permitir que concorrentes criem recursos ligados a partir de nossas inovações, antes de nossa organização.”

A frase acima é importantíssima por vários motivos. Primeiro, demonstra que a Oracle não tem a mínima intenção de evoluir produtos que são gratuitos, o que inclui o Java e o MySQL. Segundo, a Oracle não tem interesse em compartilhar com as comunidades suas inovações, já que é uma empresa voltada ao lucro.

Outros indícios disso são o fato de que a Oracle na quinta dia 12/8 processou o Google por utilizar uma variação “não autorizada” do Java no Android (http://computerworld.uol.com.br/negocios/2010/08/13/oracle-processa-google-pelo-uso-de-patentes-java-no-android/). A alegação é que o Java e suas VMs são baseadas em distribuição abertas, mas isso não dá direito a que se criem novas engines utilizando o que seria “…diretamente e repetidamente infringiu a propriedade intelectual ligada ao Java…”. Ou seja, usar o Java tudo bem, mas criar novas funções a partir do Java é visto como uma violação.

Mais uma reviravolta foi quando a biblioteca ODF que converte documentos feita em Java pela Sun passou a ser cobrada no começo do ano (http://www.guj.com.br/posts/list/204350.java), preocupando quem utilizava esta importante ferramenta.

E agora, o que podemos esperar?

Java – Seu futuro é incerto como o de Santo Cristo na voz do Legião Urbana. Dois problemas muito sérios existem:

  1. O Java não é GPL puro já que a JCP pode barrar qualquer coisa, com a intenção de impedir que fossem feitas “bagunças” nas classes e ficasse uma baderna. Ou seja, qualquer incremento pode ser visto como um “crime” pela Oracle, como está fazendo com o Google (http://forum.datasus.gov.br/viewtopic.php?f=32&t=163)
  2. A Oracle é um empresa monetizada, e até que ponto ela irá manter o Java gratuito (não é e nunca foi aberto), sendo que no momento da compra da Sun o Java foi indicado como o grande desejo da Oracle?   O próprio Goslin declarou nesta quarta (25/8) que já está pensando em formas de manter o Java vivo e que a conferencia JavaOne agora em setembro é o ponto crucial nesta discussão. Mas ele já coloca que para dar certo o movimento tem que começar com clientes da Oracle que fazem diferença monetariamente (http://computerworld.uol.com.br/negocios/2010/01/22/sob-o-controle-da-oracle-futuro-do-java-e-incerto/ e http://computerworld.uol.com.br/tecnologia/2010/08/25/pai-do-java-pressao-pode-fazer-com-que-oracle-mude-postura/)
  3. Atualização em 30/08: Google resolveu se ausentar do JavaOne, maior evento de Java e um dos maiores e mais respeitados eventos dos apoiadores de open source. O motivo declarado pelo Google é que o “processo contra o Google e o código aberto tornou impossível para nós compartilhar livremente nossos pensamentos sobre o futuro do Java e do open source de forma geral”. Com certeza uma afirmação “dolorosa” e expressiva (http://computerworld.uol.com.br/negocios/2010/08/27/google-cancela-presenca-no-javaone-apos-briga-com-a-oracle/)

Java para celulares – Ai reside um problemão. O MIDP e o J2ME são padrões aceitos pelo JCP, mas outros padrões utilizado em alguns celulares da Motorola, Sony Ericsson e outros são customizados como foi feito no Android. O que a Oracle vai fazer?  Se já foi brigar com o “grandão” Google vai poupar os outros?

OpenOffice – A Oracle não irá manter as atualizações tão constantes e deverá deixar grande parte do trabalho para a Novell e IBM, parceiras do projeto. E não duvido que não passe a cobrar versões mais sofisticadas, como acontece com o BROffice e recentemente com o plug-in ODF.
Atualização em 28/09: A Document Foundation se desligou e iniciou um projeto alternativo exatamente por conta da Oracle, conforme o comunicado oficial a imprensa (http://www.documentfoundation.org/contact/tdf_release.pdf), e um dos seus representantes, o famoso Richard Stallman também atribui isso aos movimento da Oracle, mesmo sem dizer o nome da empresa (http://www.documentfoundation.org/supporters/). Veja que os principais mantenedores do OpenOffice estão neste novo projeto, como FSF, Novell, Google, Red Hat, Ubuntu, Gnome e outros.

MySQL – Duvido que a Oracle irá manter um produto que compete com o que ela é de origem. Não sei o que será feito, mas o Oracle Express Edition não está ai para ser um capacho do MySQL.

OpenSolaris – Já está claro o que vai acontecer com este SO.

VirtualBox – É com dor no coração que acredito no mesmo futuro que o OpenOffice, só que mais cedo. Em pouco tempo a equipe será desmontada e o produto irá começar a definhar, a menos que decidam uma versão paga. Já penso em me preparar para outro virtualizador que faça VMs em 64 bits no Windows 7.

Quem é o maior beneficiário disto tudo?

Se alguém falasse que isso tudo está sendo feito pela Microsoft logo diriam que estariam comprando o produto só para prejudicar e depois vender o .NET, mas não é o caso.

Mesmo assim, o maior beneficiário é a Microsoft, por vários motivos. Primeiro é a incerteza do futuro do Java. Segundo que a Oracle, parceira de longa data da HP e IBM, passa a competir com estes no mercado de hardware e SO para servidores. Terceiro que do mesmo capitalismo que acusam a Microsoft a Oracle é mestre. E por fim, tantos odeiam o Larry Elisson quanto odeiam o Bill Gates.

O .Net se firma como uma plataforma confiável para o futuro, a Microsoft poderá receber incentivos para melhorar seus sistemas para competir com os storages pela Dell e IBM. A HP pode contribuir com máquinas para datacenter mais “parrudas” e embutir o Windows como padrão. O SQL Server ganha espaço com a incerteza do que irá acontecer com o MySQL e os custos bem mais altos de licenciamento do Oracle.

As possibilidades são várias, o que resta é esperar para ver o que vai acontecer e torcer para ninguém sair machucado nesta guerra que está só começando. Mas uma certeza já tenho, a Oracle não brinca em serviço e está mostrando qual é a sua intenção.

Posted: set 28 2010, 10:40 by msincic | Comentários (5) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Outros

Embate entre IT PROs e desenvolvedores, como melhorar o relacionamento?


No Community Zone que ocorreu na semana passada estávamos conversando em uma mesa, não vou citar os nomes porque não lembro todos e seria injusto, e chegamos no assunto acima. De um lado da mesa tinhamos alguns IT PROs e do alguns desenvolvedores. Os desenvolvedores já logo criticam o pessoal de Infra pela dificuldade que eles impõe e sempre jogam a culpa nos sistemas e programadores.

Eu atuo nas duas áreas desde que comecei a trabalhar em 1988. Neste época sistema operacional era CPM, rede era multiplexada serial, linguagem era Dbase II que já era o banco de dados também. Desde então tento manter os dois universos, estudo tanto os produtos de rede quanto as linguagem de programação. Posso dizer que está ficando dificil, os produtos se tornaram muito complexos, mas ainda consigo me organizar por estudar a fundo um por vez focando nas mudanças.

Mas enfim, a idéia do post é falar da experiencia de quem a um bom tempo convive nos dois mundos.

O que os desenvolvedores fazem para serem “odiados”?

O principal problema dos profissionais de redes é conseguir monitorar as aplicações. Os desenvolvedores não se interessam muito em como os IT PROs trabalham e não dão os recursos necessários para eles. Algumas coisas simples como métricas, logs e identificação clara de processos já resolveriam muitas discussões.

O que podemos fazer como desenvolvedores para trazer a paz?

Alguns exemplos de recursos que poderiam ser facilmente utilizados pelos desenvolvedores:

  • Na string de conexão com o banco de dados inclua o parametro Application Name para o DBA poder monitorar a aplicação. É um parametro muito simples e extremamente necessário, porque em aplicações é comum utilizar usuários fixos para aplicações e sem o nome não é possivel saber qual sistema está executando aquele comando que gerou locks ou wait times excessivos. Um exemplo de uma string de conexão “bem feita” seria:
    ”Provider=SQLServerOleDB;Server=ABC;Database=DEF;UID=Joao;PWD=1234;Application Name=SISContabil
  • Inclua nos seus aplicativos contadores de performance utilizando os objetos PerformanceCounter e Installer. Estes objetos geram no Performance Monitor do Windows dados que podem ser transformados em gráficos, traces, alertas e logs. O processo para criar um contador é muito simples:
    1. Insira o objeto PerformanceCounter em sua aplicação
    2. Configure o objeto criando uma categoria (CategoryName) e contador (CounterName)
    3. Clique com o botão direito no objeto e escolha Add Installer para que sua aplicaçoes crie no registry do Windows os registros do contador
    4. No seu código ao acessar um banco de dados, por exemplo, utilize o objeto PerformanceCounter com o método Increment para aumentar o valor do contador
  • Gere erros ou alertas de problemas no log de eventos do Windows. Este recurso permitirá aos operadores vasculhar no Event Viewer do Windows problemas que estão ocasionando paradas. Tão útil é este recurso que os IT PROs poderão utilizar produtos como o System Center Operations Manager, NetIQ ou Tivolli para quando um evento acontecer disparar emails de alerta para os administratores, ou melhor ainda, executar scripts que automaticamente resolvem o problema.
    Para fazer isso basta seguir os passos:
    1. Acrescente ao seu aplicativo o objeto EventLog
    2. Defina o nome do Log (Log) que será criado e o nome da aplicação (Source)
    3. Dentro do seu aplicativo utilize o método WriteEntry para passar os parametros que serão gravados no log do SO

Estes são 3 exemplo que poderão ser utilizados e resolverão muitos dos problemas que hoje existem entre estes grupos. Claro que os exemplos estão baseados em aplicações Windows Forms, mas os mesmos objetos podem ser utilizados programaticamente no ASP.NET.

Para que os desenvolvedores tenham uma idéia do porque é importante os passos acima, pense que o IT PRO trabalha com resolução de problemas baseados em comportamento de sintoma-causa-solução e sem contadores de performance e eventos não tem como achar a causa sobrando apenas culpar o programador que “andou mexendo no servidor”.

Outro recurso muito importante que os passos acima possibilitam é criar o Baseline onde os IT PROs tem uma base de alterações no ambiente. Por exemplo, fazem a medição de contadores ao longo de um periodo e quando o servidor apresenta problemas de performance eles comparam os contadores atuais com os de base para descobrir onde estão as variações. Se o desenvolvedor não dá as medições o IT PRO irá verificar os contadores e como nenhum demonstrará o problema, mais um vez o “programador que mexeu aqui” é o culpado.

Outra forma de monitoração com produtos que já foram citados são os Dashboards do SCOM que mostram em grandes monitores o estado de cada servidor por monitorar os eventos no log e o baseline de performance. Se a aplicação não gera nem log nem contadores, o servidor não irá apresentar o erro, resumindo a dizer que o IIS ou o SQL está com tempo de resposta lento quando o problema já se alastrou para todos os subsistemas (disco, processador e memória).

É isso ai, como programador também me incluo entre os que deixam de prover as ferramentas. Mas vamos mudar isso !!!!!

Se alguem lembra de outros métodos para “pacificar” essa apimentada relação, comente.

Posted: set 24 2010, 18:42 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Outros | Visual Studio | Windows

Microsoft Mathematics Add-In for Word and OneNote–Calculos complexos no Word e OneNote

Baixei como curioso este add-in que a Microsoft publicou no email de download e tive uma boa surpresa.

Estes recursos já eram conhecidos no Excel, destacando-se o Solver, e agora é possivel fazer o mesmo no Word e no OneNote. É possivel montar equações simples ou complexas, gerar gráficos senoidais, matrizes e muitos outros.

A barra aparece como Mathematics no Word e no OneNote como a imagem abaixo:

Math-1

Como um breve exemplo eu criei o espaço de equação e digitei uma fórmula simples, como pode ser visto abaixo, e cliquei em Compute –> Calculate na barra que se abre após digitar a fórmula no quadro. Note que na barra temos todos símbolos matemáticos para fazer a equação, alem dos elementos para estruturas:

Math-2

Muito boa a ferramenta, excelente !!!! Baixe em http://www.microsoft.com/downloads/en/details.aspx?FamilyID=CA620C50-1A56-49D2-90BD-B2E505B3BF09

Posted: set 23 2010, 21:41 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Office
Login
Marcelo de Moraes Sincic | All posts by msincic
MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

Auditando acesso a dados sensiveis no Azure SQL Database

A algumas semanas atrás publiquei o artigo sobre o uso do Azure Purview como Ferramenta de Compliance (marcelosincic.com.br) e recebi varios questionamentos sobre auditoria no acesso a dados sensiveis.

Essa é uma duvida comum, pois o Purview identifica dados sensiveis nas diversas fontes de dados mas ele não faz auditoria do acesso a estes dados com log das consultas.

Para auditar o acesso é necessário usar as ferramentas de cada fonte de dados, uma vez que são diferentes. Por exemplo acesso a arquivos ou troca de dados é feito pelo DLP do Office 365 (Information Protection), acesso no SQL Server, etc.

Azure SQL Data Discovery & Classification

Parte da solução do Log Analytics, uma vez configurado terá acesso a estatisticas e detalhamento dos acessos.

As duas primeiras capturas abaixo são o meu painel do LAW com os 6 quadros do Solution onde posso identificar quem foram os IPs, usuários e dados acessados.

01

02

E ao clicar em qualquer um dos quadros terá acesso a consulta que gerou os dados, o que irá incluir um dado muito importante que é o SQL utilizado para acessar os dados, permitindo visualizar em detalhes o que foi visto pela sintaxe do comando!

03

Configurando o SQL Data Discovery & Classification

A configuração do recurso não é complexa e pode ser feita em poucos minutos através do próprio portal do Azure.

04

Existem duas formas de classificar os dados, a primeira é manual. Para isso acesse a opção Classification no painel acima e inclua manualmente as tabelas e respectivas colunas.

A fazer isso irá identificar o grupo e a criticidade dos dados da coluna para serem categorizados.

05

A segunda forma de categorizar dados é utilizando as regras de classificação automáticas que ainda está em Preview mas já é possivel visualizar os resultados.

Clique no botão Configure no painel do recurso e terá acesso aos labels de criticidade, que são os mostrados quando no modo manual incluimos as colunas.

06

Veja que no exemplo acima eu criei a minha própria classificação como “LGPD” e nela inclui alguns nomes de colunas que entendo serem necessárias (apenas como exemplo).

Para criar os conteudos que irão fazer parte automática da classificação, clique no botão Manage information types e verá os tipos já criados e poderá incluir novos tipos. No exemplo abaixo inclui RG, CPF e CNPJ mas poderia ter colocado alias como, por exemplo “raz%soci%” ou outros com coringas (%).

07

Importante: Aqui estamos classificando NOMES DE COLUNAS e não DADOS.

Log Analytics Solutions

Uma vez definidas as regras ou colunas com dados sensiveis, o Log Analytics ao qual o banco de dados está mapeado irá mostrar a solução instalada para gerar os gráficos que inclui no inicio deste artigo.

08

09

Porem, notará que no painel de monitoração irá aparecer uma mensagem dizendo que este tipo de painel (View) está sendo depreciado e que vc deveria criar um Workbook com as consultas. Isso não é necessário fazer agora, pois o recurso da solução irá funcionar normalmente.

Mas se desejar criar um workbook, clique nos quadros de recurso abrindo as consultas e as copie em um workbook customizado.

Utilizando o Azure Application Insigths na Analise de Vulnerabilidades

Uma das ferramentas que são criadas costumeiramente nas aplicações Web hospedadas, o Azure Application Insigths, é subutilizado pelos time de desenvolvimento, operações e segurança.

O que é possivel com o App Insights?

O App Inisgths captura log e executa tarefas para avaliar performance, estabilidade e estatísticas de uso de um web app.

Quando comparado a outras ferramentas comuns com o Google Analytics é importante lembrar que o App Insigths tambem funciona como um APM (App Performance Monitoring) detalhando funções e linhas de código como chamadas a banco de dados, que estão gerando lentidão.

Particularmente gostou muito de algumas funções Smart detection settings que são regras comuns para detecção de tendências ou problema, além de métricas e as Live Metrics como abaixo. Alias, veja que a página de contato já demonstra um ataque simulado na chamada da página de contato:

Performance

Metricas-1

Outra função interessante que utilizo com frequencia em projetos é Avaliabiliy onde podemos criar regras de teste com páginas especificas em diversas localidades do Azure para funcionar como o antigo Global Monitoring Service.

image

O foco neste post não é detalhar as funções de APM, mas sim o uso pelo time de segurança.

Como o App Insights é útil para Segurança?

Primeiro temos o Application Map de onde iniciamos as analises. Basicamente ele é um modelo simples de dependencias e comunicação de dentro e de fora, incluindo as analises de disponibilidade que mostramos anterioremente.

Application Map

Mas ao retirar o WAF para gerar os logs e demonstrar nesse post, o resultado foi muito rápido como pode ser visto no diagrama abaixo.

Veja que os dois endereços na parte inferior são fontes desconhecidas e poderiam ser ataques, enquanto também se vê claramente os rastreadores e robôs do Google e outro site, mas estes não seriam o problema.

Ataque-1

Ao pedir acima os detalhes de pacotes e comunicação trocada com o meu blog com este endereço é possivel ver o que eles tentaram e quantas vezes.

Ataque-2

O passo seguinte é clicarmos em Samples ou na lista do lado direito para analisar as queries que foram recebidas.

Como pode ser visto abaixo, é possivel identificar de onde e como o acesso foi realizado por esse dominio que estava analisando os detalhes.

Ataque-3

Mas vamos deixar rodando por mais tempo com o WAF desativado e veremos com um histórico detalhadas.

Validando ataques reais

Agora com mas tempo exposto (como gostamos de correr risco Smile) o meu blog pôde ter mais dados para serem demonstrados.

Vamos abrindo em detalhes os itens no mapa onde demonstraram as estatisticas de falhas ocoridas.

Na primeira tela de detalhes vemos que só de falhas nas ultimas 24 horas eu recebi mais de 11 mil chamadas!!!

Failures-1

Mas a alegria se transforma em tristeza, ou melhor preocupação, essas 11290 chamadas na verdade fazem parte de um ataque orquestrado por força bruta…

Failures-2

Agora vamos começar a entender melhor o que estão tentando fazer no meu blog. Para isso vamos fazer uma “caminhada” pelos dados do App Insigths.

Do lado esquerdo já podemos ver que os ataques se deram por tentar enviar parametros e listas diretamente nas páginas do blog.

Failures-3

Abrindo mais detalhes consigo descobrir que a fonte do ataque são PCs na China usando um SDK especifico. Em alguns casos é possivel ver tambem o IP e com isso criar uma lista de bloqueio ou potenciais atacantes.

Failures-4

Segue um outro exemplo mais recente que teve quase a mesma origem (outra cidade chinesa), mas com detalhes de sofisticação onde foi utilizado um script e não apenas um SQL Injection:

Failures-4a

Continuando a caminhada posso ver a sequencia que o “usuário” utilizou no meu site, vejam que a lista de tentativas foi grande, e muitas vezes na mesma página:

Failures-5

O ataque na tela acima é um SQL Injection muito comum de ser utilizado em sites web por atacantes. Veja detalhes em CAPEC - CAPEC-66: SQL Injection (Version 3.5) (mitre.org)

O que fazer ao detectar um ataque ao site site ou aplicação?

Em geral os Web Application Firewall seguram boa parte dos ataques que vimos acontecer no meu blog em 24 horas, tanto que eu não fazia ideia antes que poderiam chegar a quase 12 mil em apenas 24 horas.

Mas mesmo que tenha um WAF é importante que monitore constantemente o numero de falhas em páginas para identificar se é um problema de aplicação ou um ataque que está tentando encontrar as vulnerabilidades, como os exemplos acima do meu site.

Outra importante ação é ajudar os desenvolvedores e não aceitar comandos diretamente do POST e muito menos concatenar cadeias de caracteres  dentro de parâmetros e comandos internos.

Utilize tambem uma biblioteca de desenvolvimento robusta, por exemplo no meu teste de exposição não tive o blog invadido pois o próprio .NET já possui filtros para evitar comandos enviados diretamente no POST ou URL.

Como um recurso mais sofisticado para ataques direcionados, veja a opção Create Work Items onde poderá criar automações, por exemplo barrar um determinado serviço ou até derrubar um servidor quando detectar uma anomalia muito grande!

Relembrando que o App Insights se integra ao Log Analytics para consultas e ao Sentinel para segurança inteligente de Threats!!!!

Conclusão

Se não conhece, não tem habilitado ou não utiliza o App Insights comece agora!

Não o limite a analises de performance e sessões, aprenda a ler também os indícios de falhas de segurança antes que uma invasão ocorra.

Posted: set 09 2021, 01:28 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Azure Purview como Ferramenta de Compliance

Desde a muito mantemos diagramas de bancos de dados em arquivos lógicos, que são utilizados pelos DBAs e desenvolvedores para criação de aplicações e recentemente de outras funções para dashboards.

Porem com o avanço de leis de compliance como GDPR e LGPD conhecer quem tem acesso e como acessa dados sensíveis se tornou um recurso essencial.

Muitas ferramentas de DLP já fazem com o uso de conectores esse mapeamento, como por exemplo o Security Center pode estender para SQL Server nos planos pagos.

Mas e se possuimos multiplas bases de dados em diferentes produtos, plataformas e serviços?   Neste caso temos o Azure Purview.

O que o Purview oferece?

Com o catálogo de conectores você poderá incluir diversas fontes de dados que vão de SQL e Oracle a AWS S3 e Azure BLOB e descobrir o que está sendo disponibilizado e automaticamente mapear classificações e sensibilidade dos dados.

Por exemplo, quem são os usuários que consomem no Power BI uma determinada base de dados que contem cartões de crédito?    Quais storage accounts possuem dados não estruturados contendo documentos pessoais dos clientes ou exames médicos?

Nessa linha de atuação é que teremos o Purview atuando, tanto para catalogar dados sensiveis como funcionar como um dicionário de dados e mapeamento de acesso aos dados da empresa pelo Power BI, por exemplo.

Requisitos do Purview

Para utilizar o Purview será necessário criar uma instancia de execução (começa com C1 de 4 “unidades”), um Hub de Eventos e uma Storage Account

image

image

O custo do Purview é computado pelas unidades e tambem pelos scans que são efetuados, sendo que alguns ainda estão em preview e com custo zero até 02/Agosto quando escrevo este artigo Pricing - Azure Purview | Microsoft Azure

Acessando o Purview Studio

Toda a administração é feita pelo Studio, onde criamos os conectores e realizamos os scans.

Importante: O acesso aos dados é utilizado a managed account com o nome do recurso que você criou e seguindo os passos para cada tipo de recurso que irá mapear.

clip_image001

Registrando as Fontes de Dados

O Purview já traz uma série de conectores:

clip_image001[5]

O passo a passo abaixo é a conexão com a fonte de dados SQL Database. Primeiro definimos a fonte de dados e a coleção, que nada mais é do que antes da conexão criar agrupamentos como podem ser visto na tela anterior.

clip_image001[7]

Na sequencia definimos como será acessado os dados, pois na configuração acima vemos o servidor e banco de dados mas ainda não fizemos o acesso. Para isso será definido o tipo de identidade, sendo que no exemplo utilizei a managed account dando as permissões de read no SQL Server Management Studio (link no see more):

clip_image001[11]

Essa configuração de acesso são os SCANS, onde vão as definições do que será acessado, no exemplo por ser uma conexão SQL Server o database. Na sequencia verá que selecionei as tabelas e quais classificações quero mapear (note que são as mesmas do Office 365):

clip_image001[13]

clip_image001[15]

Uma vez configurados os scans você poderá definir se ele será executado uma unica vez ou de forma recorrente, sendo que isso pode ser feito abrindo os objetos abaixo da coleção, onde podem ser visto a lista, acessados os diferentes processos e os detalhes:

clip_image001[19]

clip_image001[22]

clip_image001[17]

Classificando e detalhando os dados mapeados

Uma vez os scans executados, automaticamente o Purview irá criar os assets como pode ser visto na função Browse Assets como a sequencia abaixo:

clip_image001[24]

clip_image001[26]

Uma vez aberta uma base de dados mapeada podemos definir detalhes, por exemplo criar uma classificação de dados para a base inteira, definindo quem são os donos/arquitetos dos dados e até definir para cada coluna um tipo especifico:

clip_image001[28]

clip_image001[30]

clip_image001[32]

clip_image001[34]

clip_image001[36]

clip_image001[38]

Nessa sequencia de telas podemos ver que os contatos são importantes para identificar quem conhece e mapeou aquela base de dados. Tambem vemos como definir descrição e classificação de dados individualmente, alem das que o Purview automaticamente já detectou.

Ainda nos assets posso vizualizar uso de dados, por exemplo quais bases de dados estão sendo usadas no Power BI de usuários PRO?   O Purview permitirá que vc tenha essa visualização como abaixo:

clip_image001[40]

clip_image001[42]

Customizando dados sensíveis e criando o glossário

Nos exemplos acima e na interface do Purview podem ser vistos dois itens, um já conhecido que é a classificação automática de sensibilidade e outra que é o glossário.

A classificação já tem pré-carregados os dados do Office 365 que são padrão dos compliances que a Microsoft já fornece, mas você poderá customizar novos assim como é feito no Compliance do Office 365:

clip_image001[44]

Alem disso poderá criar termos de glossário que nada mais são do que um dicionário de dados para consulta. É importantíssimo que isso seja feito, pois será uma base de dados para que administradores e outros especialistas consigam saber por exemplo, de bases de dados especificas.

Uma vez criado os verbetes do glossário, em cada fonte de dados, tabela e coluna será possivel identificar essa classificação como já mostrado na tela de dados da tabela.

clip_image001[46]

Interessante que para os itens é possível incluir atributos, ou seja indicar que se classificar uma tabela ou coluna como confidencial indicar um atributo obrigatório para escrever o motivo:

clip_image002

CONCLUSÃO

Uma vez mapeados com o Purview é possivel ter visibilidade de uso dos dados sensiveis, classificação dos dados em geral e montar um dicionario de dados moderno.

Posted: ago 02 2021, 21:15 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

MITRE–Comparação entre EDRs

Um dos itens mais importantes nos últimos anos é a capacidade dos antivírus tradicionais versus os antivírus de nova geração (NGAV) alem de ferramentas com essas capacidades como o ATA e o ATP Marcelo de Moraes Sincic | Buscar por 'comportamental' (marcelosincic.com.br)

Com a evolução destes produtos o termo EDR se tornou muito comum e novas denominações como XDR (Extended Detection and Response) para definir estes produtos que usam inteligência artificial baseada em SaaS.

Como Avaliar um EDR?

Essa é a pergunta que muitos agora fazem, antes utilizávamos métodos de detecção de virus com um pendrive cheio de malwares, mas agora com o EDR e XDR estes testes baseados em assinatura de código (DAT) não são suficientes.

Para avaliar as capacidades, o MITRE, muito conhecido pela base de conhecimento MITRE ATT&CK® criou uma série de testes que as empresas de segurança executam e publicam os resultados dos seus EDRs.

Quanto maior o numero de passos detectados, melhor será a visibilidade do ataque que foi deflagrado.

Como Acessar e Ler o Ranking do MITRE ENGENUITY | ATT&CK Evaluations?

Acesse o site ATT&CK® EVALUATIONS (mitre-engenuity.org) e poderá ter um overview do processo, onde verá que já existem 3 diferentes “rounds”:

  • APT3 – Ataques que foram detectados e atribuídos ao governo chinês, baseado em roubo de identidade, movimentação lateral com scripts, rootkits e bootkits
  • APT29 – Ataques que foram detectados desde 2008 pelo governo russo baseados em PowerShell e WMI
  • Carbanak+FIN7 – Hoje um dos mais especializados, visam instituições financeiras utilizando os mais diversos tipos de ataques com sofisticação suficiente para se passarem por ferramentas administrativas dos SOs e até PDV

Uma vez entendendo os 3 diferentes conjuntos de teste, em geral avaliamos o Carbanak+FIN7 que é o mais sofisticado e atual.

Destaque para o comparativo entre os produtos, por exemplo se utilizarmos Microsoft x McAfee é possível saber as formas e técnicas em que cada um dos NGAV utilizaram para detectar os ataques.

Comparative-1

Nessa comparação podemos ver o detalhamento do tipo de ataque e o nível de log que o EDR irá gerar, clicando no link [1] que o NGAV da Microsoft criou:

Comparative-1-Details

Já o detalhamento de cada fabricante indica um resumo da eficiência em detectar os passos e gerar os EDRs para cada conjunto de ataques submetidos:

Detalhamento-1

O quadro acima mostra o numero de passos mínimo definido pelos algoritmos e quantas ações o EDR da Microsoft conseguiu identificar, o que representam passos antes e depois do ataque realizado.

Abaixo do quadro de resumo poderá ver o detalhamento dos ataques realizados com base na matriz do MITRE e ver por round a tática, técnica, sub técnica e passos que o EDR identificou. Ao clicar nas técnicas é possível ver os detalhes de cada item

Detalhamento-2

Outro interessante dado disponível são os resultados dos testes, esse retorna o EDR gerado:

Tecnica aplicada

Como Reproduzir o Mesmo Ambiente Validado nos Testes?

Talvez você já possua um dos fabricantes que foram testados, mas não tem certeza se tem os pacotes e configurações corretas.

Afinal, é importante lembrar que os testes acima são conduzidos pelos fabricantes e submetidos para publicação, então sabemos que utilizaram um conjunto de ferramentas e configurações bem construídas.

Por conta disso, os fabricantes publicam um relatório que está disponível no mesmo site, por exemplo no caso de Microsoft vemos os produtos e configurações utilizadas:

Vendor Configuration

Upload afetado no Hyper-V do Windows 10

Ao habilitar o Hyper-V no Windows 10 poderá ter o problema da performance de upload baixar radicalmente, a ponto de quase zerar!

Esse problema aconteceu comigo em 3 diferentes equipamentos (Dell Latitute, Vostro e um T110), cada um com placa diferente. Importante que os 3 são placas wifi 5G.

Solução, desabilite o Large Send Offload da placa virtual. O motivo é que este recurso não existe nas placas de rede que utilizei, portanto geram a incompatibilidade.

Tela2

Tela3

Resultado, vejam abaixo a performance antes de eu habilitar o Hyper-V e compartilhar a placa de rede, depois de habilitado e o mais recente com o LSO desabilitado.

Tela1

Posted: jul 15 2021, 23:35 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Hyper-V | Hardware | Windows 10
Login