Como começar a trabalhar na área de AppSec
Nos nossos processos seletivos, recebemos muitas pessoas interessadas em trabalhar na área de segurança de aplicações, no entanto, grande parte das pessoas que se candidatam, principalmente aos cargos que exigem menos senioridade, têm suas experiências focadas no âmbito mais geral de tecnologia da informação ou cybersecurity.
A Conviso, além de ser uma empresa de produto, é líder em treinamentos de AppSec, por isso, acreditamos totalmente no desenvolvimento de pessoas que querem atuar nessa área.
Sabemos que inícios muitas vezes não são fáceis, por isso, pedimos para o nosso time de delivery compartilhar conosco como eles começaram no segmento de AppSec e eles toparam! Bora conferir?
O primeiro case é de Fernando Pinheiro, trabalha há 6 anos com segurança e há 5 anos com segurança ofensiva, diz ser interessado na área desde sempre e acredita que esse interesse inicial veio inicialmente pelo desafio e por curiosidade.
“Sempre tive mania de tentar achar brechas ou bypass para atividades, argumentos e regras. Mas meu primeiro envolvimento com hacking em computação foi em uma Lan House que tinha um um programa para manter o controle de horas, achei algumas maneiras de passar do tempo determinando pelos administradores e isso me motivou. Enquanto o ADM da Lan House tentava achar uma maneira de eu não burlar, eu encontrava uma maneira nova até que me tornei o ADM da lan house inteira sem ele saber e depois fui proibida de entrar na mesma”, conta Fernando. PS: Para começar não quer dizer que você precisa sair invadindo Lan Houses por aí, beleza?!
Perguntamos sobre indicações de conteúdos e certificações em App Sec, e o profissional comenta que para quem está começando não precisa necessariamente ter uma certificação e sim de uma boa metodologia de estudo. “Indico a eJPT para quem estiver interessado, ajuda nas bases a DCPT também ajuda bastante e tem muitos ambientes para a pessoa praticar. Os cursos da GoHacking ajudam a elevar o nível depois que passar dessa parte inicial. Uma recomendação para iniciantes seria hack2Learn! uma dica que ganhei a muito tempo de um amigo AndersonC0d3 que trabalhou aqui na Conviso antes de mim” disse Fernando. Você também pode conferir o conteúdo escrito por ele no medium em @emmapinheiro42 e pelo seu blog n3k00n3.github.io
Outro bate-papo que tivemos foi com o Nicolas Carvalho, Analista de Segurança da Informação e líder do time de Consulting e Treinamento, que já está há 8 anos e meio trabalhando no ramo. Ele conta que começou a se interessar pela área logo antes de terminar a faculdade, quando estagiou em uma empresa na área de segurança da informação, que apesar de não atuar na área de AppSec especificamente, foi algo que abriu seus olhos para alguns conceitos na área.
“Quando comecei a trabalhar com segurança de aplicação especificamente, foquei primeiro naquilo que era mais próximo do que eu conhecia, pois AppSec é muito abrangente. Como minha formação é em engenharia mecatrônica e eu tive experiência como empresário, a parte de melhoria e gestão de processos sempre foi algo de constante estudo e implementação prática para mim. Então comecei a estudar AppSec pela parte de segurança nos processos de desenvolvimento, estudando modelos de processos de desenvolvimento seguro, tais como SAMM, BSIMM ou Microsoft SDL. Em seguida fui me aprofundando nos detalhes de cada etapa dos processos, depois nas atividades mais específicas e continuei indo cada vez mais afundo nos detalhes, até que eu conseguisse entender até mesmo itens como falhas de segurança em códigos ou algoritmos criptográficos inseguros”, detalhou Nicolas sobre sua trajetória.
Em relação aos estudos, o profissional indica sem pensar duas vezes o OWASP. Ele comenta que boa parte dos conteúdos que consumiu no começo vieram de lá. “Como trata-se de uma organização aberta, sem fins lucrativos, muitas vezes de lá é possível encontrar as outras referências, externas à OWASP, tais como ISOs, NIST ou outras“, afirmou Nicolas.
Por último, falamos com o Gustavo Dutra, que é novo na área de segurança de aplicações, então está com o começo bem fresquinho. Ele trabalho há 4 meses na área de segurança de aplicações e há 1 ano na Conviso. Antes disso, Gustavo atuou por 6 anos como desenvolvedor de software, a maior parte deles desenvolvendo sistemas embarcados na área de telecomunicação, em C e C++. “Podemos dizer que foi aí que comecei, mesmo não estando na área de segurança. Foi sendo desenvolvedor e indo em eventos de segurança que eu descobri a área em 2016, e desde então passei a focar meus estudos nisso para que pudesse migrar de forma orgânica para a área”, comentou Gustavo.
Gustavo iniciou na Conviso como Site Reliability Engineer, porque queria continuar adquirindo experiência fora da área de segurança especificamente, e queria trabalhar um tempo também com infra. Aproveitou que já era sua área de estudos e migrou quando se sentiu preparado para isso.
Perguntamos também sobre suas recomendações de estudo, que condizem muito com o que Fernando disse no começo do artigo. “Para quem está começando, eu diria para não sair querendo tirar certificações como eJPT, DCPT, OSCP e afins estando “crua”. Principalmente para a área de AppSec é muito bom e importante saber como é desenvolver software. Aprendendo a programar e colocando isso em prática você acaba absorvendo vários outros fundamentos de computação que são extremamente essenciais para entender como as coisas funcionam antes de sair cutucando elas. Então primeiro estudem os fundamentos de computação, redes, sistemas operacionais, programação… E tendo essa base um pouco mais firme, há uma infinidade de materiais livres e abertos para estudo prático e teórico, labs e afins. E se for tirar uma certificação, faça pelo conhecimento, não pelas letrinhas”, disse o profissional.
