Identificar possíveis vulnerabilidades na camada de aplicação da Algar Telecom que possam ser exploradas futuramente e desenvolver uma métodos para saná-los.

Explique em que contexto macro esta pesquisa será inserida
Relacione com outros projetos e pesquisas na área, na empresa ou mesmo no mundo
Identifique algumas possibilidades de evolução desta idéia
Tente enquadrar esta idéia em um grupo, propósito ou categoria específica

• LC: Resultados do Kick-off: Entender o problema e ter ideia do que pode ser entregue
• LP: hoje está restrito a estrutura, ao SO. Se tem problema vai no TI e pede ajuda. TI já tem um check-list. Aplicações web abertas. PEntest anual. Fornecedor KPMG. PEgaram algumas críticas. Ideia: pensar em trazer a inteligencia da infra para camada de aplicação. Temos WAF - Web App Firewall. Gestão mais preditiva, mais proativa. Hoje depende de consultorias para um assesment. Envolve processo de Sec by design. Dev tem que seguir mas melhores práticas. Caminho: verificar a cadeia de desenvolvimento. Req de seg - desenvolvimento seguro. Ramio => Criar Centro de Defesa Cibernética. SOC atual é para cliente. Hoje SOC é com PWC. Temos Blue Team (Defesa) e Red Team (Ataque).
• RM: Empresa presta serviços como? Resposta LP (Gestão de vulnerabilidade na camada de infraestrutura (Até o SO passando por equiptos de rede). Empresa vem, passa um scan. Aplica um baseline, faz um tuning para blindar uma infraestrutura). Pode usar um pouco da estrutura atual para ajudar no P&D. uma primeira é pensar em como estabelecer um processo que permita scanear os problemas.
• LC: Criar um Red Team é uma viabilidade? Resposta: Sim
• LP: O cara que sabe atacar, sabe defender. Assim podemos pegar insumos para entender ataques. Certificação do Ethical hacking.
• RM: Possibilidade: envolver o Edmo.

Informe sobre as particularidades, aspectos e atributos desta idéia.

* Estudo dos seguintes conteúdos do Alura:

• • https://www.alura.com.br/formacao-ciberseguranca
  • https://www.alura.com.br/formacao-seguranca-ofensiva
  • https://www.alura.com.br/formacao-owasp

• Linux
  • 1) Criptografia e Segurança de Redes - 6ª Ed. 2014
  • http://www.sourceinnovation.com.br/wiki/Linux
• 2) Internet/Redes
  • Material de referencia passado pelo gabriel bernardi
• 3) Princípios de segurança da informação (Usar o curso da Fortinet Academy - NSE1, NSE2)
  • https://training.fortinet.com
• 4) Segurança de Aplicações (AppSec Starter - Curso sobre o OWASP da Conviso)
  • https://www.youtube.com/user/ConvisoAppSecurity
• 5) Atividade prática 1 - Juice Shop (OWASP)
  • https://owasp.org/www-project-juice-shop/
• 6) Atividade prática 2 - Uso do OWASP ZAP
  • https://www.zaproxy.org

Desenvolva um conteúdo que possa transmitir o conhecimento adquirido para outros
Crie um material (Wiki, PDF, PPT, ...) que possa ser armazenado e facilmente atualizável

Apresente ao grupo (reunião, EAD, Blog, ...)
Publique aqui

Descrevas as metodologias usadas. Alguns exemplos:

Estratégia de Job Rotation
Estudos básicos para conhecimento do potencial
Estudos básicos para entendimento sobre o problema
Estudos para dar base aos pesquisadores
Benchmarking com empresas estrangeiras 
Aceleradoras de empresas
Adoção de novas tecnologias
Utilização da proposta de soluções Open-source
Priorização no desenvolvimento interno
Foco na não dependência de fornecedores
Prática de formação dos talentos necessários 

 Que questões envolvem a pesquisa? 
O que se espera provar?
O que se espera como resultado?
Explicações e argumentos que subsidiem a investigação em curso

• Abaixo, as categorias atualizadas pelo OWASP - Open Web Application Security Project. Explicar o que é este projeto....
  • A01:2021-Broken Access Control

moves up from the fifth position to the category with the most serious web application security risk; the contributed data indicates that on average, 3.81% of applications tested had one or more Common Weakness Enumerations (CWEs) with more than 318k occurrences of CWEs in this risk category. The 34 CWEs mapped to Broken Access Control had more occurrences in applications than any other category.

• A seguir, sugestões enviadas pelo pesquisador Alisson Oliveira Chaves do Brain em Portugal.

Descreva os requisitos deste projeto

    Descrever em tópicos os benefícios que uma pessoa ou uma empresa podem obter: ganhos, receitas, novos negócios, novos produtos, novas parcerias

    Descrever em tópicos os benefícios para os usuários desta solução.
    Pode se inspirar no Canvas.

    Descrever em tópicos o que esta iniciativa pode proporcionar

    Descrever em tópicos os possíveis modelos de negócios

    Descrever um exemplo de negócio que permita avaliar a solução comercialmente

• Projeto possui algum elemento tecnologicamente novo ou inovador?

Elemento tecnologicamente novo ou inovador pode ser entendimento como o avanço tecnológico pretendido pelo projeto, ou a hipótese que está sendo testada

• Projeto possui barreira ou desafio tecnológico superável?

Barreira ou desafio tecnológico superável pode ser entendido como aquilo que dificulta o atingimento do avanço tecnológico pretendido, ou dificulta a comprovação da hipótese

• Projeto utiliza metodologia/método para superação da barreira ou desafio tecnológico?

Metodologia/método para superação da barreira ou desafio tecnológico pode ser entendido como aqueles atividades que foram realizadas para superação da barreira ou do desafio tecnológico existente no projeto

• Projeto é desenvolvido em parceira com alguma instituição acadêmica, ICT ou startup?

Se sim, o desenvolvimento tecnológico é executado por associado ou por alguma empresa terceira? qual o nome da empresa? 
Anexar cópia do contrato

Explique o escopo deste protótipo

Informe sobre as limitações técnicas, comerciais, operacionais, recursos, etc.

Desenvolva um PoC (Proof of Concept)

• Avaliar condições referentes à Lei Geral de Proteção de Dados

Descreva especificamente os aspectos técnicos desta pesquisa

Responsável: Maycon Douglas Batista Dos Santos

• 28/11/ a 12/12/2022:
  • Conhecer o tema da pesquisa .
  • Reunir com os demais a poiadores para entender qual a dor do cliente (Algar Telecom), pendente.
  • Conhecendo a Cartilha Bird de P&D.
  • levantamento de material Indicado pelo prof orientador (Rodrigo sanches miani)[1].
• 02 a 05/01/2022:
  • Estudar o material de referencia.
• 06/01/2022:
  • Kick-off com Leonel Paparotto e Rodrigo Miani
• 18/01/2023:
  • Orientado a ler: Top Ten nos artigo - Vulnerabilidades em Aplicações Web e Mecanismos de Proteção. Nelson Uto e e Sandro Pereira de Melo.
  • Montar apresentação e validar com Leonel.

• Maycon Douglas Batista dos Santos
• Leonel Pararotto
• Prof Dr Rodrigo Miani