Mascaramento de Dados Estático versus Dinâmico

A maioria dos Analistas de Segurança da Informação concorda que a melhor maneira de proteger os dados é aplicar uma abordagem em camadas à segurança. O mascaramento de dados é uma tecnologia de segurança e aprimoramento de privacidade recomendada pelos analistas do setor como uma camada de proteção de dados obrigatória. Embora a terminologia varie em toda a indústria, vamos começar definindo o mascaramento de dados como a substituição de dados confidenciais por um equivalente fictício realista com o objetivo de proteger os dados contra divulgação indesejada.

O mascaramento de dados vem em dois tipos básicos: estático e dinâmico. O mascaramento de dados estáticos (Static Data Masking - SDM) substitui permanentemente os dados confidenciais, alterando os dados em repouso. O mascaramento de Dados Dinâmico (Dynamic Data Masking - DDM) visa substituir os dados sensíveis em trânsito, deixando os dados originais em repouso intactos e inalterados. Esta postagem analisa os recursos, casos de uso, vantagens e desvantagens de ambos.


Mascaramento de Dados Estáticos

Embora o desafortunado nome “estático” possa implicar lentidão (talvez “mascarar em repouso” seja melhor?), O SDM é uma tecnologia estabelecida capaz de proteger uma grande parte dos dados dentro de sua organização.


Por que usar o Mascaramento da Dados Estático?

O SDM é usado principalmente para fornecer dados de alta qualidade (ou seja, realísticos) para desenvolvimento e teste de aplicativos sem divulgar informações confidenciais. O realismo é importante porque permite que as equipes de teste e desenvolvimento sejam mais eficazes na identificação de defeitos no início do ciclo de desenvolvimento, reduzindo, portanto, os custos e aumentando a qualidade geral.

Os usos adicionais incluem proteção de dados para uso em análise e treinamento, além de facilitar a conformidade com padrões e regulamentações que exigem limites no uso de dados que identifiquem indivíduos.

O SDM também facilita a adoção de cloud porque as cargas de trabalho do Desenvolvedores estão entre as primeiras que as organizações migram para a nuvem. Mascarar os dados nas instalações antes de fazer o upload para a nuvem reduz o risco para as organizações preocupadas com a divulgação de dados baseada em cloud.


Como o SDM é aplicado?

Não há substituto para as sutilezas e nuances de dados que evoluíram e cresceram através do uso normal de um aplicativo. (A alternativa é a geração de dados sintéticos, que é uniforme e carente de realismo porque não foi criada através de anos de uso.) O SDM, portanto, inicia com os dados de produção originais e aplica uma série de transformações de dados para produzir alta fidelidade. dados mascarados. Existem abordagens variadas, mas é assim que normalmente se parece (veja a Figura 1):

Arquitetura do SDM de alto nível
Figura 1: Arquitetura do SDM de alto nível

Uma cópia dos dados de produção é usada para criar uma Golden Copy Mascarada do banco de dados, que é então replicada para os vários ambientes. Além disso, capturado neste diagrama está a noção de várias cópias de dados de produção que o mascaramento estático ajuda a proteger. Muitas vezes esquecido é o fato de que, para muitas organizações, não há mascaramento (ou mínimo) aplicado antes da replicação em ambientes menos seguros.

Como mostrado abaixo, o SDM altera os dados sensíveis de maneira realista (veja a Figura 2). Observe como os nomes, datas de nascimento e CPFs à esquerda são alterados, mas ainda parecem realistas no exemplo mascarado à direita.

Figura 2: Exemplo de Mascaramento de Dados - Antes e Depois


Vantagens do SDM

Os dados confidenciais são permanentemente removidos porque as transformações de dados são aplicadas ao armazenamento de dados. Se um invasor comprometer um banco de dados estaticamente mascarado, os dados confidenciais simplesmente não estarão lá.
Não por penalidade de desempenho de transação. Todas as transformações de dados são aplicadas antecipadamente para que não haja impacto no desempenho quando o banco de dados mascarado for disponibilizado para as diversas funções.
Protege cópias de dados de produção em uma ampla variedade de cenários, incluindo acesso via aplicativos e consultas nativas de back-end.
Simplifica muito a segurança dos dados de cópia. Não há necessidade de implementar segurança de nível de objeto refinada porque todos os dados confidenciais foram substituídos.


Desvantagens do SDM

O mascaramento é aplicado a um armazenamento de dados por meio de um processo em lote (não em tempo real) que pode levar minutos ou horas para ser concluído, dependendo do tamanho dos dados.
Ele não pode ser usado para proteger o banco de dados de produção porque ele altera permanentemente os dados subjacentes. Conforme descrito acima, ele opera contra cópias de bancos de dados de produção.


Mascaramento de Dados Dinâmico


O DDM é um recém-chegado relativo ao espaço de mascaramento de dados e a maneira como ele aplica dinamicamente as alterações aos dados em trânsito é o local onde recebe seu nome.


Por que usar o mascaramento dinâmico de dados?

O DDM é usado principalmente para aplicar segurança baseada em função (nível de objeto) para bancos de dados / aplicativos. Na prática, as complexidades envolvidas na prevenção de que os dados mascarados sejam gravados de volta no banco de dados significam que o DDM deve ser aplicado somente em contextos somente de leitura, como as funções de relatório ou consulta de atendimento ao cliente . Às vezes, o DDM é visto como um meio de aplicar a segurança baseada em funções a aplicativos (herdados) que não possuem um modelo de segurança interno baseado em funções ou para impor a separação de tarefas relacionadas ao acesso. No entanto, existem limitações para esse uso, conforme indicado abaixo.


Como o DDM é aplicado?

Existem várias abordagens diferentes para implementar o DDM, incluindo banco de dados e proxies da web. Os fornecedores de RDBMS também estão começando a oferecer o DDM diretamente no mecanismo do banco de dados . A abordagem de proxy de banco de dados mostrada abaixo geralmente funciona modificando as consultas SQL, mas também pode modificar os conjuntos de resultados da consulta (veja a Figura 3):


Figura 3: Arquitetura de proxy SQL DDM de alto nível

Os dados confidenciais permanecem dentro do banco de dados de relatórios que é consultado por um analista. Todo SQL emitido pelo analista passa pelo proxy DB que inspeciona cada pacote para determinar qual usuário está tentando acessar quais objetos de banco de dados. O SQL é então modificado pelo proxy antes de ser emitido para o banco de dados, de forma que os dados mascarados sejam retornados por meio do proxy para o analista. Em outras palavras, uma consulta como essa abaixo recupera CPFs do banco de dados:

select CPF from pers_data_tbl

 É modificado para ser algo como a consulta abaixo, que, em vez de retornar uma lista de SSNs, retorna os quatro últimos dígitos do SSN com os seis dígitos iniciais redigidos com X:

SELECT concat('XXX.XXX.', substring(CPF,7,5)) from pers_data_tbl

 Visualmente, essas consultas produziriam algo semelhante ao seguinte, tendo em mente que os CPFs armazenados no banco de dados não são alterados:

CPF (não mascarado) CPF (mascarado)
615.426.753-32 XXX.XXX.753-32
866.854.876-07 XXX.XXX.876-07
121.435.038-06 XXX.XXX.038-06



Vantagens do DDM


  • Adiciona uma camada adicional de segurança e controle de privacidade para proteger dados confidenciais.
  • Protege os dados em cenários somente leitura (relatórios).
  • Funciona quase em tempo real.
  • Não requer processamento antecipado em lote para mascarar todos os dados antecipadamente.



Desvantagens do DDM


  • Não é adequado para uso em um ambiente dinâmico (leitura / gravação), como um aplicativo corporativo, porque os dados mascarados podem ser gravados no banco de dados, corrompendo os dados.
  • Sobrecarga de desempenho associada à inspeção de todo o tráfego destinado ao banco de dados.
  • O mapeamento detalhado de aplicativos, usuários, objetos de banco de dados e direitos de acesso é necessário para configurar regras de mascaramento. Manter essa matriz de dados de configuração requer um esforço significativo.
  • O proxy é um ponto único de falha e pode ser ignorado pelos usuários que se conectam diretamente ao banco de dados, expondo potencialmente os dados originais armazenados no banco de dados.
  • As organizações podem hesitar em adotar o DDM se houver risco de corrupção ou impactos negativos no desempenho da produção. Além disso, em relação ao SDM, o DDM é uma tecnologia menos madura, para a qual as histórias de sucesso dos clientes não são tão conhecidas e os casos de uso ainda estão sendo definidos.



Conclusão

Para terminar onde comecei, o mascaramento de dados é uma tecnologia de proteção de dados obrigatória que está disponível comercialmente há mais de uma década. O mascaramento de dados estáticos, em particular, evoluiu de soluções autônomas de ponto de banco de dados único para se tornarem componentes integrados em ofertas mais amplas de gerenciamento de dados e segurança de dados. É uma das melhores formas, se não a melhor maneira, de proteger dados de cópia, especialmente quando esses dados são usados para finalidades secundárias, como desenvolvimento e teste de aplicativos, treinamento, analítica, etc. Existem alternativas como geração de dados sintéticos, mas um conjunto muito mais restrito de casos de uso, como quando as origens de dados originais não são robustas ou prontamente disponíveis.

O mascaramento dinâmico de dados, como um recém-chegado relativo, não é tão amplamente aplicável, embora continue a evoluir rapidamente. Atualmente, é mais adequado para cenários somente leitura, para evitar a corrupção de bancos de dados ao gravar inadvertidamente dados mascarados em armazenamentos de dados. Além disso, o DDM pode ser percebido como uma maneira fácil de aplicar segurança baseada em funções para aplicativos, mas a restrição de leitura / gravação associada à complexidade da configuração de regras torna o gerenciamento contínuo de regras uma tarefa onerosa. As alternativas ao DDM podem incluir firewalls de banco de dados / aplicativos, bloqueio, etc. que impedem o acesso indesejado a dados confidenciais usando métodos diferentes da regravação de SQL.


QABI Consultoria
Compartilhar no Facebook:
Compartilhar no Linkedin:

Tutorial Selenium WebDriver

Automação com Selenium WebDriver



Olá pessoal. Tudo bem?

Para quem deseja aprender Automação com Selenium WebDriver, segue um tutorial excelente.

Ele foi elaborado por um amigo, Rafael Cardoso.
Nele, o Rafa teve o cuidado de começar do zero. Desde a Preparação do Ambiente até a Geração dos Artefatos (como Evidência, Logs e Relatório de Execução).

Tenham foco e bom estudo!

1 – Selenium WebDriver - Configuração Eclipse

2 – Selenium WebDrive - Abrindo os Navegadores

3 – Selenium WebDrive - Localizando os elementos em uma página

4 – Selenium WebDrive - Navegando e interagindo com elementos de uma página

5 – Selenium WebDrive - Navegando e interagindo com elementos de uma página – Parte 2

6 – Selenium WebDrive - Acessando informações de um arquivo .CSV

7 – Selenium WebDrive - Capturando evidências dos testes.

8 – Selenium WebDrive - Criando Bibliotecas de Funções

9 – Selenium WebDrive - Gerando Log de evidências em PDF – Parte 1

9 – Selenium WebDrive - Gerando Log de evidências em PDF – Parte 2

10 – Selenium WebDrive - Criando um arquivo CSV,apartir de informações coletadas em tempo de execução

11 – Selenium WebDrive - Enviando relatórios de execução por Email

Rafa. Parabéns e obrigado por compartilhar o conhecimento.
Aguardamos novos posts. rsrs


QABI Consultoria
Compartilhar no Facebook:
Compartilhar no Linkedin:

7 princípios fundamentais do teste de software

O teste é parte fundamental no ciclo de vida de um software. Abaixo estão listados 7 princípios fundamentais que envolvem o processo de teste e devem servir como um guia geral, tanto para testadores quanto para desenvolvedores. Afinal, ambos participam efetivamente do processo de amadurecimento do sistema.

7 princípios teste de software

1º Príncipio: Testes apontam a presença de falhas
Testes conseguem identificar a existência de falhas, mas não pode garantir a ausência delas. Mesmo se nenhum erro for identificado em uma bateria de testes, não é possível afirmar que o software está livre de falhas.

2º Princípio: Teste exaustivo é impossível
A menos que a aplicação sendo testada tenha uma estrutura lógica muito simples e valores de entrada limitados, teste exaustivo é inviável pois seria extremamente custoso cobrir todos os cenários possíveis. Deve-se calcular o esforço dos testes baseando-se nos riscos e prioridades.

3º Princípio: Teste antecipado
o desenvolver um software, as atividades de teste devem começar o quanto antes. Assim que os requisitos ou modelagem do sistema estiverem prontos, é possível começar o trabalho de modelagem do plano de testes. O quanto antes uma falha for identificada no ciclo de vida de um sistema, mais barata e mais simples será a correção.

4º Princípio: Agrupamento de falhas
A maioria das falhas encontradas durante a execução dos testes está concentrada em um número pequeno de módulos. Sempre existe uma área do software que é responsável pelo maior número de erros.

5º Princípio: Paradoxo do pesticida
Um conjunto de testes, se executado várias vezes, pode não mais detectar novas falhas. Para contornar esse problema, os casos de teste devem ser frequentemente revisados e atualizados. Eles devem ser reformulados para abordar novas áreas do sistema e assim aumentar a chance de detectar novas falhas.

6º Princípio: Teste depende de contexto
Os testes devem ser elaborados de acordo com o tipo do software. Por exemplo, um sistema bancário deve ser testado de maneira diferente de uma rede social. Há questões de segurança que devem ser mais precisamente abordadas no primeiro caso. Da mesma forma que testes web são elaborados com foco diferente dos testes de aplicações desktop.

7º Princípio: Ausência de erros é uma ilusão
Identificar e corrigir os problemas de um software não garantem que ele está pronto. Os testes foram elaborados para identificar todas as possíveis falhas? O sistema atende às necessidades e expectativas dos usuários? Ou seja, existem outros fatores que devem ser considerados para garantir a qualidade do sistema.

fonte: Crowdtest.

QABI Consultoria
Compartilhar no Facebook:
Compartilhar no Linkedin:

Glossário Teste de Software - ISTQB/BSTQB







A B C D E F G H I J K L M N O P Q R S T U V W X Y Z





Versão 2.1br (Abril de 2010)

Produzido pelo "Glossary Working Party"

International Software Testing Qualification Board


Editor Erik van Veenendaal (Holanda)

Notificação do Detentor dos Direitos Autorais

Este documento pode ser copiado na Integra ou em parte desde que haja menção à sua fonte (ISTQB / BSTQB).





Tradução realizada pela TAG01 (Documentação) do BSTQB






A B C D E F G H I J K L M N O P Q R S T U V W X Y Z




O Blog Qualidade De Software reserva ao ISTQB / BSTQB os direitos a este glossário.

QABI Consultoria
Compartilhar no Facebook:
Compartilhar no Linkedin:

Extensão Chrome Gerador e Validador de CPF ou CNPJ.

Criei uma Extensão Chrome para Gerar e Validar CPF ou CNPJ. Baixe, teste e deixe sua opinião.

Gerador e Validador de CPF ou CNPJ


O Gerador/Validador de CPF e CNPJ foi desenvolvido com o propósito de auxiliar Programadores, Analista de Teste, Analistas de Sistemas e Estudantes a testarem seus softwares.
Vários sites oferecem este tipo de serviço on-line. Mas, às vezes, o local onde você presta serviço tem acesso restrito à internet ou a determinada categoria de sites. Ou não permite a utilização de executáveis de terceiros. Além disso, geradores on-line obrigam o usuário acessar o site todas as vezes que precisa gerar o CPF/CNPJ.

Vantagens da extensão:
  • Disponível off-line;
  • Não é um executável (roda direto no browser);
  • Maior agilidade ao criar Massa de Teste.

Funcionalidades:
  • Gerador CPF/CNPJ (apenas números);
  • Gerador CPF/CNPJ (com mascará);
  • Validador CPF/CNPJ.


Nas próximas versões vou disponibilizá-lo com Gerador de PIS e Gerador de Título de Eleitor.

A má utilização dessa extensão é de total responsabilidade do usuário.
Sem vínculos com a Receita Federal.


QABI Consultoria
Compartilhar no Facebook:
Compartilhar no Linkedin: