ASFWS 2012 - Gestion opérationnelle de la sécurité logicielle sur la plateforme Facebook par Alok Menghrajani

•

0 j'aime•576 vues

Cyber Security Alliance

Présentation qui portera sur l’aspect opérationnel de la gestion de la sécurité logicielle chez Facebook.

Technologie

Gestion opérationnelle
de la sécurité chez Facebook

Application Security Forum – 2012
Alok Menghrajani Western Switzerland
7 Nov 2012 7-8 novembre 2012 – Y-Parc / Yverdon-les-Bains
https://www.appsec-forum.ch

Alok Menghrajani

▪  Facebook depuis 2008
▪  User-facing stuff
▪  Infrastructure

▪  Langage/compilation

▪  Parle franglais couramment

Structure opérationnelle
(liste non exhaustive)
▪  Centres de données
▪  Campus

▪  C.E.R.T.

▪  Abus de la part des utilisateurs
▪  Framework et audit

Bootcamp
▪  6 semaines de formation
▪  Apprendre la code base
▪  ~15 onboardings

Le code
▪  Review sur les diff
▪  Règles à base de grep
▪  Moteur lint
▪  Tests d’intégrations
▪  Web Driver

Frameworks
▪  Sécurité par défaut
▪  Ségrégation des connaissances
▪  Responsabilité en cas de bugs
▪  Réponse simpliﬁée vis-à-vis des bugs

Gatekeeper
▪  Permet de tester du code sur un % stable des utilisateurs
▪  Tests A/B et gestion des statistiques
▪  Désactivation instantanée d’une fonctionnalité

IPS dans la couche applicative
▪  Intégré dans la MVC
▪  Extrêmement ﬂexible
▪  Temps de réaction très rapide

Privacy

Emma
Chloe

Tom
Antonio

Sylvain

Sophie

Questions?

Contact
•  Technique: alok@fb.com
•  CV/Jobs: ruth@fb.com

Contenu connexe

Tendances

Jboad formation-jboss-administrationCERTyou Formation

20100114 Waf V0.7Sébastien GIORIA

Les firewalls applicatifs HTTP / WAFSylvain Maret

Securing your API and mobile application - API Connection FRSebastien Gioria

Waf, le bon outil, la bonne administration Bee_Ware

Securite des Applications dans le CloudSebastien Gioria

Iui formation-iuiCERTyou Formation

Les menaces applicativesBee_Ware

Tn034 g formation-ibm-tivoli-netcool-omnibus-7-4-administration-et-maintenanceCERTyou Formation

Présentation Top10 CEGID LyonSébastien GIORIA

Silve formation-silverlightCERTyou Formation

Owasp top 10 2010 Resist toulouseSébastien GIORIA

Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm

Les principales failles de sécurité des applications Web actuellesXavier Kress

M10554 formation-developper-des-applications-web-ria-avec-microsoft-silverlig...CERTyou Formation

Wu582 g formation-ibm-websphere-application-server-v8-determination-des-probl...CERTyou Formation

Jee007 formation-jee-jboss-seamCERTyou Formation

La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria

cv_NKOUEDJEU_DE_YOTATSilas Nkouedjeu De Yotat

2015 - Concilier exploitabilité & Sécurité : challenge relevé !NBS System

Tendances (20)

Jboad formation-jboss-administration

20100114 Waf V0.7

Les firewalls applicatifs HTTP / WAF

Securing your API and mobile application - API Connection FR

Waf, le bon outil, la bonne administration

Securite des Applications dans le Cloud

Iui formation-iui

Les menaces applicatives

Tn034 g formation-ibm-tivoli-netcool-omnibus-7-4-administration-et-maintenance

Présentation Top10 CEGID Lyon

Silve formation-silverlight

Owasp top 10 2010 Resist toulouse

Alphorm.com Formation Hacking et Sécurité, l'essentiel

Les principales failles de sécurité des applications Web actuelles

M10554 formation-developper-des-applications-web-ria-avec-microsoft-silverlig...

Wu582 g formation-ibm-websphere-application-server-v8-determination-des-probl...

Jee007 formation-jee-jboss-seam

La Quete du code source fiable et sécurisé - GSDAYS 2015

cv_NKOUEDJEU_DE_YOTAT

2015 - Concilier exploitabilité & Sécurité : challenge relevé !

En vedette

Communiqué de presse AppSec Forum 2011Cyber Security Alliance

ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance

ASFWS 2012 Discours de bienvenueCyber Security Alliance

ASFWS 2011 - Secure software development for mobile devicesCyber Security Alliance

ASFWS 2012 - Theory vs Practice in implementing Software Security related act...Cyber Security Alliance

2011 - Appel à contributions: conférenciers et instructeurs (CFP / CFT)Cyber Security Alliance

2010 - Intégration de l'authentification: les mesures proposées par OWASPCyber Security Alliance

Ametys - Integrer votre CMS à votre système d’informationAmetys

Soiré soire soa -logicaAlahyane Ahmed

Comment intégrer Yammer et SharePoint pour plus d'efficacité ?Microsoft Technet France

Comment integrer les applications de votre Systeme Information entre elles ?Stéphane Traumat

Introduction a la SOATugdual Grall

EAI/ERP - Petit cours sur le principe du EAI/ERP, Microsoft BizTalk 2006 & Mi...Sonny Brabez

2010 - Les technologies d'authentification forte dans les applications web: c...Cyber Security Alliance

Comment intégrer un système d’information et de gestion des ressources sirhAsso Asah

Système Information - ETL et EAI - Décisionnel et OpérationnelFrédéric FAURE

En vedette (16)

Communiqué de presse AppSec Forum 2011

ASFWS 2011 - L’importance du protocole HTTP dans la menace APT

ASFWS 2012 Discours de bienvenue

ASFWS 2011 - Secure software development for mobile devices

ASFWS 2012 - Theory vs Practice in implementing Software Security related act...

2011 - Appel à contributions: conférenciers et instructeurs (CFP / CFT)

2010 - Intégration de l'authentification: les mesures proposées par OWASP

Ametys - Integrer votre CMS à votre système d’information

Soiré soire soa -logica

Comment intégrer Yammer et SharePoint pour plus d'efficacité ?

Comment integrer les applications de votre Systeme Information entre elles ?

Introduction a la SOA

EAI/ERP - Petit cours sur le principe du EAI/ERP, Microsoft BizTalk 2006 & Mi...

2010 - Les technologies d'authentification forte dans les applications web: c...

Comment intégrer un système d’information et de gestion des ressources sirh

Système Information - ETL et EAI - Décisionnel et Opérationnel

Similaire à ASFWS 2012 - Gestion opérationnelle de la sécurité logicielle sur la plateforme Facebook par Alok Menghrajani

cv_hamidiMohamed Hamidi

Les tests de securite devopsChristophe Villeneuve

CV KHALIL Hassen_201601Hassen Khalil

CvAmalFathallah1

#1 cloud-infra-talk- l ops-du-devopsEmmanuel Roldan

Boussetta younes cv-younesbs

Objectif fluid<fab />∞ François CHERPION ∞

SOA facile en 10 pratiques avec EasySOA - Alpes JUGMarc Dutoo

OpenerpPrénom Nom de famille

2010 03-10-web applications firewalls v 0.8Sébastien GIORIA

Cas d'étude - Zabbix Toulouse #1 - ZUGZabbix User Group

Cv mohamed taher mahfoudhiMAHFOUDHI Med Taher

Hamdi afef cvMaroua Haddad

CV REBAI HamidaHamida Rebai Trabelsi

Olivier MoreauOlivierMoreau27

L'offre Java As A Service OracleEASYTEAM

Innover sans contrainte, intégrer sans ruptureGuillaume Laforge

Makrem DJEBALI CVDjebali Makrem

Dossier de competences MAClementine D.

Similaire à ASFWS 2012 - Gestion opérationnelle de la sécurité logicielle sur la plateforme Facebook par Alok Menghrajani (20)

cv_hamidi

Les tests de securite devops

CV KHALIL Hassen_201601

#1 cloud-infra-talk- l ops-du-devops

Boussetta younes cv-

Objectif fluid<fab />

SOA facile en 10 pratiques avec EasySOA - Alpes JUG

Openerp

2010 03-10-web applications firewalls v 0.8

Cas d'étude - Zabbix Toulouse #1 - ZUG

Cv mohamed taher mahfoudhi

Hamdi afef cv

CV REBAI Hamida

Olivier Moreau

L'offre Java As A Service Oracle

Innover sans contrainte, intégrer sans rupture

Makrem DJEBALI CV

Dossier de competences MA

Plus de Cyber Security Alliance

Bug Bounty @ SwisscomCyber Security Alliance

Robots are among us, but who takes responsibility?Cyber Security Alliance

iOS malware: what's the risk and how to reduce itCyber Security Alliance

Why huntung IoC fails at protecting against targeted attacksCyber Security Alliance

Corporations - the new victims of targeted ransomwareCyber Security Alliance

Blockchain for Beginners Cyber Security Alliance

Le pentest pour les nuls #cybsec16Cyber Security Alliance

Introducing Man in the Contacts attack to trick encrypted messaging appsCyber Security Alliance

Understanding the fundamentals of attacksCyber Security Alliance

Rump : iOS patch diffingCyber Security Alliance

An easy way into your sap systems v3.0Cyber Security Alliance

Reverse engineering Swisscom's Centro Grande ModemCyber Security Alliance

Easy public-private-keys-strong-authentication-using-u2 fCyber Security Alliance

Create a-strong-two-factors-authentication-device-for-less-than-chf-100Cyber Security Alliance

Offline bruteforce attack on wi fi protected setupCyber Security Alliance

App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...Cyber Security Alliance

Warning Ahead: SecurityStorms are Brewing in Your JavaScriptCyber Security Alliance

Killing any security product … using a Mimikatz undocumented featureCyber Security Alliance

Rump attaque usb_caralinda_fabriceCyber Security Alliance

Operation emmental appsecCyber Security Alliance

Plus de Cyber Security Alliance (20)

Bug Bounty @ Swisscom

Robots are among us, but who takes responsibility?

iOS malware: what's the risk and how to reduce it

Why huntung IoC fails at protecting against targeted attacks

Corporations - the new victims of targeted ransomware

Blockchain for Beginners

Le pentest pour les nuls #cybsec16

Introducing Man in the Contacts attack to trick encrypted messaging apps

Understanding the fundamentals of attacks

Rump : iOS patch diffing

An easy way into your sap systems v3.0

Reverse engineering Swisscom's Centro Grande Modem

Easy public-private-keys-strong-authentication-using-u2 f

Create a-strong-two-factors-authentication-device-for-less-than-chf-100

Offline bruteforce attack on wi fi protected setup

App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...

Warning Ahead: SecurityStorms are Brewing in Your JavaScript

Killing any security product … using a Mimikatz undocumented feature

Rump attaque usb_caralinda_fabrice

Operation emmental appsec

ASFWS 2012 - Gestion opérationnelle de la sécurité logicielle sur la plateforme Facebook par Alok Menghrajani

1. Gestion opérationnelle de la sécurité chez Facebook Application Security Forum – 2012 Alok Menghrajani Western Switzerland 7 Nov 2012 7-8 novembre 2012 – Y-Parc / Yverdon-les-Bains https://www.appsec-forum.ch

2. Alok Menghrajani ▪  Facebook depuis 2008 ▪  User-facing stuff ▪  Infrastructure ▪  Langage/compilation ▪  Parle franglais couramment

3. La mission de Facebook

4. L’importance de la sécurité

5. La culture

6. Structure opérationnelle (liste non exhaustive) ▪  Centres de données ▪  Campus ▪  C.E.R.T. ▪  Abus de la part des utilisateurs ▪  Framework et audit

7. Bootcamp ▪  6 semaines de formation ▪  Apprendre la code base ▪  ~15 onboardings

8. Le code ▪  Review sur les diff ▪  Règles à base de grep ▪  Moteur lint ▪  Tests d’intégrations ▪  Web Driver

9. Frameworks ▪  Sécurité par défaut ▪  Ségrégation des connaissances ▪  Responsabilité en cas de bugs ▪  Réponse simpliﬁée vis-à-vis des bugs

10. Gatekeeper ▪  Permet de tester du code sur un % stable des utilisateurs ▪  Tests A/B et gestion des statistiques ▪  Désactivation instantanée d’une fonctionnalité

11. IPS dans la couche applicative ▪  Intégré dans la MVC ▪  Extrêmement ﬂexible ▪  Temps de réaction très rapide

12. Privacy Emma Chloe Tom Antonio Sylvain Sophie

13. White hat http://xkcd.com/806/

14. Questions? Contact •  Technique: alok@fb.com •  CV/Jobs: ruth@fb.com

ASFWS 2012 - Gestion opérationnelle de la sécurité logicielle sur la plateforme Facebook par Alok Menghrajani

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (16)

Similaire à ASFWS 2012 - Gestion opérationnelle de la sécurité logicielle sur la plateforme Facebook par Alok Menghrajani

Similaire à ASFWS 2012 - Gestion opérationnelle de la sécurité logicielle sur la plateforme Facebook par Alok Menghrajani (20)

Plus de Cyber Security Alliance

Plus de Cyber Security Alliance (20)

ASFWS 2012 - Gestion opérationnelle de la sécurité logicielle sur la plateforme Facebook par Alok Menghrajani