Marcos Ferreira, Analista de Segurança Sênior do Site Blindado, palestrou sobre "SecDevOps – Testes contínuos de segurança em aplicações", no DevCommerce Conference 2016.
O DevCommerce Conference 2016 aconteceu nos dias 06 e 07 de junho de 2016, no Hotel Tivoli em São Paulo-SP http://devcommerce2016.imasters.com.br/
2. 15 anos de experiência na área de SI
Consultoria de segurança, Análise de vulnerabilidade e
Pentest, Engenharia Social, Incident Response
Voluntário no SANS Institute Top 20
Marcos Ferreira
3. Agenda
• O que é o SecDevOps?
• Onde e quando é implementado?
• Ferramentas para testes
• Dúvidas
• Contatos
4. Como funciona o DevOps
• Entrega e implementação contínua
• Não precisa esperar release
• Entrega de features
• Agilidade
7. Processo atual
• Processos manuais
• Documentos antigos
• Não são ágeis
• Levam muito tempo
Normas
Dev
Testes
Pentest
Scans
Ops
ISO / PCI / OWASP / Políticas
8. Como começar
• Planeje a segurança
• Traga os desenvolvedores para próximo de
segurança
• Disponibilize ferramentas
• Faça verificações constantes
9. Implementar sec no processo
Source: https://insights.sei.cmu.edu/sei_blog/2014/12/security-in-continuous-integration.html
10. SAST, DAST ou RASP?
• Static Application Security Testing (SAST)
• Acesso ao código fonte
• Verificação bem detalhada
• Dynamic Application Security Testing (DAST)
• Baseado em requisições e respostas
• Não precisa ter acesso ao código fonte
• Runtime Application Self-Protection (RASP)
• Identificação e bloqueio de ataques em tempo real
• Integrado diretamente na aplicação
12. Hardening Framework
• Automatic Server Hardening
• Chef, Puppet e Ansible
• OS hardening
• SSH / MySql / PostgreSQL / Apache / Nginx
• Ubuntu / RedHat / CentOS / Debian
http://dev-sec.io/
13. Clair
• Análise de vulnerabilidade estática
• Containers Appc e Docker
• Ubuntu / RedHat / Debian
https://github.com/coreos/clair
14. Bdd-Security
• Behavior-Driven Development (BDD)
• Framework escrito Java e based no JBehave e
Selenium 2 (WebDriver)
• Usa o formato Given, When, Then
• Pode ser integrado com Jenkins
• Integração com OWASP ZAP / Nessus
• Não precisa de acesso ao código
https://github.com/continuumsecurity/bdd-security
15. GAUNTLT
• Behavior-Driven Development (BDD)
• Baseado em ruby
• Usa o formato Given, When, Then
• Integração com Nmap / sqlmap / arachni
http://gauntlt.org/
16. Mittn
• Projetado no contexto de Continuous Integration
• Baseado em python
• Usa o formato Given, When, Then
• Integração com Burp / sslyze / Radamsa
https://github.com/F-Secure/mittn