SlideShare uma empresa Scribd logo

Testes de segurança rápidos e precisos

André Luís Cardoso
André Luís Cardoso

Apresentação realizada para o MTI e seus convidados

Software
1 de 20
Baixar para ler offline
Copyright © 2022 HCL Software Limited | Confidential Testes de segurança de aplicativos rápidos, precisos e ágeis Desenvolvimento Seguro
quem sou eu André Luís Cardoso especialista de produto na HCL Software empresa indiana de mais de 45 anos de mercado mais de 219 mil empregados no mundo 60 países com presença no Brasil a mais de 10 anos 12.8 bi US$ /in/a190468/ @a190468
4.500+ Employees 45+ Global Presence in Countries $1.5B Enterprise Software Business A Jornada Até agora… HCL P&P launched with 15-year partnership between IBM & HCL. 2016-18 HCL Software formed to manage HCL’s Enterprise Software business. Integrated portfolio with DRYiCE™, Actian and Industry Solutions, converged as HCL Software+ 2019-20 2021-22
. . 4 por que falar sobre desenvolvimento seguro? a aplicação é a parte mais fraca tempo médio de exploração caindo de 42 dias em 2020, 12 dias em 2021 e apenas 7 dias em 2022; 2,29 bilhões de registros foram expostos em 2022 e Brasil lidera ranking de vazamentos; Brasil ocupa a quarta posição no ranking dos 10 principais alvos do cibercrime; ataques bloqueados em aplicações web cresceram 88% em 2021; 84% violações de segurança são executadas por meio da camada de aplicação; 1 em 6 código aberto tem um componente que contém uma vulnerabilidade conhecida; 83,9%: porcentagem de vulnerabilidades de software que já tinham uma correção disponível no dia em que foi divulgado publicamente; 83%: porcentagem de aplicativos com pelo menos uma falha de segurança na verificação de vulnerabilidade inicial; novas vulnerabilidades em 2022 são menos aproveitadas do que em 2021; Link informações
. . 5 Painel de Incidentes (Security Report) Fonte: https://www.securityreport.com.br/email/InfoSR2023.html
. . 6 hackers
. . 7 lei numero 1: se houver uma vulnerabilidade, ela será explorada lei numero 2: tudo é vulnerável de alguma forma
. . 8 segurança de aplicações porque é tão difícil de identificar, medir e proteger aplicações? diferentes linguagens de programação; diferentes tipos de servidores; frameworks e arquiteturas de vários tipos; API, cloud, server less, containers, micro serviços; cada pessoa e cada empresa desenvolve software de forma diferente; não possui acesso ao código;
. . 9 o que é #appsec (segurança de aplicativos)? #AppSec é o processo de encontrar, corrigir e prevenir vulnerabilidades de segurança no nível do aplicativo em processos de hardware, software e desenvolvimento inclui orientações sobre medidas para o design e desenvolvimento de aplicativos e durante todo o ciclo de vida (sdlc), inclusive após o lançamento do aplicativo ao seguir as medidas de segurança na construção do aplicativo, você pode garantir que os pontos fracos e as vulnerabilidades do seu aplicativo de software sejam identificados e tratados no início do ciclo de desenvolvimento, antes que se tornem graves violações de segurança segurança foi relatado que 84% dos incidentes de segurança acontecem na camada do aplicativo 01 vazamento de dados evitar que informações e dados de seus clientes estejam expostos, assim garantindo “compliance” com LGPD 02
. . testes de segurança em aplicações application security testing (AST) é o processo de tornar os aplicativos mais resilientes a ameaças de segurança, identificando e corrigindo vulnerabilidades de segurança Análise Interativa (IAST) Software Composition Analysis (SCA) O QUE: Monitorar continuamente o aplicativo O QUE: Pacotes de código aberto (ASoC) Análise Dinâmica(DAST) O QUE: Aplicativos ativos Análise Estática (SAST) O QUE: Código fonte PORQUÊ: Detecção rápida e precoce PORQUÊ: Identificar vulnerabilidades em 3º pacotes e componentes para festas PORQUÊ : Baixos falsos positivos, examine aplicativo como um pessoa mal intencionada PORQUÊ : Fácil configuração, amigável ao desenvolvedor, feedback rápido
. . como podemos ajudar AppScan was named a leader in Gartner’s 2021 & 2022 application security magic quadrant DESENVOLVEDORES Permita que os desenvolvedores escrevam código com menos vulnerabilidades TIME Permita que as equipes de desenvolvimento colaborem com atividades de verificação e possam ser mais produtivos (retrabalho) EMPRESA Fornecer visibilidade para equipes de segurança e equipes de desenvolvimento sobre a segurança das aplicações (compliance)
. . 12 Auditoria & Segurança Idéia Projeto/Ameaça Desenvolvimento SCM BUILD PACKAGE REPO Teste QA Produção Governança Deploy Deploy Release IDE Based Scanning SAST scan on Check-in Auto Remediation Open-Source Scanning License Compliance Check Auto Remediation Runtime (RASP) Security Info & Event (SIEM) Penetration Testing Network Scans DAST Scans SAST Scans Manual Tests Resultados Policy Updates Security Policy Audit Results Pen Test Results Scan Results IAST Interactive Security DAST Dynamic Functional Automatização dos Builds SAST Static Automation DAST Dynamic Automation Container Scanning IaC Resultados Scans Métricas & Compliance Compliance Security Requirements Threat Model Compliance Security Requirements Threat Model Secure Coding Security Standards Security Awareness Security Champions Value Stream Analysis segurança contínua
. . 13 § estabelecer um perfil de risco de segurança de aplicações para identificar possíveis vulnerabilidades e pontos fracos de segurança § identificar e eliminar vulnerabilidades de segurança em seu aplicativo de software § identificar e resolver vulnerabilidades de segurança em software de código aberto e de terceiros § treinar equipe de desenvolvedores § IOT, APIs – não esquecer considerações importantes
Copyright © 2022 HCL Software Limited | Confidential DEMO TIME
Copyright © 2022 HCL Software Limited | Confidential Estudos de caso
. . estudos de caso Estácio de Sá Educação Implantação de aplicativos e Web gerenciados com segurança Tendo sofrido ataques hackers, esta instituição de ensino superior no Brasil procurou o time HCL para reduzir custos de infraestrutura, habilitar segurança e aprimorar suas implantações. PROD IT Governo Scan em aplicativos Web para identificar vulnerabilidades Após alguns ataques sofridos, esta PROD decidiu investir em uma aplicação para identificar vulnerabilidades. Após uma POC, decidiram adquirir o AppScan com duas filas para SAST, DAST, IAST e SCA. Banco Finanças Scan em aplicativos Web para identificar vulnerabilidades Com o AppScan este banco vermelho conseguiu melhorar a proteção de seus produtos e obter registros detalhados de vulnerabilidades de segurança. Crédito Finanças Scan em aplicativo Java e microserviços durante o desenvolvimento Esta empresa privada que valida crédito, utiliza o AppScan para identificar vulnerabilidades durante o build (se existir vulnerabilidade crítica – quebra o build). Link
. . 17
. . tecnologias de scan de vulnerabilidade em uso hoje Fonte: aqui
. . Agile and issue management with custom workflow automation Deploy anything, anywhere with continuous delivery for the enterprise Secure and manage development assets Make work visible, identify bottlenecks, and improve DevOps flow across the organization with value stream management Eclipse-based development environment Compose with your existing environment HCL Software DevOps help you maximize and leverage the tools you already have, like Jira, Jenkins, Git and Kubernetes. Secure, Data-Driven Business Agility UI, API, embedded and performance testing, with service virtualization and test data fabrication Identify, understand and remediate vulnerabilities, and achieve regulatory compliance Portfolio da HCL Software em DevSECOps

Recomendados

Desenvolvimento Seguro
Desenvolvimento SeguroDesenvolvimento Seguro
Desenvolvimento SeguroAndré Luís Cardoso
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?KeySupport Consultoria e Informática Ltda
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Introdução ao 12 Factors APP
Introdução ao 12 Factors APPIntrodução ao 12 Factors APP
Introdução ao 12 Factors APPDouglas Alonso
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 

Recomendados

Desenvolvimento Seguro
Desenvolvimento SeguroDesenvolvimento Seguro
Desenvolvimento SeguroAndré Luís Cardoso
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?KeySupport Consultoria e Informática Ltda
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Introdução ao 12 Factors APP
Introdução ao 12 Factors APPIntrodução ao 12 Factors APP
Introdução ao 12 Factors APPDouglas Alonso
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Dss 3
Dss 3Dss 3
Dss 3Jean Carlos da Silva
 
Low code
Low codeLow code
Low codeeurosigdoc acm
 
Como garantir a qualidade de sua API?
Como garantir a qualidade de sua API?Como garantir a qualidade de sua API?
Como garantir a qualidade de sua API?Claudenir Freitas
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebKeySupport Consultoria e Informática Ltda
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
IBM Bluemix - The Digital Innovation Platform
IBM Bluemix - The Digital Innovation PlatformIBM Bluemix - The Digital Innovation Platform
IBM Bluemix - The Digital Innovation PlatformBruno Rodrigues Alcantara
 
Java security
Java securityJava security
Java securityarmeniocardoso
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Maurício Harley
 
Skalena - Overview de Soluções
Skalena - Overview de Soluções Skalena - Overview de Soluções
Skalena - Overview de Soluções Edgar Silva
 
Miguel CV Atualizado.docx
Miguel CV Atualizado.docxMiguel CV Atualizado.docx
Miguel CV Atualizado.docxMigueldosSantosRibei
 
Dispositivos Móveis - BlackBerry
Dispositivos Móveis - BlackBerryDispositivos Móveis - BlackBerry
Dispositivos Móveis - BlackBerryValdir Junior
 
CWIN17 Sao Paulo / vasco - criando um ambiente confiável
CWIN17 Sao Paulo / vasco - criando um ambiente confiávelCWIN17 Sao Paulo / vasco - criando um ambiente confiável
CWIN17 Sao Paulo / vasco - criando um ambiente confiávelCapgemini
 
Ionic + Cordova para Desenvolvimento Mobile
Ionic + Cordova para Desenvolvimento MobileIonic + Cordova para Desenvolvimento Mobile
Ionic + Cordova para Desenvolvimento MobileWaldyr Felix
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
Testes de Software - Módulo 1
Testes de Software - Módulo 1Testes de Software - Módulo 1
Testes de Software - Módulo 1Rodrigo Paes
 
Agile Trends 2023 - V2 - Andre Luis Cardoso.pdf
Agile Trends 2023 - V2 - Andre Luis Cardoso.pdfAgile Trends 2023 - V2 - Andre Luis Cardoso.pdf
Agile Trends 2023 - V2 - Andre Luis Cardoso.pdfAndré Luís Cardoso
 
Princípios da Gestão de Fluxos de Valor
Princípios da Gestão de Fluxos de ValorPrincípios da Gestão de Fluxos de Valor
Princípios da Gestão de Fluxos de ValorAndré Luís Cardoso
 

Mais conteúdo relacionado

Semelhante a Testes de segurança rápidos e precisos

Como garantir a qualidade de sua API?
Como garantir a qualidade de sua API?Como garantir a qualidade de sua API?
Como garantir a qualidade de sua API?Claudenir Freitas
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
IBM Bluemix - The Digital Innovation Platform
IBM Bluemix - The Digital Innovation PlatformIBM Bluemix - The Digital Innovation Platform
IBM Bluemix - The Digital Innovation PlatformBruno Rodrigues Alcantara
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Maurício Harley
 
Skalena - Overview de Soluções
Skalena - Overview de Soluções Skalena - Overview de Soluções
Skalena - Overview de Soluções Edgar Silva
 
Dispositivos Móveis - BlackBerry
Dispositivos Móveis - BlackBerryDispositivos Móveis - BlackBerry
Dispositivos Móveis - BlackBerryValdir Junior
 
CWIN17 Sao Paulo / vasco - criando um ambiente confiável
CWIN17 Sao Paulo / vasco - criando um ambiente confiávelCWIN17 Sao Paulo / vasco - criando um ambiente confiável
CWIN17 Sao Paulo / vasco - criando um ambiente confiávelCapgemini
 
Ionic + Cordova para Desenvolvimento Mobile
Ionic + Cordova para Desenvolvimento MobileIonic + Cordova para Desenvolvimento Mobile
Ionic + Cordova para Desenvolvimento MobileWaldyr Felix
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
Testes de Software - Módulo 1
Testes de Software - Módulo 1Testes de Software - Módulo 1
Testes de Software - Módulo 1Rodrigo Paes
 

Semelhante a Testes de segurança rápidos e precisos (20)

Dss 3
Dss 3Dss 3
Dss 3
 
Low code
Low codeLow code
Low code
 
Como garantir a qualidade de sua API?
Como garantir a qualidade de sua API?Como garantir a qualidade de sua API?
Como garantir a qualidade de sua API?
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOps
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
IBM Bluemix - The Digital Innovation Platform
IBM Bluemix - The Digital Innovation PlatformIBM Bluemix - The Digital Innovation Platform
IBM Bluemix - The Digital Innovation Platform
 
Java security
Java securityJava security
Java security
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)
 
Skalena - Overview de Soluções
Skalena - Overview de Soluções Skalena - Overview de Soluções
Skalena - Overview de Soluções
 
Miguel CV Atualizado.docx
Miguel CV Atualizado.docxMiguel CV Atualizado.docx
Miguel CV Atualizado.docx
 
Dispositivos Móveis - BlackBerry
Dispositivos Móveis - BlackBerryDispositivos Móveis - BlackBerry
Dispositivos Móveis - BlackBerry
 
CWIN17 Sao Paulo / vasco - criando um ambiente confiável
CWIN17 Sao Paulo / vasco - criando um ambiente confiávelCWIN17 Sao Paulo / vasco - criando um ambiente confiável
CWIN17 Sao Paulo / vasco - criando um ambiente confiável
 
Ionic + Cordova para Desenvolvimento Mobile
Ionic + Cordova para Desenvolvimento MobileIonic + Cordova para Desenvolvimento Mobile
Ionic + Cordova para Desenvolvimento Mobile
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
 
Testes de Software - Módulo 1
Testes de Software - Módulo 1Testes de Software - Módulo 1
Testes de Software - Módulo 1
 

Mais de André Luís Cardoso

Agile Trends 2023 - V2 - Andre Luis Cardoso.pdf
Agile Trends 2023 - V2 - Andre Luis Cardoso.pdfAgile Trends 2023 - V2 - Andre Luis Cardoso.pdf
Agile Trends 2023 - V2 - Andre Luis Cardoso.pdfAndré Luís Cardoso
 
Princípios da Gestão de Fluxos de Valor
Princípios da Gestão de Fluxos de ValorPrincípios da Gestão de Fluxos de Valor
Princípios da Gestão de Fluxos de ValorAndré Luís Cardoso
 
Como o DevSecOps lidera o caminho para a transformação do negócio digital
Como o DevSecOps lidera o caminho para a transformação do negócio digitalComo o DevSecOps lidera o caminho para a transformação do negócio digital
Como o DevSecOps lidera o caminho para a transformação do negócio digitalAndré Luís Cardoso
 
Por que realizar análise de vulnerabilidade de aplicação ?
Por que realizar análise de vulnerabilidade de aplicação ?Por que realizar análise de vulnerabilidade de aplicação ?
Por que realizar análise de vulnerabilidade de aplicação ?André Luís Cardoso
 
Upgradingtodominov10bestpractices1549485091676
Upgradingtodominov10bestpractices1549485091676Upgradingtodominov10bestpractices1549485091676
Upgradingtodominov10bestpractices1549485091676André Luís Cardoso
 
COMO AS ORGANIZAÇÕES DA SAÚDE USAM BOX
COMO AS ORGANIZAÇÕES DA SAÚDE USAM BOXCOMO AS ORGANIZAÇÕES DA SAÚDE USAM BOX
COMO AS ORGANIZAÇÕES DA SAÚDE USAM BOXAndré Luís Cardoso
 
Nwtl2017 extending and customizing ibm connections cloud
Nwtl2017 extending and customizing ibm connections cloudNwtl2017 extending and customizing ibm connections cloud
Nwtl2017 extending and customizing ibm connections cloudAndré Luís Cardoso
 

Mais de André Luís Cardoso (20)

Agile Trends 2023 - V2 - Andre Luis Cardoso.pdf
Agile Trends 2023 - V2 - Andre Luis Cardoso.pdfAgile Trends 2023 - V2 - Andre Luis Cardoso.pdf
Agile Trends 2023 - V2 - Andre Luis Cardoso.pdf
 
Princípios da Gestão de Fluxos de Valor
Princípios da Gestão de Fluxos de ValorPrincípios da Gestão de Fluxos de Valor
Princípios da Gestão de Fluxos de Valor
 
Log4j - Security Event Prensa
Log4j - Security Event PrensaLog4j - Security Event Prensa
Log4j - Security Event Prensa
 
Como o DevSecOps lidera o caminho para a transformação do negócio digital
Como o DevSecOps lidera o caminho para a transformação do negócio digitalComo o DevSecOps lidera o caminho para a transformação do negócio digital
Como o DevSecOps lidera o caminho para a transformação do negócio digital
 
Por que realizar análise de vulnerabilidade de aplicação ?
Por que realizar análise de vulnerabilidade de aplicação ?Por que realizar análise de vulnerabilidade de aplicação ?
Por que realizar análise de vulnerabilidade de aplicação ?
 
Hcl domino volt v1.0.1
Hcl domino volt v1.0.1Hcl domino volt v1.0.1
Hcl domino volt v1.0.1
 
Upgradingtodominov10bestpractices1549485091676
Upgradingtodominov10bestpractices1549485091676Upgradingtodominov10bestpractices1549485091676
Upgradingtodominov10bestpractices1549485091676
 
Webminar domino v10
Webminar domino v10Webminar domino v10
Webminar domino v10
 
O que eu mais gosto na ibm
O que eu mais gosto na ibmO que eu mais gosto na ibm
O que eu mais gosto na ibm
 
Futuro do local de trabalho
Futuro do local de trabalhoFuturo do local de trabalho
Futuro do local de trabalho
 
COMO AS ORGANIZAÇÕES DA SAÚDE USAM BOX
COMO AS ORGANIZAÇÕES DA SAÚDE USAM BOXCOMO AS ORGANIZAÇÕES DA SAÚDE USAM BOX
COMO AS ORGANIZAÇÕES DA SAÚDE USAM BOX
 
Nwtl2017 extending and customizing ibm connections cloud
Nwtl2017 extending and customizing ibm connections cloudNwtl2017 extending and customizing ibm connections cloud
Nwtl2017 extending and customizing ibm connections cloud
 
Um caminho para Inovação
Um caminho para InovaçãoUm caminho para Inovação
Um caminho para Inovação
 
inovação e crescimento
inovação e crescimentoinovação e crescimento
inovação e crescimento
 
Adoção - Por onde eu começo?
Adoção - Por onde eu começo?Adoção - Por onde eu começo?
Adoção - Por onde eu começo?
 
Cloud administration
Cloud administrationCloud administration
Cloud administration
 
Getting start connections
Getting start connectionsGetting start connections
Getting start connections
 
Aula07
Aula07Aula07
Aula07
 
Aula04
Aula04Aula04
Aula04
 
Aula02
Aula02Aula02
Aula02
 

Testes de segurança rápidos e precisos

  • 1. Copyright © 2022 HCL Software Limited | Confidential Testes de segurança de aplicativos rápidos, precisos e ágeis Desenvolvimento Seguro
  • 2. quem sou eu André Luís Cardoso especialista de produto na HCL Software empresa indiana de mais de 45 anos de mercado mais de 219 mil empregados no mundo 60 países com presença no Brasil a mais de 10 anos 12.8 bi US$ /in/a190468/ @a190468
  • 3. 4.500+ Employees 45+ Global Presence in Countries $1.5B Enterprise Software Business A Jornada Até agora… HCL P&P launched with 15-year partnership between IBM & HCL. 2016-18 HCL Software formed to manage HCL’s Enterprise Software business. Integrated portfolio with DRYiCE™, Actian and Industry Solutions, converged as HCL Software+ 2019-20 2021-22
  • 4. . . 4 por que falar sobre desenvolvimento seguro? a aplicação é a parte mais fraca tempo médio de exploração caindo de 42 dias em 2020, 12 dias em 2021 e apenas 7 dias em 2022; 2,29 bilhões de registros foram expostos em 2022 e Brasil lidera ranking de vazamentos; Brasil ocupa a quarta posição no ranking dos 10 principais alvos do cibercrime; ataques bloqueados em aplicações web cresceram 88% em 2021; 84% violações de segurança são executadas por meio da camada de aplicação; 1 em 6 código aberto tem um componente que contém uma vulnerabilidade conhecida; 83,9%: porcentagem de vulnerabilidades de software que já tinham uma correção disponível no dia em que foi divulgado publicamente; 83%: porcentagem de aplicativos com pelo menos uma falha de segurança na verificação de vulnerabilidade inicial; novas vulnerabilidades em 2022 são menos aproveitadas do que em 2021; Link informações
  • 5. . . 5 Painel de Incidentes (Security Report) Fonte: https://www.securityreport.com.br/email/InfoSR2023.html
  • 7. . . 7 lei numero 1: se houver uma vulnerabilidade, ela será explorada lei numero 2: tudo é vulnerável de alguma forma
  • 8. . . 8 segurança de aplicações porque é tão difícil de identificar, medir e proteger aplicações? diferentes linguagens de programação; diferentes tipos de servidores; frameworks e arquiteturas de vários tipos; API, cloud, server less, containers, micro serviços; cada pessoa e cada empresa desenvolve software de forma diferente; não possui acesso ao código;
  • 9. . . 9 o que é #appsec (segurança de aplicativos)? #AppSec é o processo de encontrar, corrigir e prevenir vulnerabilidades de segurança no nível do aplicativo em processos de hardware, software e desenvolvimento inclui orientações sobre medidas para o design e desenvolvimento de aplicativos e durante todo o ciclo de vida (sdlc), inclusive após o lançamento do aplicativo ao seguir as medidas de segurança na construção do aplicativo, você pode garantir que os pontos fracos e as vulnerabilidades do seu aplicativo de software sejam identificados e tratados no início do ciclo de desenvolvimento, antes que se tornem graves violações de segurança segurança foi relatado que 84% dos incidentes de segurança acontecem na camada do aplicativo 01 vazamento de dados evitar que informações e dados de seus clientes estejam expostos, assim garantindo “compliance” com LGPD 02
  • 10. . . testes de segurança em aplicações application security testing (AST) é o processo de tornar os aplicativos mais resilientes a ameaças de segurança, identificando e corrigindo vulnerabilidades de segurança Análise Interativa (IAST) Software Composition Analysis (SCA) O QUE: Monitorar continuamente o aplicativo O QUE: Pacotes de código aberto (ASoC) Análise Dinâmica(DAST) O QUE: Aplicativos ativos Análise Estática (SAST) O QUE: Código fonte PORQUÊ: Detecção rápida e precoce PORQUÊ: Identificar vulnerabilidades em 3º pacotes e componentes para festas PORQUÊ : Baixos falsos positivos, examine aplicativo como um pessoa mal intencionada PORQUÊ : Fácil configuração, amigável ao desenvolvedor, feedback rápido
  • 11. . . como podemos ajudar AppScan was named a leader in Gartner’s 2021 & 2022 application security magic quadrant DESENVOLVEDORES Permita que os desenvolvedores escrevam código com menos vulnerabilidades TIME Permita que as equipes de desenvolvimento colaborem com atividades de verificação e possam ser mais produtivos (retrabalho) EMPRESA Fornecer visibilidade para equipes de segurança e equipes de desenvolvimento sobre a segurança das aplicações (compliance)
  • 12. . . 12 Auditoria & Segurança Idéia Projeto/Ameaça Desenvolvimento SCM BUILD PACKAGE REPO Teste QA Produção Governança Deploy Deploy Release IDE Based Scanning SAST scan on Check-in Auto Remediation Open-Source Scanning License Compliance Check Auto Remediation Runtime (RASP) Security Info & Event (SIEM) Penetration Testing Network Scans DAST Scans SAST Scans Manual Tests Resultados Policy Updates Security Policy Audit Results Pen Test Results Scan Results IAST Interactive Security DAST Dynamic Functional Automatização dos Builds SAST Static Automation DAST Dynamic Automation Container Scanning IaC Resultados Scans Métricas & Compliance Compliance Security Requirements Threat Model Compliance Security Requirements Threat Model Secure Coding Security Standards Security Awareness Security Champions Value Stream Analysis segurança contínua
  • 13. . . 13 § estabelecer um perfil de risco de segurança de aplicações para identificar possíveis vulnerabilidades e pontos fracos de segurança § identificar e eliminar vulnerabilidades de segurança em seu aplicativo de software § identificar e resolver vulnerabilidades de segurança em software de código aberto e de terceiros § treinar equipe de desenvolvedores § IOT, APIs – não esquecer considerações importantes
  • 14. Copyright © 2022 HCL Software Limited | Confidential DEMO TIME
  • 15. Copyright © 2022 HCL Software Limited | Confidential Estudos de caso
  • 16. . . estudos de caso Estácio de Sá Educação Implantação de aplicativos e Web gerenciados com segurança Tendo sofrido ataques hackers, esta instituição de ensino superior no Brasil procurou o time HCL para reduzir custos de infraestrutura, habilitar segurança e aprimorar suas implantações. PROD IT Governo Scan em aplicativos Web para identificar vulnerabilidades Após alguns ataques sofridos, esta PROD decidiu investir em uma aplicação para identificar vulnerabilidades. Após uma POC, decidiram adquirir o AppScan com duas filas para SAST, DAST, IAST e SCA. Banco Finanças Scan em aplicativos Web para identificar vulnerabilidades Com o AppScan este banco vermelho conseguiu melhorar a proteção de seus produtos e obter registros detalhados de vulnerabilidades de segurança. Crédito Finanças Scan em aplicativo Java e microserviços durante o desenvolvimento Esta empresa privada que valida crédito, utiliza o AppScan para identificar vulnerabilidades durante o build (se existir vulnerabilidade crítica – quebra o build). Link
  • 18.
  • 19. . . tecnologias de scan de vulnerabilidade em uso hoje Fonte: aqui
  • 20. . . Agile and issue management with custom workflow automation Deploy anything, anywhere with continuous delivery for the enterprise Secure and manage development assets Make work visible, identify bottlenecks, and improve DevOps flow across the organization with value stream management Eclipse-based development environment Compose with your existing environment HCL Software DevOps help you maximize and leverage the tools you already have, like Jira, Jenkins, Git and Kubernetes. Secure, Data-Driven Business Agility UI, API, embedded and performance testing, with service virtualization and test data fabrication Identify, understand and remediate vulnerabilities, and achieve regulatory compliance Portfolio da HCL Software em DevSECOps