SlideShare uma empresa Scribd logo

Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organização ainda não é prioridade?

Rafael Brinhosa
Rafael Brinhosa

Global AppSec Latin America 2011 Conference - Segurança de Aplicações, para sua organização ainda não é prioridade?

1 de 32
Baixar para ler offline
Segurança de Aplicações, para sua organização ainda não é prioridade? Rafael B. Brinhosa rafael@brinhosa.com.br @brinhosa http://about.me/brinhosa OWASP 07/10/2011 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
AGENDA Vendendo Segurança de Aplicações Programa de Segurança Metodologias Processo em etapas Ferramentas Gestão e Classificação de Vulnerabilidades Security Dashboard Métricas de Segurança de Aplicações Multinacionais brasileiras e as questões de conformidade Conclusões OWASP 2
Rafael B. Brinhosa Formação acadêmica MBA em Gestão Estratégica - Universidade Federal do Paraná (cursando) Mestrado em Ciência da Computação - Universidade Federal de Santa Catarina, Graduado em Sistemas de Informação - Universidade Federal de Santa Catarina Principais certificações ISO/IEC 27002, ISC(2) CSSLP, ISEB/ISTQB (CTFL), ITIL-F Atuação profissional Começou em 1998 com a TCSUL, logo após: EAMSC, CDI, DMI, LRG, EDS (agora HP), DELL, NeoGrid / Agentrics… Atualmente – Segurança da Informação NeoGrid (Brasil) e Agentrics (EUA, Europa e Ásia), Comissão de SI e de Inovação Professor Univille (disciplinas ligadas à computação). Pesquisa Framework WSIVM para Segurança em Web Services … Membro OWASP e CSA Brasil OWASP 3
Segurança de aplicações ainda não é prioridade na sua organização? Você armazena dados de clientes? Você desenvolve sistemas para os clientes? (Clientes Internos? Externos? SaaS? In-house?) Você terceiriza o desenvolvimento? OWASP 4
Se você busca… Sustentabilidade Financeira OWASP 5
Precisa evitar… Processos na justiça Perda de credibilidade Queda nas ações Reputação afetada Imagem desgastada Perda de Clientes (Potenciais e de Base) Multas por regulamentações (Canadian Privacy Act, SOX, PCI) Utilização de recursos internos com propósitos indevidos Servir de vetor de ataque aos sistemas de Clientes Consequente perda de receitas! OWASP
Talvez ela deva ser priorizada. Alguns dados… Durante 2010, em média foram encontradas 230 vulnerabilidades sérias para cada web-site. White-Hat Security Winter 2011 Report Quando testadas pela primeira vez, mais da metade de todas as aplicações falharam em atingir níveis aceitáveis de segurança, e mais de 8 em cada 10 aplicações falhou em cumprir a OWASP Top 10. Veracode State of Software Security Report Volume 3 2011 OWASP 7
OWASP 8
OWASP 9
Segurança de Aplicações? 10 OWASP
Segurança de Aplicações? 11 OWASP
Ou Segurança de Aplicações! OWASP 12
Vendendo Segurança de Aplicações Demonstre a Necessidade Gere Ganhos rápidos Colha as Frutas debaixo do pé Realize o processo em etapas OWASP 13
Metodologias OpenSAMM BSIMM3 Microsoft SDL CLASP… OWASP 14
Metodologias Definir e Avaliar a estratégia de segurança Identificar atividades Medir a maturidade OWASP 15
Processo em etapas Priorização (Mais Crítico, Maior Risco, Menor Investimento e Maior Impacto) Maior maturidade -> Maiores desafios OWASP 16
Ferramentas SAST X DAST Manuais X Automatizadas Software Livre X Proprietárias Educação e Grupos de estudo OWASP! OWASP 17
SAST OWASP LAPSE+ - JAVA EE Vulnerabilidades já detectadas: Parameter Tampering. URL Tampering. Header Manipulation. Cookie Poisoning. SQL Injection. Cross-site Scripting (XSS). HTTP Response Splitting. Command Injection. Path Traversal. XPath Injection. XML Injection. LDAP Injection. OWASP 18
SAST Graudit Uso: graudit /path/to/scan Suporta: asp, jsp, perl, php e python Exemplos: # PHP: mysql_connects*(.*$.*) # JSP: request.getParameter # PERL: prints*.*$.*->param(?.*)? OWASP
DAST - Comparação Vulnerabilidades encontradas por Risco Ferramenta Alto Médio Baixo Informativas Tempo de execução total w3af 4 1 81 18 minutos Websecurify 4 30 segundos Skipfish 8 2 20 2 horas e 26 minutos OWASP
DAST W3af (Web Application Attack and Audit Framework) OWASP 21
Gestão e Classificação de Vulnerabilidades OWASP TOP 10 2010 OWASP Risk Rating CVSS OWASP 22
Security Dashboard Dando visibilidade ao seu programa de segurança “You Can’t Manage What You Can’t Measure”OWASP 23
Security Dashboard Exemplo OWASP 24
Métricas de Segurança de Aplicações Vulnerabilidades por nível de Risco URLs Vulneráveis vs Não-Vulneráveis Vulnerabilidades por Classificação OWASP TOP 10 2010 OWASP 25
Métricas de Segurança de Aplicações Vulnerabilidades por Tecnologia (Java, .NET, PHP) Vulnerabilidades por linhas de código Vulnerabilidades White-box versus Black-Box Tempo Médio para Mitigação Vulnerabilidades por oferta Vulnerabilidades por trimestre OWASP 26
Multinacionais brasileiras e as questões de conformidade Grandes clientes Regulamentações Multas Classificação de dados local OWASP 27
OWASP 28
Concluindo Vantagem competitiva Proteção Menor Risco Seguro Marketing Sustentabilidade OWASP 29
POIS SEGURANÇA DE APLICAÇÕES DEVE SER PRIORIDADE OWASP 30
“Defender e proteger os dados dos clientes evitando a quebra de confiança e a conseqüente perda de receita deve ser a missão de cada colaborador. Todos somos responsáveis pela Segurança da Informação. Segurança quantificada e madura, permeando toda a organização e reduzindo riscos para o negócio deve fazer parte da estratégia para a garantia da Sustentabilidade.” — Rafael B. Brinhosa OWASP 31
QUESTÕES ? Rafael B. Brinhosa rafael@brinhosa.com.br @brinhosa http://linkedin.com/in/brinhosa http://about.me/brinhosa OWASP 32

Recomendados

Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - ApresentaçãoDécio Castaldi, MBA/FIAP
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreiraAntar Ferreira
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de softwareJeronimo Zucco
 

Recomendados

Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - ApresentaçãoDécio Castaldi, MBA/FIAP
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreiraAntar Ferreira
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de softwareJeronimo Zucco
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorAlcyon Ferreira de Souza Junior, MSc
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Alcyon Ferreira de Souza Junior, MSc
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...Rubens Guimarães - MTAC MVP
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 
Web Hacking
Web HackingWeb Hacking
Web HackingDenny Vriesman
 
Segurança da informação - Aula 8 - Revisão 1º Semestre
Segurança da informação - Aula 8 - Revisão 1º SemestreSegurança da informação - Aula 8 - Revisão 1º Semestre
Segurança da informação - Aula 8 - Revisão 1º SemestreCleber Fonseca
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações webSynergia - Engenharia de Software e Sistemas
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraVinícius Schmidt
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Kleitor Franklint Correa Araujo
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app webKleitor Franklint Correa Araujo
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP Brasília
 
Seguranca da computacao
Seguranca da computacaoSeguranca da computacao
Seguranca da computacaoFabio Roberto
 
Desenvolvimento Seguro Android GDG RIO
Desenvolvimento Seguro Android GDG RIODesenvolvimento Seguro Android GDG RIO
Desenvolvimento Seguro Android GDG RIOAugusto Marinho
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSeguraKeySupport Consultoria e Informática Ltda
 

Mais conteúdo relacionado

Mais procurados

Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Alcyon Ferreira de Souza Junior, MSc
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...Rubens Guimarães - MTAC MVP
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 
Segurança da informação - Aula 8 - Revisão 1º Semestre
Segurança da informação - Aula 8 - Revisão 1º SemestreSegurança da informação - Aula 8 - Revisão 1º Semestre
Segurança da informação - Aula 8 - Revisão 1º SemestreCleber Fonseca
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraVinícius Schmidt
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP Brasília
 
Seguranca da computacao
Seguranca da computacaoSeguranca da computacao
Seguranca da computacaoFabio Roberto
 
Desenvolvimento Seguro Android GDG RIO
Desenvolvimento Seguro Android GDG RIODesenvolvimento Seguro Android GDG RIO
Desenvolvimento Seguro Android GDG RIOAugusto Marinho
 

Mais procurados (20)

Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
 
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
 
Web Hacking
Web HackingWeb Hacking
Web Hacking
 
Segurança da informação - Aula 8 - Revisão 1º Semestre
Segurança da informação - Aula 8 - Revisão 1º SemestreSegurança da informação - Aula 8 - Revisão 1º Semestre
Segurança da informação - Aula 8 - Revisão 1º Semestre
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - Dextra
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHA
 
Seguranca da computacao
Seguranca da computacaoSeguranca da computacao
Seguranca da computacao
 
Desenvolvimento Seguro Android GDG RIO
Desenvolvimento Seguro Android GDG RIODesenvolvimento Seguro Android GDG RIO
Desenvolvimento Seguro Android GDG RIO
 

Destaque

Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
Orientacao a objetos e design patterns - Secomp Londrina
Orientacao a objetos e design patterns - Secomp LondrinaOrientacao a objetos e design patterns - Secomp Londrina
Orientacao a objetos e design patterns - Secomp LondrinaVinicius Quaiato
 
Start-ups no Brasil: Documentação na Estruturação de Empreendimentos
Start-ups no Brasil: Documentação na Estruturação de EmpreendimentosStart-ups no Brasil: Documentação na Estruturação de Empreendimentos
Start-ups no Brasil: Documentação na Estruturação de EmpreendimentosGilberto C Porto
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-StalkerEduardo Lanna
 
Padrões de Projeto J2EE para Aplicações Web
Padrões de Projeto J2EE para Aplicações WebPadrões de Projeto J2EE para Aplicações Web
Padrões de Projeto J2EE para Aplicações WebDenis L Presciliano
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security
 
IaaS and Software Defined Network
IaaS and Software Defined NetworkIaaS and Software Defined Network
IaaS and Software Defined NetworkiMasters
 
Métodos Ágeis e o PMBOK
Métodos Ágeis e o PMBOKMétodos Ágeis e o PMBOK
Métodos Ágeis e o PMBOKFelipe Plets
 
Processo Unificado(RUP)
Processo Unificado(RUP)Processo Unificado(RUP)
Processo Unificado(RUP)elliando dias
 
Padrões de Projeto - Design Patterns e Anti-Patterns
Padrões de Projeto - Design Patterns e Anti-PatternsPadrões de Projeto - Design Patterns e Anti-Patterns
Padrões de Projeto - Design Patterns e Anti-PatternsRodrigo Kono
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosKelve Aragão
 
Validação e Testes de software
Validação e Testes de softwareValidação e Testes de software
Validação e Testes de softwareRondinelli Mesquita
 
Sistemas operativos servidor
Sistemas operativos servidorSistemas operativos servidor
Sistemas operativos servidorJoao Andre Picao
 

Destaque (20)

Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
Orientacao a objetos e design patterns - Secomp Londrina
Orientacao a objetos e design patterns - Secomp LondrinaOrientacao a objetos e design patterns - Secomp Londrina
Orientacao a objetos e design patterns - Secomp Londrina
 
Start-ups no Brasil: Documentação na Estruturação de Empreendimentos
Start-ups no Brasil: Documentação na Estruturação de EmpreendimentosStart-ups no Brasil: Documentação na Estruturação de Empreendimentos
Start-ups no Brasil: Documentação na Estruturação de Empreendimentos
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker
 
Padrões de Projeto J2EE para Aplicações Web
Padrões de Projeto J2EE para Aplicações WebPadrões de Projeto J2EE para Aplicações Web
Padrões de Projeto J2EE para Aplicações Web
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - Backdoor
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
 
IaaS and Software Defined Network
IaaS and Software Defined NetworkIaaS and Software Defined Network
IaaS and Software Defined Network
 
Cloud Ops
Cloud OpsCloud Ops
Cloud Ops
 
Métodos Ágeis e o PMBOK
Métodos Ágeis e o PMBOKMétodos Ágeis e o PMBOK
Métodos Ágeis e o PMBOK
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
 
Aula 8 - SQL Injection
Aula 8 - SQL InjectionAula 8 - SQL Injection
Aula 8 - SQL Injection
 
Processo Unificado(RUP)
Processo Unificado(RUP)Processo Unificado(RUP)
Processo Unificado(RUP)
 
Padrões de Projeto - Design Patterns e Anti-Patterns
Padrões de Projeto - Design Patterns e Anti-PatternsPadrões de Projeto - Design Patterns e Anti-Patterns
Padrões de Projeto - Design Patterns e Anti-Patterns
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dados
 
Validação e Testes de software
Validação e Testes de softwareValidação e Testes de software
Validação e Testes de software
 
Sistemas operativos servidor
Sistemas operativos servidorSistemas operativos servidor
Sistemas operativos servidor
 
eXtensible Markup Language (XML)
eXtensible Markup Language (XML)eXtensible Markup Language (XML)
eXtensible Markup Language (XML)
 
eXtreme Programming (XP)
eXtreme Programming (XP)eXtreme Programming (XP)
eXtreme Programming (XP)
 

Semelhante a Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organização ainda não é prioridade?

OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BRMagno Logan
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP Brasília
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalCarlos Serrao
 
Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-brSérgio FePro
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
CLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiCLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiTI Safe
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
CLASS 2016 - Rafael Soares
CLASS 2016 - Rafael SoaresCLASS 2016 - Rafael Soares
CLASS 2016 - Rafael SoaresTI Safe
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 

Semelhante a Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organização ainda não é prioridade? (20)

Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BR
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de Fatima
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
 
Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-br
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
WebGoat Project
WebGoat ProjectWebGoat Project
WebGoat Project
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
CLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiCLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos Mandolesi
 
WebGoat Project
WebGoat ProjectWebGoat Project
WebGoat Project
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016
 
CLASS 2016 - Rafael Soares
CLASS 2016 - Rafael SoaresCLASS 2016 - Rafael Soares
CLASS 2016 - Rafael Soares
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 

Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organização ainda não é prioridade?

  • 1. Segurança de Aplicações, para sua organização ainda não é prioridade? Rafael B. Brinhosa rafael@brinhosa.com.br @brinhosa http://about.me/brinhosa OWASP 07/10/2011 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  • 2. AGENDA Vendendo Segurança de Aplicações Programa de Segurança Metodologias Processo em etapas Ferramentas Gestão e Classificação de Vulnerabilidades Security Dashboard Métricas de Segurança de Aplicações Multinacionais brasileiras e as questões de conformidade Conclusões OWASP 2
  • 3. Rafael B. Brinhosa Formação acadêmica MBA em Gestão Estratégica - Universidade Federal do Paraná (cursando) Mestrado em Ciência da Computação - Universidade Federal de Santa Catarina, Graduado em Sistemas de Informação - Universidade Federal de Santa Catarina Principais certificações ISO/IEC 27002, ISC(2) CSSLP, ISEB/ISTQB (CTFL), ITIL-F Atuação profissional Começou em 1998 com a TCSUL, logo após: EAMSC, CDI, DMI, LRG, EDS (agora HP), DELL, NeoGrid / Agentrics… Atualmente – Segurança da Informação NeoGrid (Brasil) e Agentrics (EUA, Europa e Ásia), Comissão de SI e de Inovação Professor Univille (disciplinas ligadas à computação). Pesquisa Framework WSIVM para Segurança em Web Services … Membro OWASP e CSA Brasil OWASP 3
  • 4. Segurança de aplicações ainda não é prioridade na sua organização? Você armazena dados de clientes? Você desenvolve sistemas para os clientes? (Clientes Internos? Externos? SaaS? In-house?) Você terceiriza o desenvolvimento? OWASP 4
  • 5. Se você busca… Sustentabilidade Financeira OWASP 5
  • 6. Precisa evitar… Processos na justiça Perda de credibilidade Queda nas ações Reputação afetada Imagem desgastada Perda de Clientes (Potenciais e de Base) Multas por regulamentações (Canadian Privacy Act, SOX, PCI) Utilização de recursos internos com propósitos indevidos Servir de vetor de ataque aos sistemas de Clientes Consequente perda de receitas! OWASP
  • 7. Talvez ela deva ser priorizada. Alguns dados… Durante 2010, em média foram encontradas 230 vulnerabilidades sérias para cada web-site. White-Hat Security Winter 2011 Report Quando testadas pela primeira vez, mais da metade de todas as aplicações falharam em atingir níveis aceitáveis de segurança, e mais de 8 em cada 10 aplicações falhou em cumprir a OWASP Top 10. Veracode State of Software Security Report Volume 3 2011 OWASP 7
  • 8. OWASP 8
  • 9. OWASP 9
  • 12. Ou Segurança de Aplicações! OWASP 12
  • 13. Vendendo Segurança de Aplicações Demonstre a Necessidade Gere Ganhos rápidos Colha as Frutas debaixo do pé Realize o processo em etapas OWASP 13
  • 14. Metodologias OpenSAMM BSIMM3 Microsoft SDL CLASP… OWASP 14
  • 15. Metodologias Definir e Avaliar a estratégia de segurança Identificar atividades Medir a maturidade OWASP 15
  • 16. Processo em etapas Priorização (Mais Crítico, Maior Risco, Menor Investimento e Maior Impacto) Maior maturidade -> Maiores desafios OWASP 16
  • 17. Ferramentas SAST X DAST Manuais X Automatizadas Software Livre X Proprietárias Educação e Grupos de estudo OWASP! OWASP 17
  • 18. SAST OWASP LAPSE+ - JAVA EE Vulnerabilidades já detectadas: Parameter Tampering. URL Tampering. Header Manipulation. Cookie Poisoning. SQL Injection. Cross-site Scripting (XSS). HTTP Response Splitting. Command Injection. Path Traversal. XPath Injection. XML Injection. LDAP Injection. OWASP 18
  • 19. SAST Graudit Uso: graudit /path/to/scan Suporta: asp, jsp, perl, php e python Exemplos: # PHP: mysql_connects*(.*$.*) # JSP: request.getParameter # PERL: prints*.*$.*->param(?.*)? OWASP
  • 20. DAST - Comparação Vulnerabilidades encontradas por Risco Ferramenta Alto Médio Baixo Informativas Tempo de execução total w3af 4 1 81 18 minutos Websecurify 4 30 segundos Skipfish 8 2 20 2 horas e 26 minutos OWASP
  • 21. DAST W3af (Web Application Attack and Audit Framework) OWASP 21
  • 22. Gestão e Classificação de Vulnerabilidades OWASP TOP 10 2010 OWASP Risk Rating CVSS OWASP 22
  • 23. Security Dashboard Dando visibilidade ao seu programa de segurança “You Can’t Manage What You Can’t Measure”OWASP 23
  • 25. Métricas de Segurança de Aplicações Vulnerabilidades por nível de Risco URLs Vulneráveis vs Não-Vulneráveis Vulnerabilidades por Classificação OWASP TOP 10 2010 OWASP 25
  • 26. Métricas de Segurança de Aplicações Vulnerabilidades por Tecnologia (Java, .NET, PHP) Vulnerabilidades por linhas de código Vulnerabilidades White-box versus Black-Box Tempo Médio para Mitigação Vulnerabilidades por oferta Vulnerabilidades por trimestre OWASP 26
  • 27. Multinacionais brasileiras e as questões de conformidade Grandes clientes Regulamentações Multas Classificação de dados local OWASP 27
  • 28. OWASP 28
  • 29. Concluindo Vantagem competitiva Proteção Menor Risco Seguro Marketing Sustentabilidade OWASP 29
  • 30. POIS SEGURANÇA DE APLICAÇÕES DEVE SER PRIORIDADE OWASP 30
  • 31. “Defender e proteger os dados dos clientes evitando a quebra de confiança e a conseqüente perda de receita deve ser a missão de cada colaborador. Todos somos responsáveis pela Segurança da Informação. Segurança quantificada e madura, permeando toda a organização e reduzindo riscos para o negócio deve fazer parte da estratégia para a garantia da Sustentabilidade.” — Rafael B. Brinhosa OWASP 31
  • 32. QUESTÕES ? Rafael B. Brinhosa rafael@brinhosa.com.br @brinhosa http://linkedin.com/in/brinhosa http://about.me/brinhosa OWASP 32