SlideShare uma empresa Scribd logo
1 de 47
Baixar para ler offline
Kleitor Franklint
DESENVOLVIMENTODESENVOLVIMENTO
SEGUROSEGURO
KLEITOR
Entusiasta da Vida,
Qualidade,
Colaborativos,
Ágil,
Teste e
Testes Ágeis.
kleitor.franklint@gmail.com
br.linkedin.com/in/kfranklint
92-99416-0873
OWASP
A necessidade de Aplicações Seguras
Heróis da Segurança
RoteiroRoteiro
OWASP TOP 10
Modelagem de Riscos
Aplicações Seguras: mitos e verdades
Pen Test x Revisão de Código
SPTSO: como colaboramos?
Ferramentas para o time
RoteiroRoteiro
Classificação de ameaças
Heróis da segurança da informaçãoHeróis da segurança da informação
Uma relação baseada em 5 pontos-chave:Uma relação baseada em 5 pontos-chave:
E se...E se...
E por que não?E por que não?
Como ser mais ágil mantendo a qualidade?Como ser mais ágil mantendo a qualidade?
Como fazer de um jeito mais seguro?Como fazer de um jeito mais seguro?
Mostre-me!Mostre-me!
Riscos;
Possibilidades;
Dinamismo e Ritmo;
Qualidade;
Visão de time;
O Relacionamento com Cliente...
O bom ter o cliente satisfeito!!!
... Mas ele sabe dos riscos
da aplicação: credibilidade,
finanças, vidas?
... E eu profissional, conheço
esses riscos ao entregar a
aplicação e fornecer
treinamento?
Objetivos:Objetivos: Montando o quebra-cabeças...Montando o quebra-cabeças...
Quem deve estar envolvido com desenvolvimento seguro?
Quanto de responsabilidade tem o desenvolvimento sobre
danos à credibilidade da empresa, perdas financeiras e
vidas?
De que forma implementar e aferir a segurança do
produto?
Como e onde aprender mais sobre segurança?
Como são os testes da Fábrica de Teste e quais as implicações na
análise de resultados?
Em que instante do ciclo de vida do produto devo pensar
em segurança?
(Open Web Application Security Project)
• Organização internacional que recebe iniciativas de todo o mundo;
• Comunidade aberta dedicada a possibilitar a criação de aplicações
confiáveis;
• Todas as ferramentas, documentos, fóruns e capítulos são livres e
abertos a todos interessados;
http://www.owasp.org/index.php/About_OWASP
03:29 PM
Um pouco sobre a OWASP
OWASP – Manifesto e Testing GuideOWASP – Manifesto e Testing Guide
03:29 PM
OWASP – LivrosOWASP – Livros
03:29 PM
OWASP – ProjetosOWASP – Projetos
03:29 PM
OWASP – AprendizagemOWASP – Aprendizagem
OWASP Hackademic Challenges Project
https://www.owasp.org/index.php/OWASP_Hackademic_Challenges_Project
OWASP BROKEN WEB APPLICATIONS PROJECT
-OWASP WebGoat (Java)
-OWASP Vicnum (PHP/Perl)
-Mutillidae version 1.5 (PHP)
-Damn Vulnerable Web Application(PHP)
-OWASP CSRFGuard Test Application
(Java) – Broken and “Not broken” versions
03:29 PM
Ampliar conhecimentos em testes de invasão e
reconhecimento de padrões maliciosos
Aplicações SegurasAplicações Seguras
Então... Vamos todos fazer parte da OWASP?
03:29 PM
Não paga nada!
Não precisar fornecer CPF e Cartão de
Crédito!
Não tem consulta ao SPC e Serasa!
...E nem precisa ter signo compatível 
Segurança de aplicações, o Grande CenárioSegurança de aplicações, o Grande Cenário
As coisas têm mudado nos últimos anos!!!As coisas têm mudado nos últimos anos!!!
03:29 PM
Os bugs mudaram só um pouquinho…Os bugs mudaram só um pouquinho…
WWWWWW –– Wild, Wild, WildWild, Wild, Wild
03:29 PM
Percepção das AmeaçasPercepção das Ameaças
03:29 PM
Por que precisamos de aplicações seguras?Por que precisamos de aplicações seguras?
Aplicações têm se tornado o alvo primário dos ataques
Applications
Platforms
OS
HW
Volátil
Estável
Muitos
Poucos
Fonte: Information Assurance Directorate, National Security Agency
03:29 PM
Por que precisamos de aplicações seguras?Por que precisamos de aplicações seguras?
75% ( 60~90) de todos os ataques ocorrem na camada de aplicação;
Fontes: OWASP, CWE, WASC, NIST, CERT, Black hat, White Hat, Sans Institute, Gartner Group.
90% das aplicãções web são vulneráveis;
1,000,000 sites usam SSL (~7,000,000 vulnerabilidades de localização
desconhecida);
17,000,000 de desenvolvedores: poucos treinados em segurança de
software;
03:29 PM
Por que precisamos de aplicações seguras?Por que precisamos de aplicações seguras?
Prioridade Um: Software no lado do cliente que permanece sem
correções. (Sans Intitute);
O impacto de aplicações inseguras sobre a econômia: custa de 30 a
100x mais corrigir defeitos na fase de teste de sistema que na
avaliação de código;
87% dos entrevistados: desenvolvimento de software sem qualidade é
o “top threat” nos últimos 12 meses ( CERT, 2009)
92% das vulnerabilidades estão no software (NIST).
03:29 PM
Como provar que a aplicação está segura?Como provar que a aplicação está segura?
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
Pode deixar, Chefe... Tá tudo sob controle!Pode deixar, Chefe... Tá tudo sob controle!
"Web Hacking Incidents Revealed:Trends, Stats and How to Defend", Ryan Barnett
OWASP – TOP 10 Vulnerabilidades
http://www.owasp.org/index.php/Top_10
Todo o time envolvido comTodo o time envolvido com
aplicações externas, internas e ferramentas de uso diárioaplicações externas, internas e ferramentas de uso diário
Modelagem de RiscosModelagem de Riscos
OWASP TOP 10 2010
Classificação de Riscos:
OWASP Risk Rating Methodology
Modelagem de Riscos de Ameaças:
OWASP Threat Risk Modeling
Microsoft Threat Analysis & Modeling
NÓS PODEMOS COLABORARNÓS PODEMOS COLABORAR
03:29 PM
Colabora à busca de equilíbrio: Time do Market x Qualidade;
Colabora com Agilidade na qualidade de software;
Melhora visibilidade para tomada de decisão;
Ajudar a definir foco em projetos de prazos justos;
Colabora estrategicamente com a correção de defeitos;
Possibilita que o time saiba em que direção enxergar;
Melhora a visão da gestão de configuração e mudanças.
Modelagem de RiscosModelagem de Riscos
03:29 PM
Ajuda a enxergar o elo mais fraco da cadeiaAjuda a enxergar o elo mais fraco da cadeia
Modelagem de riscosModelagem de riscos
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
Aplicações Seguras:Aplicações Seguras: MitosMitos ee VerdadesVerdades
-Pen test automatizado ( scanners) detectam tudo!!
Não é verdade, necessitam ser complementados de Análise Passiva de
Código e Testes Manuais.
Limitações: são baseados em respostas; limitações quanto à detecção
em camadas mais escondidas do software.
-Protegi todas as camadas do modelo OSI, a aplicação está segura!!
Não é verdade, segurança é a soma dos complementos e as
vulnerabilidades oriundas da aplicação necessitam ser sanadas.
03:29 PM
É só pegar o relatório da ferramenta e apresentar!!
Não é verdade, o relatório é um artefato morto senão levar em conta
muitos aspectos de riscos, regras de negócios, Time do market, fatores
ambientais e estruturais na avaliação, além da análise cautelosa de
Falsos Positivo / Negativo entre outros.
Aplicações Seguras:Aplicações Seguras: MitosMitos ee VerdadesVerdades
Falhas
Reveladas
Falhas
localizadas
Ident.
Pontos
fracos
Vantagem # of End
Points
Code
Rev
Pen
Test
Code
Rev
Pen
Test
Code
Rev
Pen
Test
Injection 5 2 5 2 5 1 Code Review Across App
XSS 4 3 4 2 4 2 Code Review Across App
AuthN 3 4 4 3 3 3 Tie? 1
Obj Ref 4 4 5 3 4 2 Code Review Across App
CSRF 4 4 5 4 4 2 Code Review Across App
Config 2 4 5 5 2 4 Test A few
URL Access
5 4 5 4 4 2 Code Review Across App
Crypto
Storage
5 1 5 1 5 1 Code Review A few
Transport 2 4 3 4 2 4 Test A few
Redirect 5 3 5 3 5 2 Code Review A few
TOTALS 39 34 46 31 38 23
Análise comparativa:Análise comparativa: Pen Test x Rev. CódigoPen Test x Rev. Código
Classificação de ameaças pela WASCClassificação de ameaças pela WASC
WASC THREAT CLASSIFICATION, 2010
Localização das vulnerabilidades naLocalização das vulnerabilidades na
““Visão de Fase de DesenvolvimentoVisão de Fase de Desenvolvimento””
Design Implementação Deploy
13 42 12
46 vulnerabilidades ao todo46 vulnerabilidades ao todo
03:29 PM
Vulnerabilidade Design Implementação Deploy
Classificação de Ameaças: detalhamentoClassificação de Ameaças: detalhamento
03:29 PM
Classificação de Ameaças: detalhamentoClassificação de Ameaças: detalhamento
Vulnerabilidade Design Implementação Deploy
Classificação de Ameaças: detalhamentoClassificação de Ameaças: detalhamento
Vulnerabilidade Design Implementação Deploy
03:29 PM
Classificação de Ameaças: detalhamentoClassificação de Ameaças: detalhamento
Vulnerabilidade Design Implementação Deploy
Como identificá-las?
Nós podemos colaborar
Ameaças à saúde do softwareAmeaças à saúde do software
03:29 PM
VISÃO DE CICLO DE VIDA:VISÃO DE CICLO DE VIDA: ÁGIL E RASTREÁVELÁGIL E RASTREÁVEL
Iniciação e
planejamento
Sistema Construído
com qualidade
A cada iteração da
Implementação do
Produto
Release Parcial /
Total do produto
Estimar Riscos e Requisitos;
Plano de teste: identificar;
e dimensionar CT por estórias, UC, outros.
Estimar Riscos e Requisitos;
Plano de Teste;
Colaborar e aprender com Teste Unitário;
Testes Exploratórios de testadores e Desenvolvedores;
Teste de API; Análise passiva de vulnerabilidades;
Gerar / Acompanhar lista de correções de defeitos;
Automatizar testes.
Testes de Sistema
( 1ª iteração de testes, testes de regressão);
Automatizar testes;
Teste de Carga, Performance, Segurança;
Teste de aceitação (UAT);
Gerar / Acompanhar lista de correções de defeitos.
SPTSO:SPTSO: Técnicas de VerificaçãoTécnicas de Verificação
Scanner
automatizado de
vulnerabilidades
Análise automatizada
de código
Teste Manual de
invasão ( Pen Test )
Revisão manual de
código
Falsos Positivos, Falsos Negativos, Camadas indetectáveis.
AplicaçãoAplicação
RISCOS
03:29 PM
SPTSO:SPTSO: Análise de resultadoAnálise de resultado
Time to market
Usabilidade,
Disponibilidade
e Desempenho
Resultados dos
Testes
Implicações de Regras
de Negócio, outros
AplicaçãoAplicação
RISCOS
CRITICIDADE, IMPACTO, PROBABILIDADE IMPLICAÇÕES
RECOMENDAÇÕES
FerramentasFerramentas
para o timepara o time
Desenvolvimento SeguroDesenvolvimento Seguro
Ferramentas para o time de DesenvolvimentoFerramentas para o time de Desenvolvimento
ESAPI - OWASP Enterprise Security API (ESAPI) Project
https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
Biblioteca open source de controle segurança de aplicações Web que torna
fácil aos desenvolvedores escreverem aplicações de baixo risco.
03:29 PM
Ferramentas para Testadores e DesenvolvedoresFerramentas para Testadores e Desenvolvedores
SAST ( Static Application Security Testing)
OWASP LAPSE + JAVA EE
https://www.owasp.org/index.php/OWASP_LAPSE_Project
FxCop .NET
https://www.owasp.org/index.php/FxCop
RIPS PHP
http://sourceforge.net/projects/rips-scanner/
GRAUDIT
Suporta: php, asp, perl e python
http://www.justanotherhacker.com/projects/graudit/download.html
03:29 PM
Ferram. para times da Infra, Teste, Desenv.Ferram. para times da Infra, Teste, Desenv.
W3AF (Web Application Attack and Audit Framework )
http://w3af.sourceforge.net/
SKIPFISH
http://code.google.com/p/skipfish/
NIKTO
http://cirt.net/nikto2
DAST ( Dinamic Application Security
Testing )
03:29 PM
Ferramentas para o time da InfraestruturaFerramentas para o time da Infraestrutura
ModSecurity ( Módulo Apache )
http://www.modsecurity.org/
WAF ( Web Application Firewall )
03:29 PM
Ferramentas para todos os TimesFerramentas para todos os Times
Modelos de maturidade: Onde estamos? Onde queremos chegar? Quando
queremos chegar? Quem está envolvido? Como chegaremos lá? Etc...
OWASP OpenSAMM (Software Assurance Maturity Model )
https://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Model
OWASP CLASP (Comprehensive, Lightweight Application Security Process)
https://www.owasp.org/index.php/Category:OWASP_CLASP_Project
Microsoft SDL (Security Development Lifecycle )
http://www.microsoft.com/security/sdl/default.aspx
BSIMM (Building Security In Maturity Model )
http://bsimm.com/
03:29 PM
Ferramentas para times de Infra e testeFerramentas para times de Infra e teste
Capture: ( Honeyclient de alta interação) 
http://capture-hpc.sourceforge.net/
SpyBye ( Servidor Proxy HTTP)  
http://www.monkey.org/~provos/spybye/
HONEYPOTS: Estudo do comportamento de ataques.
Complementos, não substitutos!
https://www.owasp.org/index.php/Phoenix/Tools#Honeyclients.2C_Web_Application.2C_and_Web_Prox
y_honeypots
http://www.cert.br/docs/whitepapers/honeypots-honeynets/
http://www.cert.br/docs/palestras/certbr-campus-party2011-1.pdf
HoneyPots:HoneyPots: Benefícios na Mitigação de Riscos
Benefícios ISO/IEC 27001 COBIT
Criar cultura de consciência de risco
-Avaliar ameaças à TI
-Impacto de ataques aos negócios
4.2 P09
Promover a codificação segura
-Identificar vulnerabilidades de código
-Teste em ambiente "live test"
A.12.2 AI2
Detecção de código malicioso
- Monitoração atividade não usual
- Redução de Falso Positivos
- Teste de malware em ambiente de teste
A.10.4.1 DS5.9
03:29 PM
HoneyPots:HoneyPots: Benefícios na Mitigação de Riscos
Benefícios ISO/IEC 27001 COBIT
Detecção de divulgação de informações
- Uso de informações como iscas (honeytokens)
A.12.5.4 DS11.6
Criar estrutura de gerenciamento de vulnerabilidade
-Identificar, analisar e corrigir "exploits"
-Estudo de ferramentas maliciosas
A.12.6 DS5.5
Criar estrutura de segurança de resposta a incidentes A.13.2.2 DS5.6
IBWAS 2010 From Risk Awareness to Security Controls: Benefits of Honeypots to Companies
Sérgio Nunes & Miguel Correia
47
POSSO COLABORAR COM
MAIS RESPOSTAS?
kleitor.franklint@gmail.com
br.linkedin.com/in/kfranklint
92-99416-0873

Mais conteúdo relacionado

Mais procurados

Secure coding practices
Secure coding practicesSecure coding practices
Secure coding practicesScott Hurrey
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesVagner Rodrigues Fernandes
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Defesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosDefesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosGian Gabriel Guglielmelli
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Introdução à Engenharia de Software
Introdução à Engenharia de SoftwareIntrodução à Engenharia de Software
Introdução à Engenharia de SoftwareNécio de Lima Veras
 
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Clavis Segurança da Informação
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Banco de questões qualidade de software
Banco de questões qualidade de softwareBanco de questões qualidade de software
Banco de questões qualidade de softwareBruno Nascimento
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...EyesOpen Association
 
Secure coding presentation Oct 3 2020
Secure coding presentation Oct 3 2020Secure coding presentation Oct 3 2020
Secure coding presentation Oct 3 2020Moataz Kamel
 
Secure Software Development Lifecycle
Secure Software Development LifecycleSecure Software Development Lifecycle
Secure Software Development Lifecycle1&1
 
Software security engineering
Software security engineeringSoftware security engineering
Software security engineeringAHM Pervej Kabir
 

Mais procurados (20)

Secure coding practices
Secure coding practicesSecure coding practices
Secure coding practices
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Defesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosDefesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e Práticos
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Introdução à Engenharia de Software
Introdução à Engenharia de SoftwareIntrodução à Engenharia de Software
Introdução à Engenharia de Software
 
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Banco de questões qualidade de software
Banco de questões qualidade de softwareBanco de questões qualidade de software
Banco de questões qualidade de software
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
 
Secure coding presentation Oct 3 2020
Secure coding presentation Oct 3 2020Secure coding presentation Oct 3 2020
Secure coding presentation Oct 3 2020
 
Secure Software Development Lifecycle
Secure Software Development LifecycleSecure Software Development Lifecycle
Secure Software Development Lifecycle
 
Software security engineering
Software security engineeringSoftware security engineering
Software security engineering
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Secure Design: Threat Modeling
Secure Design: Threat ModelingSecure Design: Threat Modeling
Secure Design: Threat Modeling
 

Destaque

Vinculacion1
Vinculacion1Vinculacion1
Vinculacion1addia2010
 
Tarde te ame
Tarde te ameTarde te ame
Tarde te amegotiscor
 
Copy of mais_saude_ucpel
Copy of mais_saude_ucpelCopy of mais_saude_ucpel
Copy of mais_saude_ucpelgirlian
 
Lei Orgânica do Município de Cordeirópolis
Lei Orgânica do Município de CordeirópolisLei Orgânica do Município de Cordeirópolis
Lei Orgânica do Município de CordeirópolisPaulo Tamiazo
 
Las leyes de la dialéctica
Las leyes de la dialécticaLas leyes de la dialéctica
Las leyes de la dialécticaAngie Ortega
 
Copy of trabajo de microsoft excel l
Copy of trabajo de microsoft excel lCopy of trabajo de microsoft excel l
Copy of trabajo de microsoft excel lramosprimila
 
Model storming - a different approach to collaborative model discovery (Vilni...
Model storming - a different approach to collaborative model discovery (Vilni...Model storming - a different approach to collaborative model discovery (Vilni...
Model storming - a different approach to collaborative model discovery (Vilni...Alberto Brandolini
 
Apresentação qualidade
Apresentação qualidadeApresentação qualidade
Apresentação qualidadeConsulges
 
Why Limit WIP?
Why Limit WIP?  Why Limit WIP?
Why Limit WIP? LeanKit
 
PENCATATAN AKUNTANSi yang digunakan dalam PT.KAI (persero)
PENCATATAN AKUNTANSi yang digunakan dalam PT.KAI (persero)PENCATATAN AKUNTANSi yang digunakan dalam PT.KAI (persero)
PENCATATAN AKUNTANSi yang digunakan dalam PT.KAI (persero)Kartika Dwi Rachmawati
 

Destaque (20)

Estimativa de Teste sem medo - Introdução 2015
Estimativa de Teste sem medo - Introdução 2015Estimativa de Teste sem medo - Introdução 2015
Estimativa de Teste sem medo - Introdução 2015
 
Gestão de projeto- conceitos essenciais
Gestão de projeto- conceitos essenciaisGestão de projeto- conceitos essenciais
Gestão de projeto- conceitos essenciais
 
Mod12 japao
Mod12 japaoMod12 japao
Mod12 japao
 
Vinculacion1
Vinculacion1Vinculacion1
Vinculacion1
 
Feria proyecdemos 2011
Feria proyecdemos 2011Feria proyecdemos 2011
Feria proyecdemos 2011
 
Grupo ceep de teatro
Grupo ceep de teatroGrupo ceep de teatro
Grupo ceep de teatro
 
Tarde te ame
Tarde te ameTarde te ame
Tarde te ame
 
Fazenda Esperança
Fazenda Esperança  Fazenda Esperança
Fazenda Esperança
 
Copy of mais_saude_ucpel
Copy of mais_saude_ucpelCopy of mais_saude_ucpel
Copy of mais_saude_ucpel
 
Lei Orgânica do Município de Cordeirópolis
Lei Orgânica do Município de CordeirópolisLei Orgânica do Município de Cordeirópolis
Lei Orgânica do Município de Cordeirópolis
 
Las leyes de la dialéctica
Las leyes de la dialécticaLas leyes de la dialéctica
Las leyes de la dialéctica
 
Copy of trabajo de microsoft excel l
Copy of trabajo de microsoft excel lCopy of trabajo de microsoft excel l
Copy of trabajo de microsoft excel l
 
Brunopres3
Brunopres3Brunopres3
Brunopres3
 
Model storming - a different approach to collaborative model discovery (Vilni...
Model storming - a different approach to collaborative model discovery (Vilni...Model storming - a different approach to collaborative model discovery (Vilni...
Model storming - a different approach to collaborative model discovery (Vilni...
 
Apresentação qualidade
Apresentação qualidadeApresentação qualidade
Apresentação qualidade
 
Agiidade na Qualidade de Software -2011
Agiidade na Qualidade de Software -2011Agiidade na Qualidade de Software -2011
Agiidade na Qualidade de Software -2011
 
Estimativa de Teste sem medo - parte 2
Estimativa de Teste sem medo - parte 2Estimativa de Teste sem medo - parte 2
Estimativa de Teste sem medo - parte 2
 
Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013
 
Why Limit WIP?
Why Limit WIP?  Why Limit WIP?
Why Limit WIP?
 
PENCATATAN AKUNTANSi yang digunakan dalam PT.KAI (persero)
PENCATATAN AKUNTANSi yang digunakan dalam PT.KAI (persero)PENCATATAN AKUNTANSi yang digunakan dalam PT.KAI (persero)
PENCATATAN AKUNTANSi yang digunakan dalam PT.KAI (persero)
 

Semelhante a Desenvolvimento Seguro- 2011

Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Rafael Brinhosa
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BRMagno Logan
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisRubens Guimarães - MTAC MVP
 
Campus Party Brasil 2010 - ALM - Application Lifecycle Management
Campus Party Brasil 2010 - ALM - Application Lifecycle ManagementCampus Party Brasil 2010 - ALM - Application Lifecycle Management
Campus Party Brasil 2010 - ALM - Application Lifecycle ManagementRamon Durães
 
Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-brSérgio FePro
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP Brasília
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentationBravo Tecnologia
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 

Semelhante a Desenvolvimento Seguro- 2011 (20)

Mobile App Security Test
Mobile App Security TestMobile App Security Test
Mobile App Security Test
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BR
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas Profissionais
 
Campus Party Brasil 2010 - ALM - Application Lifecycle Management
Campus Party Brasil 2010 - ALM - Application Lifecycle ManagementCampus Party Brasil 2010 - ALM - Application Lifecycle Management
Campus Party Brasil 2010 - ALM - Application Lifecycle Management
 
Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-br
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de Fatima
 
MTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento SeguroMTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento Seguro
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Introdução ao Teste de Software
Introdução ao Teste de SoftwareIntrodução ao Teste de Software
Introdução ao Teste de Software
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web Seguras
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Analise de Requisitos Software
Analise de Requisitos SoftwareAnalise de Requisitos Software
Analise de Requisitos Software
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentation
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 

Mais de Kleitor Franklint Correa Araujo

Automação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasAutomação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasKleitor Franklint Correa Araujo
 
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil -  praticas de fundamentosGestão de projeto PMBOK 5 com um Toque Agil -  praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentosKleitor Franklint Correa Araujo
 

Mais de Kleitor Franklint Correa Araujo (20)

Metricas (e previsões) acionáveis de projeto
Metricas (e previsões) acionáveis de projetoMetricas (e previsões) acionáveis de projeto
Metricas (e previsões) acionáveis de projeto
 
Modelagem com historias bem além dos requisitos
Modelagem com historias bem além dos requisitosModelagem com historias bem além dos requisitos
Modelagem com historias bem além dos requisitos
 
Engenharia de software Lean Kanban
Engenharia de software  Lean KanbanEngenharia de software  Lean Kanban
Engenharia de software Lean Kanban
 
Fundamentos Gestão de Escopo e Qualidade
Fundamentos Gestão de Escopo e QualidadeFundamentos Gestão de Escopo e Qualidade
Fundamentos Gestão de Escopo e Qualidade
 
MBA em projetos - Gestao Ágil
MBA em projetos - Gestao ÁgilMBA em projetos - Gestao Ágil
MBA em projetos - Gestao Ágil
 
Automação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasAutomação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégias
 
Papeis Ágeis - uma proposta operacional Scrum
Papeis Ágeis - uma proposta operacional ScrumPapeis Ágeis - uma proposta operacional Scrum
Papeis Ágeis - uma proposta operacional Scrum
 
Teste de software gestao e kaizen
Teste de software gestao e kaizenTeste de software gestao e kaizen
Teste de software gestao e kaizen
 
Introdução ao design de teste de software
Introdução ao design de teste de softwareIntrodução ao design de teste de software
Introdução ao design de teste de software
 
Gestao de Projeto com gráfico burndown
Gestao de Projeto com gráfico burndownGestao de Projeto com gráfico burndown
Gestao de Projeto com gráfico burndown
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 
Gestão Agil de tudo - Retrospectivas
Gestão Agil de tudo - RetrospectivasGestão Agil de tudo - Retrospectivas
Gestão Agil de tudo - Retrospectivas
 
Gestao Ágil do Backlog - Taskboards
Gestao Ágil do Backlog - TaskboardsGestao Ágil do Backlog - Taskboards
Gestao Ágil do Backlog - Taskboards
 
Gestão Ágil de tudo: Planejamento backlog
Gestão Ágil de tudo: Planejamento backlogGestão Ágil de tudo: Planejamento backlog
Gestão Ágil de tudo: Planejamento backlog
 
Gestao Ágil de Projeto - Reunião Diária
Gestao Ágil de Projeto - Reunião DiáriaGestao Ágil de Projeto - Reunião Diária
Gestao Ágil de Projeto - Reunião Diária
 
Agil - coisas essenciais de sempre
Agil - coisas essenciais de sempreAgil - coisas essenciais de sempre
Agil - coisas essenciais de sempre
 
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil -  praticas de fundamentosGestão de projeto PMBOK 5 com um Toque Agil -  praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
 
Test First, TDD e outros Bichos
Test First, TDD e outros BichosTest First, TDD e outros Bichos
Test First, TDD e outros Bichos
 
Teste Ágeis para todo o time
Teste Ágeis para todo o timeTeste Ágeis para todo o time
Teste Ágeis para todo o time
 

Desenvolvimento Seguro- 2011

  • 2. KLEITOR Entusiasta da Vida, Qualidade, Colaborativos, Ágil, Teste e Testes Ágeis. kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873
  • 3. OWASP A necessidade de Aplicações Seguras Heróis da Segurança RoteiroRoteiro OWASP TOP 10 Modelagem de Riscos
  • 4. Aplicações Seguras: mitos e verdades Pen Test x Revisão de Código SPTSO: como colaboramos? Ferramentas para o time RoteiroRoteiro Classificação de ameaças
  • 5. Heróis da segurança da informaçãoHeróis da segurança da informação Uma relação baseada em 5 pontos-chave:Uma relação baseada em 5 pontos-chave: E se...E se... E por que não?E por que não? Como ser mais ágil mantendo a qualidade?Como ser mais ágil mantendo a qualidade? Como fazer de um jeito mais seguro?Como fazer de um jeito mais seguro? Mostre-me!Mostre-me! Riscos; Possibilidades; Dinamismo e Ritmo; Qualidade; Visão de time;
  • 6. O Relacionamento com Cliente... O bom ter o cliente satisfeito!!! ... Mas ele sabe dos riscos da aplicação: credibilidade, finanças, vidas? ... E eu profissional, conheço esses riscos ao entregar a aplicação e fornecer treinamento?
  • 7. Objetivos:Objetivos: Montando o quebra-cabeças...Montando o quebra-cabeças... Quem deve estar envolvido com desenvolvimento seguro? Quanto de responsabilidade tem o desenvolvimento sobre danos à credibilidade da empresa, perdas financeiras e vidas? De que forma implementar e aferir a segurança do produto? Como e onde aprender mais sobre segurança? Como são os testes da Fábrica de Teste e quais as implicações na análise de resultados? Em que instante do ciclo de vida do produto devo pensar em segurança?
  • 8. (Open Web Application Security Project) • Organização internacional que recebe iniciativas de todo o mundo; • Comunidade aberta dedicada a possibilitar a criação de aplicações confiáveis; • Todas as ferramentas, documentos, fóruns e capítulos são livres e abertos a todos interessados; http://www.owasp.org/index.php/About_OWASP 03:29 PM Um pouco sobre a OWASP
  • 9. OWASP – Manifesto e Testing GuideOWASP – Manifesto e Testing Guide 03:29 PM
  • 10. OWASP – LivrosOWASP – Livros 03:29 PM
  • 11. OWASP – ProjetosOWASP – Projetos 03:29 PM
  • 12. OWASP – AprendizagemOWASP – Aprendizagem OWASP Hackademic Challenges Project https://www.owasp.org/index.php/OWASP_Hackademic_Challenges_Project OWASP BROKEN WEB APPLICATIONS PROJECT -OWASP WebGoat (Java) -OWASP Vicnum (PHP/Perl) -Mutillidae version 1.5 (PHP) -Damn Vulnerable Web Application(PHP) -OWASP CSRFGuard Test Application (Java) – Broken and “Not broken” versions 03:29 PM Ampliar conhecimentos em testes de invasão e reconhecimento de padrões maliciosos
  • 13. Aplicações SegurasAplicações Seguras Então... Vamos todos fazer parte da OWASP? 03:29 PM Não paga nada! Não precisar fornecer CPF e Cartão de Crédito! Não tem consulta ao SPC e Serasa! ...E nem precisa ter signo compatível 
  • 14. Segurança de aplicações, o Grande CenárioSegurança de aplicações, o Grande Cenário As coisas têm mudado nos últimos anos!!!As coisas têm mudado nos últimos anos!!! 03:29 PM
  • 15. Os bugs mudaram só um pouquinho…Os bugs mudaram só um pouquinho… WWWWWW –– Wild, Wild, WildWild, Wild, Wild 03:29 PM
  • 16. Percepção das AmeaçasPercepção das Ameaças 03:29 PM
  • 17. Por que precisamos de aplicações seguras?Por que precisamos de aplicações seguras? Aplicações têm se tornado o alvo primário dos ataques Applications Platforms OS HW Volátil Estável Muitos Poucos Fonte: Information Assurance Directorate, National Security Agency 03:29 PM
  • 18. Por que precisamos de aplicações seguras?Por que precisamos de aplicações seguras? 75% ( 60~90) de todos os ataques ocorrem na camada de aplicação; Fontes: OWASP, CWE, WASC, NIST, CERT, Black hat, White Hat, Sans Institute, Gartner Group. 90% das aplicãções web são vulneráveis; 1,000,000 sites usam SSL (~7,000,000 vulnerabilidades de localização desconhecida); 17,000,000 de desenvolvedores: poucos treinados em segurança de software; 03:29 PM
  • 19. Por que precisamos de aplicações seguras?Por que precisamos de aplicações seguras? Prioridade Um: Software no lado do cliente que permanece sem correções. (Sans Intitute); O impacto de aplicações inseguras sobre a econômia: custa de 30 a 100x mais corrigir defeitos na fase de teste de sistema que na avaliação de código; 87% dos entrevistados: desenvolvimento de software sem qualidade é o “top threat” nos últimos 12 meses ( CERT, 2009) 92% das vulnerabilidades estão no software (NIST). 03:29 PM
  • 20. Como provar que a aplicação está segura?Como provar que a aplicação está segura? "Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
  • 21. Pode deixar, Chefe... Tá tudo sob controle!Pode deixar, Chefe... Tá tudo sob controle! "Web Hacking Incidents Revealed:Trends, Stats and How to Defend", Ryan Barnett
  • 22. OWASP – TOP 10 Vulnerabilidades http://www.owasp.org/index.php/Top_10 Todo o time envolvido comTodo o time envolvido com aplicações externas, internas e ferramentas de uso diárioaplicações externas, internas e ferramentas de uso diário
  • 23. Modelagem de RiscosModelagem de Riscos OWASP TOP 10 2010 Classificação de Riscos: OWASP Risk Rating Methodology Modelagem de Riscos de Ameaças: OWASP Threat Risk Modeling Microsoft Threat Analysis & Modeling NÓS PODEMOS COLABORARNÓS PODEMOS COLABORAR 03:29 PM
  • 24. Colabora à busca de equilíbrio: Time do Market x Qualidade; Colabora com Agilidade na qualidade de software; Melhora visibilidade para tomada de decisão; Ajudar a definir foco em projetos de prazos justos; Colabora estrategicamente com a correção de defeitos; Possibilita que o time saiba em que direção enxergar; Melhora a visão da gestão de configuração e mudanças. Modelagem de RiscosModelagem de Riscos 03:29 PM
  • 25. Ajuda a enxergar o elo mais fraco da cadeiaAjuda a enxergar o elo mais fraco da cadeia Modelagem de riscosModelagem de riscos "Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
  • 26. Aplicações Seguras:Aplicações Seguras: MitosMitos ee VerdadesVerdades -Pen test automatizado ( scanners) detectam tudo!! Não é verdade, necessitam ser complementados de Análise Passiva de Código e Testes Manuais. Limitações: são baseados em respostas; limitações quanto à detecção em camadas mais escondidas do software. -Protegi todas as camadas do modelo OSI, a aplicação está segura!! Não é verdade, segurança é a soma dos complementos e as vulnerabilidades oriundas da aplicação necessitam ser sanadas. 03:29 PM
  • 27. É só pegar o relatório da ferramenta e apresentar!! Não é verdade, o relatório é um artefato morto senão levar em conta muitos aspectos de riscos, regras de negócios, Time do market, fatores ambientais e estruturais na avaliação, além da análise cautelosa de Falsos Positivo / Negativo entre outros. Aplicações Seguras:Aplicações Seguras: MitosMitos ee VerdadesVerdades
  • 28. Falhas Reveladas Falhas localizadas Ident. Pontos fracos Vantagem # of End Points Code Rev Pen Test Code Rev Pen Test Code Rev Pen Test Injection 5 2 5 2 5 1 Code Review Across App XSS 4 3 4 2 4 2 Code Review Across App AuthN 3 4 4 3 3 3 Tie? 1 Obj Ref 4 4 5 3 4 2 Code Review Across App CSRF 4 4 5 4 4 2 Code Review Across App Config 2 4 5 5 2 4 Test A few URL Access 5 4 5 4 4 2 Code Review Across App Crypto Storage 5 1 5 1 5 1 Code Review A few Transport 2 4 3 4 2 4 Test A few Redirect 5 3 5 3 5 2 Code Review A few TOTALS 39 34 46 31 38 23 Análise comparativa:Análise comparativa: Pen Test x Rev. CódigoPen Test x Rev. Código
  • 29. Classificação de ameaças pela WASCClassificação de ameaças pela WASC WASC THREAT CLASSIFICATION, 2010 Localização das vulnerabilidades naLocalização das vulnerabilidades na ““Visão de Fase de DesenvolvimentoVisão de Fase de Desenvolvimento”” Design Implementação Deploy 13 42 12 46 vulnerabilidades ao todo46 vulnerabilidades ao todo 03:29 PM
  • 30. Vulnerabilidade Design Implementação Deploy Classificação de Ameaças: detalhamentoClassificação de Ameaças: detalhamento 03:29 PM
  • 31. Classificação de Ameaças: detalhamentoClassificação de Ameaças: detalhamento Vulnerabilidade Design Implementação Deploy
  • 32. Classificação de Ameaças: detalhamentoClassificação de Ameaças: detalhamento Vulnerabilidade Design Implementação Deploy 03:29 PM
  • 33. Classificação de Ameaças: detalhamentoClassificação de Ameaças: detalhamento Vulnerabilidade Design Implementação Deploy
  • 34. Como identificá-las? Nós podemos colaborar Ameaças à saúde do softwareAmeaças à saúde do software 03:29 PM
  • 35. VISÃO DE CICLO DE VIDA:VISÃO DE CICLO DE VIDA: ÁGIL E RASTREÁVELÁGIL E RASTREÁVEL Iniciação e planejamento Sistema Construído com qualidade A cada iteração da Implementação do Produto Release Parcial / Total do produto Estimar Riscos e Requisitos; Plano de teste: identificar; e dimensionar CT por estórias, UC, outros. Estimar Riscos e Requisitos; Plano de Teste; Colaborar e aprender com Teste Unitário; Testes Exploratórios de testadores e Desenvolvedores; Teste de API; Análise passiva de vulnerabilidades; Gerar / Acompanhar lista de correções de defeitos; Automatizar testes. Testes de Sistema ( 1ª iteração de testes, testes de regressão); Automatizar testes; Teste de Carga, Performance, Segurança; Teste de aceitação (UAT); Gerar / Acompanhar lista de correções de defeitos.
  • 36. SPTSO:SPTSO: Técnicas de VerificaçãoTécnicas de Verificação Scanner automatizado de vulnerabilidades Análise automatizada de código Teste Manual de invasão ( Pen Test ) Revisão manual de código Falsos Positivos, Falsos Negativos, Camadas indetectáveis. AplicaçãoAplicação RISCOS 03:29 PM
  • 37. SPTSO:SPTSO: Análise de resultadoAnálise de resultado Time to market Usabilidade, Disponibilidade e Desempenho Resultados dos Testes Implicações de Regras de Negócio, outros AplicaçãoAplicação RISCOS CRITICIDADE, IMPACTO, PROBABILIDADE IMPLICAÇÕES RECOMENDAÇÕES
  • 38. FerramentasFerramentas para o timepara o time Desenvolvimento SeguroDesenvolvimento Seguro
  • 39. Ferramentas para o time de DesenvolvimentoFerramentas para o time de Desenvolvimento ESAPI - OWASP Enterprise Security API (ESAPI) Project https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API Biblioteca open source de controle segurança de aplicações Web que torna fácil aos desenvolvedores escreverem aplicações de baixo risco. 03:29 PM
  • 40. Ferramentas para Testadores e DesenvolvedoresFerramentas para Testadores e Desenvolvedores SAST ( Static Application Security Testing) OWASP LAPSE + JAVA EE https://www.owasp.org/index.php/OWASP_LAPSE_Project FxCop .NET https://www.owasp.org/index.php/FxCop RIPS PHP http://sourceforge.net/projects/rips-scanner/ GRAUDIT Suporta: php, asp, perl e python http://www.justanotherhacker.com/projects/graudit/download.html 03:29 PM
  • 41. Ferram. para times da Infra, Teste, Desenv.Ferram. para times da Infra, Teste, Desenv. W3AF (Web Application Attack and Audit Framework ) http://w3af.sourceforge.net/ SKIPFISH http://code.google.com/p/skipfish/ NIKTO http://cirt.net/nikto2 DAST ( Dinamic Application Security Testing ) 03:29 PM
  • 42. Ferramentas para o time da InfraestruturaFerramentas para o time da Infraestrutura ModSecurity ( Módulo Apache ) http://www.modsecurity.org/ WAF ( Web Application Firewall ) 03:29 PM
  • 43. Ferramentas para todos os TimesFerramentas para todos os Times Modelos de maturidade: Onde estamos? Onde queremos chegar? Quando queremos chegar? Quem está envolvido? Como chegaremos lá? Etc... OWASP OpenSAMM (Software Assurance Maturity Model ) https://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Model OWASP CLASP (Comprehensive, Lightweight Application Security Process) https://www.owasp.org/index.php/Category:OWASP_CLASP_Project Microsoft SDL (Security Development Lifecycle ) http://www.microsoft.com/security/sdl/default.aspx BSIMM (Building Security In Maturity Model ) http://bsimm.com/ 03:29 PM
  • 44. Ferramentas para times de Infra e testeFerramentas para times de Infra e teste Capture: ( Honeyclient de alta interação)  http://capture-hpc.sourceforge.net/ SpyBye ( Servidor Proxy HTTP)   http://www.monkey.org/~provos/spybye/ HONEYPOTS: Estudo do comportamento de ataques. Complementos, não substitutos! https://www.owasp.org/index.php/Phoenix/Tools#Honeyclients.2C_Web_Application.2C_and_Web_Prox y_honeypots http://www.cert.br/docs/whitepapers/honeypots-honeynets/ http://www.cert.br/docs/palestras/certbr-campus-party2011-1.pdf
  • 45. HoneyPots:HoneyPots: Benefícios na Mitigação de Riscos Benefícios ISO/IEC 27001 COBIT Criar cultura de consciência de risco -Avaliar ameaças à TI -Impacto de ataques aos negócios 4.2 P09 Promover a codificação segura -Identificar vulnerabilidades de código -Teste em ambiente "live test" A.12.2 AI2 Detecção de código malicioso - Monitoração atividade não usual - Redução de Falso Positivos - Teste de malware em ambiente de teste A.10.4.1 DS5.9 03:29 PM
  • 46. HoneyPots:HoneyPots: Benefícios na Mitigação de Riscos Benefícios ISO/IEC 27001 COBIT Detecção de divulgação de informações - Uso de informações como iscas (honeytokens) A.12.5.4 DS11.6 Criar estrutura de gerenciamento de vulnerabilidade -Identificar, analisar e corrigir "exploits" -Estudo de ferramentas maliciosas A.12.6 DS5.5 Criar estrutura de segurança de resposta a incidentes A.13.2.2 DS5.6 IBWAS 2010 From Risk Awareness to Security Controls: Benefits of Honeypots to Companies Sérgio Nunes & Miguel Correia
  • 47. 47 POSSO COLABORAR COM MAIS RESPOSTAS? kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873

Notas do Editor

  1. The # of End Points column refers to the # of places in the application where that issue is relevant. For Authentication and Session management for example, there is typically a single implementation that protects the entire application and it can all be tested in one place. You don’t have to look all over the app for where that mechanism is and how to test it. Compare that with Injection, XSS, Obj Ref, CSRF, URL Access, where these issues apply across the entire code base and you have to look everywhere through the application to make sure its done correctly.