O documento discute a integração de testes de invasão nos processos de desenvolvimento contínuo (CI/CD) através da abordagem SecDevOps. Ele apresenta ferramentas como ZAP, Arachni e ThreadFix que podem ser usadas para automatizar testes de segurança e consolidar resultados de múltiplas ferramentas. A integração dessas ferramentas com Jenkins é destacada como forma de realizar testes de segurança como parte dos builds noturnos.

1. Globalcode – Open4education
Integração Continua
com Testes de Invasão
Denny Richard San Vriesman
DevOps Engineer

2. Globalcode – Open4education
Sobre mim
Denny Richard San Vriesman
9+ anos na
-OCAJP, OCPPJ
-Java Developer, Software Architect,
-Devops and Cloud Engineer
-O mais legal: programou em BASIC num Apple II,
num MSX e num TK2000 em 1989.
Let’s go

3. Globalcode – Open4education
Agenda
Segurança em foco
Abraçando a segurança
Kit básico de ferramentas
Consolidando resultados
Conclusões

4. Globalcode – Open4education
Segurança em foco

5. Globalcode – Open4education
Algumas inseguranças

6. Globalcode – Open4education
Algumas inseguranças

7. Globalcode – Open4education
Algumas inseguranças

8. Globalcode – Open4education
Abraçando a segurança

9. Globalcode – Open4education
DevOps – CI / CD

10. Globalcode – Open4education
Pentest
1. Coletar Informações
2. Mapeamento de Rede
3. Enumeração de Serviços
4. Busca de Vulnerabilidade
5. Exploração das Vulnerabilidade
6. Implantação de Backdoors e
Rootkits
7. Eliminação de Vestígios

11. Globalcode – Open4education
Abraçando a segurança
Sec + DevOps =

12. Globalcode – Open4education
SecDevOps
• Melhores práticas que ajudam as organizações a implantar código
seguro
• Automatização de testes de invasão (pentests)
• Herda conceitos essenciais DevOps:
• Falhar o quanto antes
• Reparar rapidamente
• https://www.reddit.com/r/secdevops/

13. Globalcode – Open4education
SecDevOps
Avaliação
de Risco
UX Security
Capacitação,
Peer Code
Review
CI com
Testes de
Invasão
Monitoração
, Logs,
Respostas a
Incidentes
SecDevOps

14. Globalcode – Open4education
Alguns tipos de testes
Testes de
Segurança
Funcionais
Scan da Aplicação e
Infra-estrutura
Testes de
Segurança da lógica
da aplicação
Autenticação Autorização
Consigo interceptar uma
requisição, diminuindo o valor
de uma compra?
Vulnerabilidades
identificadas por
ferramentas de Scan
Consigo fazer uma
transferências para uma conta
com valor negativo?

15. Globalcode – Open4education
Kit Básico de Ferramentas

16. Globalcode – Open4education
Zed Attack Proxy
• OWASP Top 10
• Pode rodar como Daemon
• REST-API
• CLI
• Pode ser scriptado

17. Globalcode – Open4education
ZAP + Jenkins
• Permite fazermos um scan.
• Simples: Aponte para a URL a ser testada.
• Gera relatórios no JOB em HTML e/ou XML.
• Recomenda-se o uso no Build Noturno.
• Cada JOB deve ser configurado com um porta
Proxy diferente para habilitar a execução paralela.

18. Globalcode – Open4education
ZAProxy Jenkins Plugin

19. Globalcode – Open4education
ZAProxy Jenkins Plugin

20. Globalcode – Open4education
ZAProxy Jenkins Plugin

21. Globalcode – Open4education
Relatório ZAP

22. Globalcode – Open4education
Relatório ZAP

23. Globalcode – Open4education
Web App Security Scanner
• Ideal para aplicações com muitos JavaScripts, SPA
• Entende DOM, Jquery e Angular.
• Scan Passivo/Ativo
• Relatórios em XML / HTML / JSON

24. Globalcode – Open4education
Arachni + Jenkins
• CLI ou RPC ou REST
• Copiar relatórios no Workspace do Job
• Build Noturno

25. Globalcode – Open4education
Arachni command line

26. Globalcode – Open4education
Relatório Arachni

27. Globalcode – Open4education
Relatório Arachni

28. Globalcode – Open4education
• Framework para testes não-funcionais e funcionais de segurança
• Usa Jbehave e Selenium para as estórias e fluxo de navegação
• Usa ZAP como Scanner Default (pode usar outros).
• Scan de Infraestrutura com Nessus.
• Testes de WebServices
• Suporte a autenticação com Tokens.
• Conjunto de estórias pré-definidas

29. Globalcode – Open4education
Exemplo Estória

30. Globalcode – Open4education
Kit Básico de Ferramentas
• Execução de um projeto Maven
• Jbehave Plugin
• Jenkins HTML Publisher
+ Jenkins

31. Globalcode – Open4education
Jenkins Test Result

32. Globalcode – Open4education
Jenkins HTML Publish

33. Globalcode – Open4education
Outras Ferramentas

34. Globalcode – Open4education
Consolidando resultados

35. Globalcode – Open4education
Consolidando resultados
Cada ferramenta gera seus
relatórios em formatos
proprietários
Como eliminar resultados repetidos entre
as diversas ferramentas ?
Como realizar análises e identificar
tendências?

36. Globalcode – Open4education
Mais uma ferramenta

37. Globalcode – Open4education
• Consolidação e análise de dados, inclusive tendência.
• Open Source Community vs Enterprise
• Normaliza resultado de várias ferramentas:
• IBM AppScan
• ZAP Proxy
• Arachni
• HPE Security WebSpec
• Accunetix
• FindBugs
• W3af
• Etc.... (várias outras)

38. Globalcode – Open4education
+ Jenkins
• CLI ou REST API
• Possui plugin para o Jenkins

39. Globalcode – Open4education
Jenkins Config

40. Globalcode – Open4education
ThreadFix Dashboard

41. Globalcode – Open4education
Conclusões
SecDevOps
Automação
DevOps já está em nosso dia-a-dia.
SecDevOps é o próximo passo!
Já existem várias ferramentas pentesters que
podem ser facilmente integradas aos builds,
através de plugins.
Qualquer ferramentas pode ser chamada via
linha de comando nos builds.
Devemos normalizar os dados para análise.
Vamos deixar esse Lammer
mostrar que é hacker de verdade.
The end

42. Globalcode – Open4education
OBRIGADO
Denny Richard San Vriesman
dvriesman@gmail.com
https://br.linkedin.com/in/dvriesman