Introdução do DEVSECOPS

Introdução do DEVSECOPS
gdgfoz
+ OWASP-PC
gdg_cde
www.gdgfoz.org
copyright 2021 - GDG Foz do Iguacu

Toda guerra é baseada em
ilusão.
- Sun Tzu
Alan Silva

DEV+OPS

WE DO DEVOPS ALREADY
JUST WITHOUT AGILE, STANDUPS, CI, CODE
OR ANY OF THAT OTHER HIPSTER STUFF

Proactive Controls
DEVOPS
• Developers (desenvolvimento) + Operations (operações)
• GOFASTBREAKTHINGS x minha app está foraaaaaaaaaaaa (uptime)
• Criar novas funcionalidades
• Melhorar a disponibilidade
Seguro?
Alan Silva

EXCELENTE
Pegamos os reféns,
garantimos o prédio e
cortamos as linhas de
comunicação conforme
pedido.
Mas uma pessoa veio pelos
dutos de ventilação, andou por
cima de caco de vidro, matando
todo mundo que a gente mandou.
E ela resgatou
os reféns?!?
Não, ignorou. Ela apenas
reconectou os cabos que a
gente cortou, balbuciando
algo sobre “uptime".
MERDA, estamos
lidando com uma
SYSADMIN

Overview
DevOps brings together software development and
operations to shorten development cycles, allow
organizations to be agile, and maintain the pace of
innovation while taking advantage of cloud-native
technology and practices.
DevOps
NIST

DEVOPS
SegurO?

50%
Fonte

Fonte

O guerreiro sábio evita a
batalha.
- Sun Tzu
Alan Silva

DEV(SEC?)OPS

Essa lib node bacana
Vou usar esse novo framework
Esse código do Stack Overflow
Esse NOVO REPO do GitHub
DEVOPS
Vou instalar esse .deb/.rpm/.bin
Vou adicionar esse source deb/rpm
Esse binário do SourceForge
Esse NOVO REPO do GitHub
Cuidado!
Alan Silva

DEVOPS
1. Alguém tem que fazer alguma coisa!
2. "Criamos um time de segurança”
3. Red Team/Blue Team
4. CISO, CSO, CISSP, CISM, OSCE, CCCP, CEH, CHFI…
Security Team

DEVSECOPS

Overview
DevSecOps helps ensure that security is addressed
as part of all DevOps practices by integrating security
practices and automatically generating security and
compliance artifacts throughout the process.
DevSecOps
NIST

Porquê?
• Redução de vulnerabilidades, código malicioso e outros aspectos de
segurança em software.
• Mitigação de impacto de eventuais explorações de vulnerabilidades
através do ciclo de vida de desenvolvimento
• Identificação de causa raiz de vulnerabilidades prevenindo recorrências
• Redução do atrito entre os times de desenvolvimento, operação e
segurança.
DevSecOps
NIST

OWASP
• Trata-se de uma entidade sem fins lucrativos e com reconhecimento
internacional, atuando com foco na colaboração para o fortalecimento da
segurança de softwares em todo o mundo.
• Projetos aqui destacados:
★ OWASP Top Ten Proactive Controls Project
★ OWASP TOP 10
★ OWASP Cheat Sheet
★ OWASP API Security Top 10
Open Web Application Security Project
Alan Silva

Desenvolvimento Seguro
OWASP

Custo de Reparo
1 X 4 X 10 X
40 X
640 X
Jones, Capers. 1996

• Modelo de Maturidade de Garantia de Software - SAMM
• Ciclo de vida de desenvolvimento seguro - efetivo e mensurável
• Agnóstico em tecnologias e processos
• Passível de evolução e focado nos riscos
Ciclo de vida
OWASP
Alan Silva

Ciclo de Vida
Governança
Políticas &
Compliance
Educação &
Capacitação
Estratégia
& Métricas
Projeto
Requisitos de
Segurança
Análise de
ameaças
Arquitetura
Segura
Implementação
Build
Seguro
Gerenciamento
de Defeitos
Deploy
Seguro
Verificação
Testes
Seguros
Avaliação da
Arquitetura
Testes sobre
Requisitos
Operação
Gerenciamento
do Incidentes
Gerenciamento
Operacional
Gerenciamento
do Ambiente
F u n ç õ e s d e
N e g ó c i o
C o n t r o l e s

• A01:2021-Broken Access Control (A05:2017)
• A02:2021-Cryptographic Failures (A03:2017)
• A03:2021-Injection (A01 e A07:2017)
• A04:2021-Insecure Design
• A05:2021-Security Misconfiguration (A04 e A06:2017)
• A06:2021-Vulnerable and Outdated Components (A09:2021)
• A07:2021-Identification and Authentication Failures (A02:2017)
• A08:2021-Software and Data Integrity Failures (A08:2017)
• A09:2021-Security Logging and Monitoring Failures (A09:2017)
• A10:2021-Server-Side Request Forgery (SSRF)
OWASP TOP 10
Alan Silva

OWASP Proactive Controls

• C1: Define Security Requirements
• C2: Leverage Security Frameworks and Libraries
• C3: Secure Database Access
• C4: Encode and Escape Data
• C5: Validate All Inputs
• C6: Implement Digital Identity
• C7: Enforce Access Controls
• C8: Protect Data Everywhere
• C9: Implement Security Logging and Monitoring
• C10: Handle All Errors and Exceptions
Proactive Controls 2018
OWASP TOP 10

C1: Define Security Requirements

• Incluir requisitos de segurança nos projetos e especificações
• Usar o OWASP Application Security Verification Standard
• Exemplo:
V1.1 Secure Software Development Lifecycle Requirements
1.1.3 Verify that all user stories and features contain functional security
constraints, such as “As a user, I should be able to view and edit my profile. I should
not be able to view or edit anyone else's profile”
• OWASP Threat Modeling Cheat Sheet
Proactive Controls: C1
Define Security Requirements
Alan Silva

C2: Leverage Security Frameworks and Libraries

• Mapear e usar bibliotecas consolidadas e ativamente mantidas.
• Manter inventário das bibliotecas e versões
• OWASP Depency Check (tem integração com algumas ferramentas, VS
Code, jenkins, etc..)
• GitHub Actions/DependaBOT, Snyk, HuskyCI, StackHawk, entre outros
• OWASP Vulnerable Dependency Management Cheat Sheet
Leverage Security Frameworks and Libraries
Alan Silva

• +500 software mapeados, +100 afetados (SOLR,
VMware, Cloudera, Cloudflare, Atlassian e contando.. )

C3: Secure Database Access

• Itens de configuração de segurança relacionado a banco de dados
relacionais/NoSQL
• OWASP TOP 10 A03:2021- Injection
• Querys Seguras:
• Bobby Tables
• OWASP Testing for SQL Injection
• OWASP SQL Injection Prevention Cheat Sheet
• OWASP Query Parametrization Cheat Sheet
Secure Database Access
API8:2019

C4: Encode and Escape Data

• Tratar entrada com ferramentas disponíveis nas linguagens
• “Escapar” caracteres especiais para não quebrar a entrada
• Ferramentas:
• OWASP Java Encoder Project
• PHP Laminas Escaper (versões antigas: ZendEscaper)
• .NET AntiXXSEncoder
• OWASP Cross Site Scripting Prevention Cheat Sheet
Encode and Escape Data
Alan Silva

https://xkcd.com/327

C5: Validate All Inputs

• Validação de entradas para garantir que apenas dados devidamente
tratados entrem nos sistemas
• Validação Sintática (CPF) ou Semântica (data inicio:fim)
• Allow list/Deny list
• Sempre no servidor (nunca no cliente)
• Via expressões regulares (complexo, cuidado)
• Alguns tipos são “perigosos” per se (email/url)
Validate All Inputs
API8:2019

• Atenção com dados/objetos serializados!
• Sanitização de html />
• Validação de entrada não deve ser usado como único método para prevenção de XSS,
SQL inject
• Ferramentas:
• OWASP Java HTML Sanitizer Project
• Java JSR-303/JSR-349 Bean Validation / Java Hibernate Validator
• JEP-290 Filter Incoming Serialization Data / Apache Commons Validator
• PHP’s filter functions
• OWASP Input Validation Cheat Sheet
Validate All Inputs

C6: Implement Digital Identity

• Padrão NIST 800-63b (3 níveis de autenticação):
• Nível 1: Senhas
• Com mínimo de 8 caracters, caso haja MFA, senão 10
• Caracteres ASCII printáveis (incluindo espaço em branco) - devem ser aceitos
• Encorajar uso de senhas longas ou passphrases (40?80?)
• Ideal validar com dicionários de senhas, pra não serem usadas as 1.000/10.000 senhas
mais comuns
• Implementar mecanismo seguro de recuperação de senhas
• Implementar armazenamento seguro de senhas (ver o OWASP Pass. Stor. Cheat Sheet)
Implement Digital Identity

• Nível 2: MFA
• Segundo o NIST 800-63b o nível 2 é requisito para aplicações que
contenham dados pessoais LGPD 👋
• MFA é obrigatório para esse tipo de aplicação, sendo:
• Algo que você sabe: senha ou PIN
• Algo que você detêm: token ou telefone
• Algo que você é: biometria
• Biometria não pode ser um fator único de autenticação

• Nível 3: Autenticação baseada em criptografia
• Segundo o NIST 800-63b o nível 3 é requisito para aplicações que
contenham dados que possam afetar pessoas, materialidade
significante (🤑), interesse público e violações cíveis/criminais.
• Nesta classe de aplicações é necessário um hardware criptográfico.

• Gerenciamento de sessões:
• Garantir que o id da sessão é grande, único e randômico.
• A aplicação deve gerar nova sessão a cada autenticação/re-
autenticação.
• A aplicação deve implementar uma expiração por um período de
inatividade e um tempo de vida máximo definido para cada sessão -
assim os usuários devem se re-autenticar. Sempre relacionado com o
valor do dado.

• Cookies: secure flag por padrão, HttpOnly pra prevenção de acesso
via javascript, adicionar samesite.
• Pensar em tokens/stateless (JWT é um bom exemplo)
• Há muito mais, aqui tá o resumo do resumo.
• OWASP TOP 10 A01:2021 – Broken Access Control
• API1:2019 e API2:2019

• Cheat Sheets:
• OWASP Cheat Sheet: Authentication
• OWASP Cheat Sheet: Password Storage
• OWASP Cheat Sheet: Forgot Password
• OWASP Cheat Sheet: Choosing and Using Security Questions
• OWASP Cheat Sheet: Session Management
• OWASP Cheat Sheet: IOS Developer
• OWASP Testing Guide: Testing for Authentication
• NIST Special Publication 800-63 Revision 3 - Digital Identity Guidelines

C7: Enforce Access Controls

• Controle de acesso nas aplicações:
• Escolher o padrão antes da implementação (RBAC, DAC, ABAC, etc..)
• Forçar todos os pedidos para passar por uma checagem de controle de
acesso (camada específica)
• Proibir por padrão
• Princípio do privilégio mínimo
• Não codifique papéis (hardcode roles)
Enforce Access Controls

Alan Silva

• Registrar todos os eventos de Controle de Acesso.
• OWASP TOP 10 A01:2021 – Broken Access Control
• API1:2019 e API2:2019
• Ferramenta:
• OWASP ZAP with the optional Access Control Testing add-on
• OWASP Cheat Sheet: Access Control
• OWASP Testing Guide: Testing for Authorization

C8: Protect Data Everywhere

• Dados sensíveis requerem cuidado maior (senhas, cartão de crédito,
dados pessoais, etc..)
• Classificar os dados do sistema
• Cifrar os dados em trânsito (TLS 👋) e em disco (libsodium, etc..)
• OWASP TOP 10 A02:2021 – Cryptographic Failures
Protect Data Everywhere

• Cheat Sheets:
• Ivan Ristic: SSL/TLS Deployment Best Practices
• OWASP Cheat Sheet: Transport Layer Protection
• OWASP Cheat Sheet: HSTS
• OWASP Cheat Sheet: Cryptographic Storage
• OWASP Cheat Sheet: Password Storage

• Ferramentas:
• OWASP Testing Guide: Testing for TLS
• SSLyze - SSL configuration scanning library and CLI tool
• SSLLabs - Free service for scanning and checking TLS/SSL configuration
• OWASP O-Saft TLS Tool - TLS connection testing tool
★GitRob - Command line tool to find sensitive information in publicly available files on GitHub
★TruffleHog - Searches for secrets accidentally committed
✓KeyWhiz - Secrets manager
✓Hashicorp Vault - Secrets manager

C9: Implement Security Logging and Monitoring

• Logar é algo que todo mundo usa pra debugar e diagnosticar uma
aplicação.
• Security logging é registrar informações de segurança durante a execução
de uma aplicação.
• Monitoramento é verificar em tempo real os logs e saúde da aplicação.
• As mesmas ferramentas e padrões podem ser usadas para propósito de
operar, debugar ou proteger.
Implement Security Logging and Monitoring
Spoiler

• Usar um padrão comum de log entre os sistemas (apache logging services)
• Equilíbrio: logar sempre com timestamp, IPs e userid, mas não dados sensíveis ou
confidenciais
• Logar o comportamento dos dados de entrada:
• Dados submetidos fora de um intervalo esperado
• Dados submetidos que não deveriam serem alterados (texto livre ao invés de
checkbox)
• Pedidos que violam regras de controle de acesso
• Uma lista mais abrangente para pontos de detecção: Appsensor
Spoiler

• Tratar e validar quaisquer caracteres antes de logar, para não haver
ataques: log injection/log forging 👋 LOG4J
• Não logar senha, id de sessão, cpf/ci, etc..
• Proteger os logs (infra segura, SYSLOG TLS)
• Ferramentas:
• OWASP Security Logging Project
• Apache Logging Services
Spoiler

• Mais infos:
• OWASP Log injection
• OWASP Log forging
• OWASP Cheat Sheet: Logging How to properly implement logging in an
application
• OWASP Development Guide: Logging
• OWASP Code Review Guide: Reviewing Code for Logging Issues
Spoiler

C10: Handle All Errors and Exceptions

• Muito cuidado no manejo de exceções, pois pode ocorrer vazamento de
informações, DoS, etc.. (apple "goto fail bug")
• Gerenciar os erros/exceções de maneira centralizada
• Garantir mensagens de erro que não vazem dados críticos, porém
tenham dados suficientes para o usuário tomar ação e auxilie o suporte,
QA, análise forense e resposta a incidentes – todos entenderem o problema
• teste, Teste, TESTE
Handle All Errors and Exceptions

• Ferramentas:
• Error Prone
• Chaos Monkey
• Mais infos:
• OWASP Code Review Guide: Error Handling
• OWASP Testing Guide: Testing for Error Handling
• OWASP Improper Error Handling
• CWE 209: Information Exposure Through an Error Message
• CWE 391: Unchecked Error Condition
Handle All Errors and Exceptions
Alan Silva

CONCLUSÃO

https://xkcd.com/2347/
17/08/2020
LOG4J
ARIZONA
2013

• DEV:
• Programação para apps/desktop: SEI CERT C/C++ Coding Standards
• Programação: Clean Code
• Caso não seja matemática(o): NÃO CRIE SUA CRIPTOGRAFIA!
• OPS:
• WEB: Qualys SSLLabs, hardenize.com
• Ataques, métodos e técnicas: Mittre ATT&CK
• Tudo: CIS Controls
DEVSECOPS

Rethinking the SDLC
GitHub Universe 2021

• A segurança é responsabilidade de todas pessoas
• Fronteira da “rede interna” <- NÃO EXISTE MAIS!
• “backend seguro”
• Automatizar tudo (use as ferramentas a seu favor)
• TESTES E MAIS TESTES
“A única constância é a mudança” - Buda
Lembrar

• Dicas para se preparar para um incidente:
• Aumente o registro de eventos e processos do SO
• Registre os comandos de shells
• Aumente o tempo de log (espaço em disco é barato, use-o)
• Exercite um incidente, o que faria?
• Não é mais se, e sim quando
“A única constância é a mudança” - Buda
Incidentes

OBRIGADO!

LOG4J

Introdução do DEVSECOPS

Mais conteúdo relacionado

Mais procurados

Semelhante a Introdução do DEVSECOPS

Mais de GDGFoz

Último

Introdução do DEVSECOPS