Testar não é suficiente. Tem que fazer direito!

Testar não é suﬁciente
Tem que fazer direito!
Wagner Elias, CTO - YSTS 6

Wednesday, September 5, 2012

Questionar é Preciso


Scanning Applications Faster -
A Chicken vs. Egg Problem

While I believe there is merit in
making security testing automation
'faster' to achieve results. I absolutely
feel that need is far overshadowed by
the need to ﬁx faster/smarter
http://h30499.www3.hp.com/t5/Following-the-White-Rabbit/Scanning-Applications-Faster-A-Chicken-vs-Egg-Problem/ba-p/5342729

Rafal Los (@Wh1t3Rabbit)
Chief Security Evangelist - HP Software


Testar muitos testam,
mas quem está seguro?


Testar não corrige

Vulnerabilidades Vulnerabilidades
Indústria Dias Expostos
Sérias Reportadas Corrigidas
Overall 230 53% 233
Banking 30 71% 74
Education 80 40% 164
Financial Services 266 41% 184
Healthcare 33 48% 133
Insurance 80 46% 236
IT 111 50% 221
Manufactoring 35 47% 123
Retail 404 66% 328
Social Networking 71 47% 159
Telecomunications 215 63% 260

WhiteHat Website Security Statistics Report - 2011

* Vulnerabilidades Sérias: Those vulnerabilities with a HIGH, CRITICAL, or URGENT severity
as deﬁned by PCI-DSS naming conventions. Exploitation could lead to breach or data loss


Abordagens Isoladas não
Resolvem


Silver Bullet... Só o evento!

Scans de Vulnerabilidades: Afogam os
analistas com informações e não apresentam
os verdadeiros problemas

WAF: Bem conﬁgurado é um colete a prova
de balas, mas não te protege de um Head
Shot

Treinamentos: Geralmente apresentam o
problema, mas não apresentam a solução


Revendo Conceitos


Primeiro faça, depois teste

IT Security - Hardening and Infrastructure

Application Development Team

Analysis Design Implementation Testing Release Deployment

Testers and Application Development Team

Security Review Vulnerability Scan Pentest

Web Application Firewall - Virtual Patching

Secure Software Development Lifecycle
Source: Aberdeen Group


Como Fazer Direito


Cronstrua uma base

Evangelize: É preciso ser consenso a necessidade de
segurança em desenvolvimento

Treine: Apresente os problemas e foque nas correções,
discuta código, fale a lingua do programador

Estruture um SDL: Avalie e ajuste seu processo de
desenvolvimento buscando desenvolver software com
mais segurança


Invista na operação

Hardening: Implemente os controles adequados na
infra-estrutura de suporte

Testes: Insira atividades de testes e veriﬁcações após o
desenvolvimento de software

Gestão de Vulnerabilidades: Implemente um
processo que acompanhe e documente o tratamento
das vulnerabilidades identiﬁcadas


Chuck Norris Approved

Durante o desenvolvimento: realize revisões de
código e testes de aprovação antes do release

WAF: Implemente um WAF para virtual patching e
complemento ao tratamento das vulnerabilidades

Melhoria Contínua: Adote um framework como o
OpenSAMM para identiﬁcar GAPs e promover a
melhoria contínua


A Referência Certa


Agora nós temos uma ISO

ISO/IEC 27034 - Application Security
✓ ISO/IEC 27034-1 - Overview and Concepts (Publicada)
✓ ISO/IEC 27034-2 - Organization Normative Framework (ONF)
✓ ISO/IEC 27034-3 - Application security management process
✓ ISO/IEC 27034-4 - Application security validation
✓ ISO/IEC 27034-5 - Protocols and application security control
data structure
✓ ISO/IEC 27034-6 - Security guidance for speciﬁc applications


A Mensagem


Perhaps the biggest problem is
thinking that there is some magic

What really works in the long run is
to have people who care about
creating a quality product,
understand that security is an
important part of quality, and are
willing to do hard work to achieve
that quality
http://www.veracode.com/blog/2012/04/the-biggest-app-sec-mistakes-companies-make-and-how-to-ﬁx-them/
David LeBlanc
Senior Security Technologist, Microsoft


Wagner Elias
Obrigado
welias@conviso.com.br
@welias


Testar não é suficiente. Tem que fazer direito!

Mais conteúdo relacionado

Semelhante a Testar não é suficiente. Tem que fazer direito!

Mais de Conviso Application Security

Testar não é suficiente. Tem que fazer direito!