Segurança de Aplicações, para             sua organização ainda não é             prioridade?                      Rafael ...
AGENDA Vendendo Segurança de Aplicações Programa de Segurança   Metodologias   Processo em etapas   Ferramentas Gestão e C...
Rafael B. BrinhosaFormação acadêmica  MBA em Gestão Estratégica - Universidade Federal do Paraná (cursando)  Mestrado em C...
Segurança de aplicações ainda não éprioridade na sua organização? Você armazena dados de clientes? Você desenvolve sistema...
Se você busca… Sustentabilidade Financeira                               OWASP   5
Precisa evitar…  Processos na justiça  Perda de credibilidade  Queda nas ações  Reputação afetada  Imagem desgastada  Perd...
Talvez ela deva ser priorizada. Algunsdados…Durante 2010, em média foram encontradas 230 vulnerabilidades  sérias para cad...
OWASP   8
OWASP   9
Segurança de Aplicações?                           10   OWASP
Segurança de Aplicações?                           11   OWASP
Ou Segurança de Aplicações!                              OWASP   12
Vendendo Segurança de Aplicações Demonstre a Necessidade Gere Ganhos rápidos Colha as Frutas debaixo do pé Realize o proce...
Metodologias OpenSAMM BSIMM3 Microsoft SDL CLASP…                 OWASP   14
Metodologias Definir e Avaliar a estratégia de segurança Identificar atividades Medir a maturidade                        ...
Processo em etapas Priorização (Mais Crítico, Maior Risco, Menor Investimento e Maior Impacto) Maior maturidade -> Maiores...
Ferramentas SAST X DAST Manuais X Automatizadas Software Livre X Proprietárias Educação e Grupos de estudo OWASP!         ...
SASTOWASP LAPSE+ - JAVA EEVulnerabilidades já detectadas:  Parameter Tampering.  URL Tampering.  Header Manipulation.  Coo...
SAST  Graudit  Uso: graudit /path/to/scan  Suporta: asp, jsp, perl, php e python  Exemplos:# PHP: mysql_connects*(.*$.*)# ...
DAST - Comparação              Vulnerabilidades encontradas por RiscoFerramenta    Alto    Médio    Baixo     Informativas...
DAST W3af (Web Application Attack and Audit Framework)                                          OWASP   21
Gestão e Classificação de Vulnerabilidades OWASP TOP 10 2010 OWASP Risk Rating CVSS                                    OWA...
Security Dashboard Dando visibilidade ao seu programa de segurança     “You Can’t Manage What You Can’t Measure”OWASP   23
Security Dashboard Exemplo                     OWASP   24
Métricas de Segurança de Aplicações Vulnerabilidades por nível de Risco URLs Vulneráveis vs Não-Vulneráveis Vulnerabilidad...
Métricas de Segurança de Aplicações Vulnerabilidades por Tecnologia (Java, .NET, PHP) Vulnerabilidades por linhas de códig...
Multinacionais brasileiras e as questões deconformidade  Grandes clientes  Regulamentações  Multas  Classificação de dados...
OWASP   28
Concluindo Vantagem competitiva Proteção Menor Risco Seguro Marketing Sustentabilidade                        OWASP   29
POIS SEGURANÇA DE APLICAÇÕES DEVE SER              PRIORIDADE                                OWASP   30
“Defender e proteger os dados dos clientes evitando a quebra de   confiança e a conseqüente perda de receita deve ser a mi...
QUESTÕES                      ?                  Rafael B. Brinhosa               rafael@brinhosa.com.br                  ...
Upcoming SlideShare
Loading in …5
×

Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organização ainda não é prioridade?

845 views
786 views

Published on

Global AppSec Latin America 2011 Conference - Segurança de Aplicações, para sua organização ainda não é prioridade?

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
845
On SlideShare
0
From Embeds
0
Number of Embeds
26
Actions
Shares
0
Downloads
13
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organização ainda não é prioridade?

  1. 1. Segurança de Aplicações, para sua organização ainda não é prioridade? Rafael B. Brinhosa rafael@brinhosa.com.br @brinhosa http://about.me/brinhosaOWASP07/10/2011 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  2. 2. AGENDA Vendendo Segurança de Aplicações Programa de Segurança Metodologias Processo em etapas Ferramentas Gestão e Classificação de Vulnerabilidades Security Dashboard Métricas de Segurança de Aplicações Multinacionais brasileiras e as questões de conformidade Conclusões OWASP 2
  3. 3. Rafael B. BrinhosaFormação acadêmica MBA em Gestão Estratégica - Universidade Federal do Paraná (cursando) Mestrado em Ciência da Computação - Universidade Federal de Santa Catarina, Graduado em Sistemas de Informação - Universidade Federal de Santa CatarinaPrincipais certificações ISO/IEC 27002, ISC(2) CSSLP, ISEB/ISTQB (CTFL), ITIL-FAtuação profissional Começou em 1998 com a TCSUL, logo após: EAMSC, CDI, DMI, LRG, EDS (agora HP), DELL, NeoGrid / Agentrics… Atualmente – Segurança da Informação NeoGrid (Brasil) e Agentrics (EUA, Europa e Ásia), Comissão de SI e de Inovação Professor Univille (disciplinas ligadas à computação).Pesquisa Framework WSIVM para Segurança em Web Services …Membro OWASP e CSA Brasil OWASP 3
  4. 4. Segurança de aplicações ainda não éprioridade na sua organização? Você armazena dados de clientes? Você desenvolve sistemas para os clientes? (Clientes Internos? Externos? SaaS? In-house?) Você terceiriza o desenvolvimento? OWASP 4
  5. 5. Se você busca… Sustentabilidade Financeira OWASP 5
  6. 6. Precisa evitar… Processos na justiça Perda de credibilidade Queda nas ações Reputação afetada Imagem desgastada Perda de Clientes (Potenciais e de Base) Multas por regulamentações (Canadian Privacy Act, SOX, PCI) Utilização de recursos internos com propósitos indevidos Servir de vetor de ataque aos sistemas de ClientesConsequente perda de receitas! OWASP
  7. 7. Talvez ela deva ser priorizada. Algunsdados…Durante 2010, em média foram encontradas 230 vulnerabilidades sérias para cada web-site. White-Hat Security Winter 2011 ReportQuando testadas pela primeira vez, mais da metade de todas as aplicações falharam em atingir níveis aceitáveis de segurança, e mais de 8 em cada 10 aplicações falhou em cumprir a OWASP Top 10. Veracode State of Software Security Report Volume 3 2011 OWASP 7
  8. 8. OWASP 8
  9. 9. OWASP 9
  10. 10. Segurança de Aplicações? 10 OWASP
  11. 11. Segurança de Aplicações? 11 OWASP
  12. 12. Ou Segurança de Aplicações! OWASP 12
  13. 13. Vendendo Segurança de Aplicações Demonstre a Necessidade Gere Ganhos rápidos Colha as Frutas debaixo do pé Realize o processo em etapas OWASP 13
  14. 14. Metodologias OpenSAMM BSIMM3 Microsoft SDL CLASP… OWASP 14
  15. 15. Metodologias Definir e Avaliar a estratégia de segurança Identificar atividades Medir a maturidade OWASP 15
  16. 16. Processo em etapas Priorização (Mais Crítico, Maior Risco, Menor Investimento e Maior Impacto) Maior maturidade -> Maiores desafios OWASP 16
  17. 17. Ferramentas SAST X DAST Manuais X Automatizadas Software Livre X Proprietárias Educação e Grupos de estudo OWASP! OWASP 17
  18. 18. SASTOWASP LAPSE+ - JAVA EEVulnerabilidades já detectadas: Parameter Tampering. URL Tampering. Header Manipulation. Cookie Poisoning. SQL Injection. Cross-site Scripting (XSS). HTTP Response Splitting. Command Injection. Path Traversal. XPath Injection. XML Injection. LDAP Injection. OWASP 18
  19. 19. SAST Graudit Uso: graudit /path/to/scan Suporta: asp, jsp, perl, php e python Exemplos:# PHP: mysql_connects*(.*$.*)# JSP: request.getParameter# PERL: prints*.*$.*->param(?.*)? OWASP
  20. 20. DAST - Comparação Vulnerabilidades encontradas por RiscoFerramenta Alto Médio Baixo Informativas Tempo de execução total w3af 4 1 81 18 minutosWebsecurify 4 30 segundos Skipfish 8 2 20 2 horas e 26 minutos OWASP
  21. 21. DAST W3af (Web Application Attack and Audit Framework) OWASP 21
  22. 22. Gestão e Classificação de Vulnerabilidades OWASP TOP 10 2010 OWASP Risk Rating CVSS OWASP 22
  23. 23. Security Dashboard Dando visibilidade ao seu programa de segurança “You Can’t Manage What You Can’t Measure”OWASP 23
  24. 24. Security Dashboard Exemplo OWASP 24
  25. 25. Métricas de Segurança de Aplicações Vulnerabilidades por nível de Risco URLs Vulneráveis vs Não-Vulneráveis Vulnerabilidades por Classificação OWASP TOP 10 2010 OWASP 25
  26. 26. Métricas de Segurança de Aplicações Vulnerabilidades por Tecnologia (Java, .NET, PHP) Vulnerabilidades por linhas de código Vulnerabilidades White-box versus Black-Box Tempo Médio para Mitigação Vulnerabilidades por oferta Vulnerabilidades por trimestre OWASP 26
  27. 27. Multinacionais brasileiras e as questões deconformidade Grandes clientes Regulamentações Multas Classificação de dados local OWASP 27
  28. 28. OWASP 28
  29. 29. Concluindo Vantagem competitiva Proteção Menor Risco Seguro Marketing Sustentabilidade OWASP 29
  30. 30. POIS SEGURANÇA DE APLICAÇÕES DEVE SER PRIORIDADE OWASP 30
  31. 31. “Defender e proteger os dados dos clientes evitando a quebra de confiança e a conseqüente perda de receita deve ser a missão de cada colaborador. Todos somos responsáveis pela Segurança da Informação. Segurança quantificada e madura, permeando toda a organização e reduzindo riscos para o negócio deve fazer parte da estratégia para a garantia da Sustentabilidade.” — Rafael B. Brinhosa OWASP 31
  32. 32. QUESTÕES ? Rafael B. Brinhosa rafael@brinhosa.com.br @brinhosa http://linkedin.com/in/brinhosa http://about.me/brinhosa OWASP 32

×