Testar não é suficiente. Tem que fazer direito!

655 views

Published on

Apresentação realizada na sexta edição do YSTS - São Paulo - Brazil.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
655
On SlideShare
0
From Embeds
0
Number of Embeds
20
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Testar não é suficiente. Tem que fazer direito!

  1. 1. Testar não é suficiente Tem que fazer direito! Wagner Elias, CTO - YSTS 6Wednesday, September 5, 2012
  2. 2. Questionar é PrecisoWednesday, September 5, 2012
  3. 3. Scanning Applications Faster - A Chicken vs. Egg Problem While I believe there is merit in making security testing automation faster to achieve results. I absolutely feel that need is far overshadowed by the need to fix faster/smarter http://h30499.www3.hp.com/t5/Following-the-White-Rabbit/Scanning-Applications-Faster-A-Chicken-vs-Egg-Problem/ba-p/5342729 Rafal Los (@Wh1t3Rabbit) Chief Security Evangelist - HP SoftwareWednesday, September 5, 2012
  4. 4. Testar muitos testam, mas quem está seguro?Wednesday, September 5, 2012
  5. 5. Testar não corrige Vulnerabilidades Vulnerabilidades Indústria Dias Expostos Sérias Reportadas Corrigidas Overall 230 53% 233 Banking 30 71% 74 Education 80 40% 164 Financial Services 266 41% 184 Healthcare 33 48% 133 Insurance 80 46% 236 IT 111 50% 221 Manufactoring 35 47% 123 Retail 404 66% 328 Social Networking 71 47% 159 Telecomunications 215 63% 260 WhiteHat Website Security Statistics Report - 2011 * Vulnerabilidades Sérias: Those vulnerabilities with a HIGH, CRITICAL, or URGENT severity as defined by PCI-DSS naming conventions. Exploitation could lead to breach or data lossWednesday, September 5, 2012
  6. 6. Abordagens Isoladas não ResolvemWednesday, September 5, 2012
  7. 7. Silver Bullet... Só o evento! Scans de Vulnerabilidades: Afogam os analistas com informações e não apresentam os verdadeiros problemas WAF: Bem configurado é um colete a prova de balas, mas não te protege de um Head Shot Treinamentos: Geralmente apresentam o problema, mas não apresentam a soluçãoWednesday, September 5, 2012
  8. 8. Revendo ConceitosWednesday, September 5, 2012
  9. 9. Primeiro faça, depois teste IT Security - Hardening and Infrastructure Application Development Team Analysis Design Implementation Testing Release Deployment Testers and Application Development Team Security Review Vulnerability Scan Pentest Web Application Firewall - Virtual Patching Secure Software Development Lifecycle Source: Aberdeen GroupWednesday, September 5, 2012
  10. 10. Como Fazer DireitoWednesday, September 5, 2012
  11. 11. Cronstrua uma base Evangelize: É preciso ser consenso a necessidade de segurança em desenvolvimento Treine: Apresente os problemas e foque nas correções, discuta código, fale a lingua do programador Estruture um SDL: Avalie e ajuste seu processo de desenvolvimento buscando desenvolver software com mais segurançaWednesday, September 5, 2012
  12. 12. Invista na operação Hardening: Implemente os controles adequados na infra-estrutura de suporte Testes: Insira atividades de testes e verificações após o desenvolvimento de software Gestão de Vulnerabilidades: Implemente um processo que acompanhe e documente o tratamento das vulnerabilidades identificadasWednesday, September 5, 2012
  13. 13. Chuck Norris Approved Durante o desenvolvimento: realize revisões de código e testes de aprovação antes do release WAF: Implemente um WAF para virtual patching e complemento ao tratamento das vulnerabilidades Melhoria Contínua: Adote um framework como o OpenSAMM para identificar GAPs e promover a melhoria contínuaWednesday, September 5, 2012
  14. 14. A Referência CertaWednesday, September 5, 2012
  15. 15. Agora nós temos uma ISO ISO/IEC 27034 - Application Security ✓ ISO/IEC 27034-1 - Overview and Concepts (Publicada) ✓ ISO/IEC 27034-2 - Organization Normative Framework (ONF) ✓ ISO/IEC 27034-3 - Application security management process ✓ ISO/IEC 27034-4 - Application security validation ✓ ISO/IEC 27034-5 - Protocols and application security control data structure ✓ ISO/IEC 27034-6 - Security guidance for specific applicationsWednesday, September 5, 2012
  16. 16. A MensagemWednesday, September 5, 2012
  17. 17. Perhaps the biggest problem is thinking that there is some magic What really works in the long run is to have people who care about creating a quality product, understand that security is an important part of quality, and are willing to do hard work to achieve that quality http://www.veracode.com/blog/2012/04/the-biggest-app-sec-mistakes-companies-make-and-how-to-fix-them/ David LeBlanc Senior Security Technologist, MicrosoftWednesday, September 5, 2012
  18. 18. Wagner Elias Obrigado welias@conviso.com.br @weliasWednesday, September 5, 2012

×