• Save
Testar não é suficiente. Tem que fazer direito!
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Testar não é suficiente. Tem que fazer direito!

  • 731 views
Uploaded on

Apresentação realizada na sexta edição do YSTS - São Paulo - Brazil.

Apresentação realizada na sexta edição do YSTS - São Paulo - Brazil.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
731
On Slideshare
713
From Embeds
18
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
2

Embeds 18

http://localhost 18

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Testar não é suficiente Tem que fazer direito! Wagner Elias, CTO - YSTS 6Wednesday, September 5, 2012
  • 2. Questionar é PrecisoWednesday, September 5, 2012
  • 3. Scanning Applications Faster - A Chicken vs. Egg Problem While I believe there is merit in making security testing automation faster to achieve results. I absolutely feel that need is far overshadowed by the need to fix faster/smarter http://h30499.www3.hp.com/t5/Following-the-White-Rabbit/Scanning-Applications-Faster-A-Chicken-vs-Egg-Problem/ba-p/5342729 Rafal Los (@Wh1t3Rabbit) Chief Security Evangelist - HP SoftwareWednesday, September 5, 2012
  • 4. Testar muitos testam, mas quem está seguro?Wednesday, September 5, 2012
  • 5. Testar não corrige Vulnerabilidades Vulnerabilidades Indústria Dias Expostos Sérias Reportadas Corrigidas Overall 230 53% 233 Banking 30 71% 74 Education 80 40% 164 Financial Services 266 41% 184 Healthcare 33 48% 133 Insurance 80 46% 236 IT 111 50% 221 Manufactoring 35 47% 123 Retail 404 66% 328 Social Networking 71 47% 159 Telecomunications 215 63% 260 WhiteHat Website Security Statistics Report - 2011 * Vulnerabilidades Sérias: Those vulnerabilities with a HIGH, CRITICAL, or URGENT severity as defined by PCI-DSS naming conventions. Exploitation could lead to breach or data lossWednesday, September 5, 2012
  • 6. Abordagens Isoladas não ResolvemWednesday, September 5, 2012
  • 7. Silver Bullet... Só o evento! Scans de Vulnerabilidades: Afogam os analistas com informações e não apresentam os verdadeiros problemas WAF: Bem configurado é um colete a prova de balas, mas não te protege de um Head Shot Treinamentos: Geralmente apresentam o problema, mas não apresentam a soluçãoWednesday, September 5, 2012
  • 8. Revendo ConceitosWednesday, September 5, 2012
  • 9. Primeiro faça, depois teste IT Security - Hardening and Infrastructure Application Development Team Analysis Design Implementation Testing Release Deployment Testers and Application Development Team Security Review Vulnerability Scan Pentest Web Application Firewall - Virtual Patching Secure Software Development Lifecycle Source: Aberdeen GroupWednesday, September 5, 2012
  • 10. Como Fazer DireitoWednesday, September 5, 2012
  • 11. Cronstrua uma base Evangelize: É preciso ser consenso a necessidade de segurança em desenvolvimento Treine: Apresente os problemas e foque nas correções, discuta código, fale a lingua do programador Estruture um SDL: Avalie e ajuste seu processo de desenvolvimento buscando desenvolver software com mais segurançaWednesday, September 5, 2012
  • 12. Invista na operação Hardening: Implemente os controles adequados na infra-estrutura de suporte Testes: Insira atividades de testes e verificações após o desenvolvimento de software Gestão de Vulnerabilidades: Implemente um processo que acompanhe e documente o tratamento das vulnerabilidades identificadasWednesday, September 5, 2012
  • 13. Chuck Norris Approved Durante o desenvolvimento: realize revisões de código e testes de aprovação antes do release WAF: Implemente um WAF para virtual patching e complemento ao tratamento das vulnerabilidades Melhoria Contínua: Adote um framework como o OpenSAMM para identificar GAPs e promover a melhoria contínuaWednesday, September 5, 2012
  • 14. A Referência CertaWednesday, September 5, 2012
  • 15. Agora nós temos uma ISO ISO/IEC 27034 - Application Security ✓ ISO/IEC 27034-1 - Overview and Concepts (Publicada) ✓ ISO/IEC 27034-2 - Organization Normative Framework (ONF) ✓ ISO/IEC 27034-3 - Application security management process ✓ ISO/IEC 27034-4 - Application security validation ✓ ISO/IEC 27034-5 - Protocols and application security control data structure ✓ ISO/IEC 27034-6 - Security guidance for specific applicationsWednesday, September 5, 2012
  • 16. A MensagemWednesday, September 5, 2012
  • 17. Perhaps the biggest problem is thinking that there is some magic What really works in the long run is to have people who care about creating a quality product, understand that security is an important part of quality, and are willing to do hard work to achieve that quality http://www.veracode.com/blog/2012/04/the-biggest-app-sec-mistakes-companies-make-and-how-to-fix-them/ David LeBlanc Senior Security Technologist, MicrosoftWednesday, September 5, 2012
  • 18. Wagner Elias Obrigado welias@conviso.com.br @weliasWednesday, September 5, 2012