Desenvolvendo Seguro   (do rascunho ao        deploy)     Erick Belluci Tedeschi        @ericktedeschi
Erick Belluci Tedeschi-   Analista de Segurança da Informação-   Ex desenvolvedor-   PHPzeiro nas horas vagas-   Web Secur...
Agenda• Estatísticas• Cenário atual• Motivação• OpenSAMM?  •   Governance  •   Construction  •   Verification  •   Deploym...
Estatísticas e memes!        73 Percent of Organizations Have Been Hacked At Least        Once In The Last 24 Months Throu...
Estatísticas e memes!        Mais da metade das aplicações Web não passam nos        testes de segurança antes do deployFo...
Na mídia       Security firm finds hacker forums offer n00b hackers       training, lulzFonte: http://www.imperva.com/news...
Na mídia       Security firm finds hacker forums offer n00b hackers       training, lulz       Hackers forums provide sens...
Na mídia       Security firm finds hacker forums offer n00b hackers       training, lulz       Hackers forums provide sens...
Na mídia        “The good news is that developers are learning from their        mistakes quickly. More than 90 percent of...
Cenário atual 1/3• Cliente envia o briefing• Desenvolvedor materializa os requisitos, testa, e faz  deploy no servidor de ...
Cenário atual 2/3• Definição e requisitos de negócio (funcionais e não  funcionais)    • Inception/Brainstorming    • Estó...
Cenário atual 3/3• Área de negócio demanda novo projeto    • Inception/Brainstorming    • Estórias• Área de desenvolviment...
MotivaçãoRedução de Custo efetivo do projeto
Motivação-   Credibilidade-   Conformidade-   Prazo (tempo = dinheira)-   Maturidade do processo de desenvolvimento
Software Assurance  Maturity Model
Software Assurance Maturity Model
Software Assurance Maturity Model• Estabelecer um programa que garanta  a segurança da informação• Definição de metas de s...
Software Assurance Maturity Model• Requisitos legais• Normas e padrões internos/externos• Compliance/Auditoria   • Adoção ...
Software Assurance Maturity Model• Treinamento para colaboradores• Guidelines• Baselines
Software Assurance Maturity Model• Modelagem de ameaças inerente ao  projeto• VIP (Very Important)
Software Assurance Maturity Model• Requisitos de segurança baseados nas  funcionalidades da aplicação e  alinhados com o p...
Software Assurance Maturity Model• Foco em modelagem e  desenvolvimento de software seguro• Design Pattern para problemas ...
Software Assurance Maturity Model• Permite a identificação de  vulnerabilidades a nivel de arquitetura  antes de o softwar...
Software Assurance Maturity Model• Inspeção do código para procurar  vulnerabilidades de segurança• Automação• Teste unitá...
Software Assurance Maturity Model• Inspeção do código em tempo de  execução• Estabelecer um processo para  execução de tes...
Software Assurance Maturity Model• Resposta a incidentes• Bugtrack/abuse• Coletar métricas sobre o incidente
Software Assurance Maturity Model• Hardening?• Ambiente de desenvolvimento com  hardening aplicado + “debug mode=on”
Software Assurance Maturity Model• Documentação de instalação/operação• Processos de backup/restore• Disaster recovery
Software Assurance Maturity Model • As praticas não possuem uma ordem sequencial   ou cronológica • Cada prática possui 3 ...
Perguntas?
^$ (EOL)  Agradecimentos  Rafael Lachi o/ Cássia P. Melo <3
Upcoming SlideShare
Loading in …5
×

PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)

903 views
820 views

Published on

PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
Apresentação do OpenSAMM

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
903
On SlideShare
0
From Embeds
0
Number of Embeds
28
Actions
Shares
0
Downloads
8
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)

  1. 1. Desenvolvendo Seguro (do rascunho ao deploy) Erick Belluci Tedeschi @ericktedeschi
  2. 2. Erick Belluci Tedeschi- Analista de Segurança da Informação- Ex desenvolvedor- PHPzeiro nas horas vagas- Web Security Researcher- Motociclista- Guitarreiro
  3. 3. Agenda• Estatísticas• Cenário atual• Motivação• OpenSAMM? • Governance • Construction • Verification • Deployment
  4. 4. Estatísticas e memes! 73 Percent of Organizations Have Been Hacked At Least Once In The Last 24 Months Through Insecure Web ApplicationFonte: http://www.barracudalabs.com/wordpress/index.php/2011/02/08/73-percent-of-organizations-have-been-hacked-at-least-once-in-the-last-24-months-through-insecure-web-applications/
  5. 5. Estatísticas e memes! Mais da metade das aplicações Web não passam nos testes de segurança antes do deployFonte:http://www.eweek.com/c/a/Security/More-than-Half-of-Web-Apps-Fail-Security-Audit-Prior-to-Deployment-542967/
  6. 6. Na mídia Security firm finds hacker forums offer n00b hackers training, lulzFonte: http://www.imperva.com/news/news.html
  7. 7. Na mídia Security firm finds hacker forums offer n00b hackers training, lulz Hackers forums provide sense of community, information security intelligenceFonte: http://www.imperva.com/news/news.html
  8. 8. Na mídia Security firm finds hacker forums offer n00b hackers training, lulz Hackers forums provide sense of community, information security intelligence Hackers Share Attack Techniques, Beginner Tutorials on Online Forum ZIDRUMERAMALDITOS HACKERSZ QUEREM DOMINAR O MUNDO NAO VOU MAIS PODER NEM PENSAR EM PÚBLICO SE NÃO VÃO ME OWNARFonte: http://www.imperva.com/news/news.html
  9. 9. Na mídia “The good news is that developers are learning from their mistakes quickly. More than 90 percent of the software that failed the audit the first time addressed the issues and passed a subsequent test within one month. Security products were fixed even faster, becoming “acceptable” in just three days”Fonte: http://www.eweek.com/c/a/Security/More-than-Half-of-Web-Apps-Fail-Security-Audit-Prior-to-Deployment-542967/
  10. 10. Cenário atual 1/3• Cliente envia o briefing• Desenvolvedor materializa os requisitos, testa, e faz deploy no servidor de produção do cliente • …ou entrega pacote para o cliente
  11. 11. Cenário atual 2/3• Definição e requisitos de negócio (funcionais e não funcionais) • Inception/Brainstorming • Estórias• Área de desenvolvimento materializa os requisitos transformando em software/aplicação.• Equipe de QA realiza testes de acordo com requisitos / eventualmente realiza stress test.• Equipe de Operações faz o deploy da aplicação em produção.
  12. 12. Cenário atual 3/3• Área de negócio demanda novo projeto • Inception/Brainstorming • Estórias• Área de desenvolvimento materializa os requisitos transformando em software/aplicação.• Equipe de QA realiza testes de acordo com requisitos / eventualmente realiza stress test.• Equipe de segurança realiza teste de penetração.. ui• Equipe de Operações faz o deploy da aplicação em produção.
  13. 13. MotivaçãoRedução de Custo efetivo do projeto
  14. 14. Motivação- Credibilidade- Conformidade- Prazo (tempo = dinheira)- Maturidade do processo de desenvolvimento
  15. 15. Software Assurance Maturity Model
  16. 16. Software Assurance Maturity Model
  17. 17. Software Assurance Maturity Model• Estabelecer um programa que garanta a segurança da informação• Definição de metas de segurança• Análise de risco (ativos, ameaças, vulnerabilidades)• Métricas e feedback sobre o programa de segurança
  18. 18. Software Assurance Maturity Model• Requisitos legais• Normas e padrões internos/externos• Compliance/Auditoria • Adoção e compreensão do programa por todos os envolvidos
  19. 19. Software Assurance Maturity Model• Treinamento para colaboradores• Guidelines• Baselines
  20. 20. Software Assurance Maturity Model• Modelagem de ameaças inerente ao projeto• VIP (Very Important)
  21. 21. Software Assurance Maturity Model• Requisitos de segurança baseados nas funcionalidades da aplicação e alinhados com o programa de segurança.
  22. 22. Software Assurance Maturity Model• Foco em modelagem e desenvolvimento de software seguro• Design Pattern para problemas de Segurança• Utilizar libs (pecl, pear, classes*, gem’s, cpan’s) historicamente seguras.• Infraestrutura segura
  23. 23. Software Assurance Maturity Model• Permite a identificação de vulnerabilidades a nivel de arquitetura antes de o software ser desenvolvido.• Desenho do fluxo de dados para informações críticas.
  24. 24. Software Assurance Maturity Model• Inspeção do código para procurar vulnerabilidades de segurança• Automação• Teste unitário para requisitos de segurança
  25. 25. Software Assurance Maturity Model• Inspeção do código em tempo de execução• Estabelecer um processo para execução de testes de penetração baseado nas implementações e requisitos
  26. 26. Software Assurance Maturity Model• Resposta a incidentes• Bugtrack/abuse• Coletar métricas sobre o incidente
  27. 27. Software Assurance Maturity Model• Hardening?• Ambiente de desenvolvimento com hardening aplicado + “debug mode=on”
  28. 28. Software Assurance Maturity Model• Documentação de instalação/operação• Processos de backup/restore• Disaster recovery
  29. 29. Software Assurance Maturity Model • As praticas não possuem uma ordem sequencial ou cronológica • Cada prática possui 3 níveis de maturidade • Modelos/exemplos de programas para tipos de organização
  30. 30. Perguntas?
  31. 31. ^$ (EOL) Agradecimentos Rafael Lachi o/ Cássia P. Melo <3

×