Testes contínuos de
segurança em aplicações
15 anos de experiência na área de SI
Consultoria de segurança, Análise de vulnerabilidade e
Pentest, Engenharia Social, In...
Agenda
• O que é o SecDevOps?
• Onde e quando é implementado?
• Ferramentas para testes
• Dúvidas
• Contatos
Como funciona o DevOps
• Entrega e implementação contínua
• Não precisa esperar release
• Entrega de features
• Agilidade
E a segurança...
...precisa se reinventar!
Processo atual
• Processos manuais
• Documentos antigos
• Não são ágeis
• Levam muito tempo
Normas
Dev
Testes
Pentest
Scan...
Como começar
• Planeje a segurança
• Traga os desenvolvedores para próximo de
segurança
• Disponibilize ferramentas
• Faça...
Implementar sec no processo
Source: https://insights.sei.cmu.edu/sei_blog/2014/12/security-in-continuous-integration.html
SAST, DAST ou RASP?
• Static Application Security Testing (SAST)
• Acesso ao código fonte
• Verificação bem detalhada
• Dy...
Ferramentas de testes e DevSecOps
GAUNTLT
Hardening Framework
Mittn
Hardening Framework
• Automatic Server Hardening
• Chef, Puppet e Ansible
• OS hardening
• SSH / MySql / PostgreSQL / Apac...
Clair
• Análise de vulnerabilidade estática
• Containers Appc e Docker
• Ubuntu / RedHat / Debian
https://github.com/coreo...
Bdd-Security
• Behavior-Driven Development (BDD)
• Framework escrito Java e based no JBehave e
Selenium 2 (WebDriver)
• Us...
GAUNTLT
• Behavior-Driven Development (BDD)
• Baseado em ruby
• Usa o formato Given, When, Then
• Integração com Nmap / sq...
Mittn
• Projetado no contexto de Continuous Integration
• Baseado em python
• Usa o formato Given, When, Then
• Integração...
Resumindo...
Dev
Hardening
Framework
+
SEMPRE TESTE...
...E ATUALIZE TUDO! =)
Dúvidas
Email: marcos.ferreira@siteblindado.com.br
Linkedin: https://br.linkedin.com/in/mferreira
Blog: http://labs.siteblindado.c...
+55 11 3354-3310
sec@siteblindado.com.br
labs.siteblindado.com
Upcoming SlideShare
Loading in …5
×

DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações

162 views

Published on

Marcos Ferreira, Analista de Segurança Sênior do Site Blindado, palestrou sobre "SecDevOps – Testes contínuos de segurança em aplicações", no DevCommerce Conference 2016.

O DevCommerce Conference 2016 aconteceu nos dias 06 e 07 de junho de 2016, no Hotel Tivoli em São Paulo-SP http://devcommerce2016.imasters.com.br/

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
162
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações

  1. 1. Testes contínuos de segurança em aplicações
  2. 2. 15 anos de experiência na área de SI Consultoria de segurança, Análise de vulnerabilidade e Pentest, Engenharia Social, Incident Response Voluntário no SANS Institute Top 20 Marcos Ferreira
  3. 3. Agenda • O que é o SecDevOps? • Onde e quando é implementado? • Ferramentas para testes • Dúvidas • Contatos
  4. 4. Como funciona o DevOps • Entrega e implementação contínua • Não precisa esperar release • Entrega de features • Agilidade
  5. 5. E a segurança...
  6. 6. ...precisa se reinventar!
  7. 7. Processo atual • Processos manuais • Documentos antigos • Não são ágeis • Levam muito tempo Normas Dev Testes Pentest Scans Ops ISO / PCI / OWASP / Políticas
  8. 8. Como começar • Planeje a segurança • Traga os desenvolvedores para próximo de segurança • Disponibilize ferramentas • Faça verificações constantes
  9. 9. Implementar sec no processo Source: https://insights.sei.cmu.edu/sei_blog/2014/12/security-in-continuous-integration.html
  10. 10. SAST, DAST ou RASP? • Static Application Security Testing (SAST) • Acesso ao código fonte • Verificação bem detalhada • Dynamic Application Security Testing (DAST) • Baseado em requisições e respostas • Não precisa ter acesso ao código fonte • Runtime Application Self-Protection (RASP) • Identificação e bloqueio de ataques em tempo real • Integrado diretamente na aplicação
  11. 11. Ferramentas de testes e DevSecOps GAUNTLT Hardening Framework Mittn
  12. 12. Hardening Framework • Automatic Server Hardening • Chef, Puppet e Ansible • OS hardening • SSH / MySql / PostgreSQL / Apache / Nginx • Ubuntu / RedHat / CentOS / Debian http://dev-sec.io/
  13. 13. Clair • Análise de vulnerabilidade estática • Containers Appc e Docker • Ubuntu / RedHat / Debian https://github.com/coreos/clair
  14. 14. Bdd-Security • Behavior-Driven Development (BDD) • Framework escrito Java e based no JBehave e Selenium 2 (WebDriver) • Usa o formato Given, When, Then • Pode ser integrado com Jenkins • Integração com OWASP ZAP / Nessus • Não precisa de acesso ao código https://github.com/continuumsecurity/bdd-security
  15. 15. GAUNTLT • Behavior-Driven Development (BDD) • Baseado em ruby • Usa o formato Given, When, Then • Integração com Nmap / sqlmap / arachni http://gauntlt.org/
  16. 16. Mittn • Projetado no contexto de Continuous Integration • Baseado em python • Usa o formato Given, When, Then • Integração com Burp / sslyze / Radamsa https://github.com/F-Secure/mittn
  17. 17. Resumindo... Dev Hardening Framework +
  18. 18. SEMPRE TESTE... ...E ATUALIZE TUDO! =)
  19. 19. Dúvidas
  20. 20. Email: marcos.ferreira@siteblindado.com.br Linkedin: https://br.linkedin.com/in/mferreira Blog: http://labs.siteblindado.com Fone: +55 11 3454-3310 Marcos Ferreira Obrigado!
  21. 21. +55 11 3354-3310 sec@siteblindado.com.br labs.siteblindado.com

×