Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Testes contínuos de
segurança em aplicações
15 anos de experiência na área de SI
Consultoria de segurança, Análise de vulnerabilidade e
Pentest, Engenharia Social, In...
Agenda
• O que é o SecDevOps?
• Onde e quando é implementado?
• Ferramentas para testes
• Dúvidas
• Contatos
Como funciona o DevOps
• Entrega e implementação contínua
• Não precisa esperar release
• Entrega de features
• Agilidade
E a segurança...
...precisa se reinventar!
Processo atual
• Processos manuais
• Documentos antigos
• Não são ágeis
• Levam muito tempo
Normas
Dev
Testes
Pentest
Scan...
Como começar
• Planeje a segurança
• Traga os desenvolvedores para próximo de
segurança
• Disponibilize ferramentas
• Faça...
Implementar sec no processo
Source: https://insights.sei.cmu.edu/sei_blog/2014/12/security-in-continuous-integration.html
SAST, DAST ou RASP?
• Static Application Security Testing (SAST)
• Acesso ao código fonte
• Verificação bem detalhada
• Dy...
Ferramentas de testes e DevSecOps
GAUNTLT
Hardening Framework
Mittn
Hardening Framework
• Automatic Server Hardening
• Chef, Puppet e Ansible
• OS hardening
• SSH / MySql / PostgreSQL / Apac...
Clair
• Análise de vulnerabilidade estática
• Containers Appc e Docker
• Ubuntu / RedHat / Debian
https://github.com/coreo...
Bdd-Security
• Behavior-Driven Development (BDD)
• Framework escrito Java e based no JBehave e
Selenium 2 (WebDriver)
• Us...
GAUNTLT
• Behavior-Driven Development (BDD)
• Baseado em ruby
• Usa o formato Given, When, Then
• Integração com Nmap / sq...
Mittn
• Projetado no contexto de Continuous Integration
• Baseado em python
• Usa o formato Given, When, Then
• Integração...
Resumindo...
Dev
Hardening
Framework
+
SEMPRE TESTE...
...E ATUALIZE TUDO! =)
Dúvidas
Email: marcos.ferreira@siteblindado.com.br
Linkedin: https://br.linkedin.com/in/mferreira
Blog: http://labs.siteblindado.c...
+55 11 3354-3310
sec@siteblindado.com.br
labs.siteblindado.com
Upcoming SlideShare
Loading in …5
×

DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações

275 views

Published on

Marcos Ferreira, Analista de Segurança Sênior do Site Blindado, palestrou sobre "SecDevOps – Testes contínuos de segurança em aplicações", no DevCommerce Conference 2016.

O DevCommerce Conference 2016 aconteceu nos dias 06 e 07 de junho de 2016, no Hotel Tivoli em São Paulo-SP http://devcommerce2016.imasters.com.br/

Published in: Education
  • Be the first to comment

DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações

  1. 1. Testes contínuos de segurança em aplicações
  2. 2. 15 anos de experiência na área de SI Consultoria de segurança, Análise de vulnerabilidade e Pentest, Engenharia Social, Incident Response Voluntário no SANS Institute Top 20 Marcos Ferreira
  3. 3. Agenda • O que é o SecDevOps? • Onde e quando é implementado? • Ferramentas para testes • Dúvidas • Contatos
  4. 4. Como funciona o DevOps • Entrega e implementação contínua • Não precisa esperar release • Entrega de features • Agilidade
  5. 5. E a segurança...
  6. 6. ...precisa se reinventar!
  7. 7. Processo atual • Processos manuais • Documentos antigos • Não são ágeis • Levam muito tempo Normas Dev Testes Pentest Scans Ops ISO / PCI / OWASP / Políticas
  8. 8. Como começar • Planeje a segurança • Traga os desenvolvedores para próximo de segurança • Disponibilize ferramentas • Faça verificações constantes
  9. 9. Implementar sec no processo Source: https://insights.sei.cmu.edu/sei_blog/2014/12/security-in-continuous-integration.html
  10. 10. SAST, DAST ou RASP? • Static Application Security Testing (SAST) • Acesso ao código fonte • Verificação bem detalhada • Dynamic Application Security Testing (DAST) • Baseado em requisições e respostas • Não precisa ter acesso ao código fonte • Runtime Application Self-Protection (RASP) • Identificação e bloqueio de ataques em tempo real • Integrado diretamente na aplicação
  11. 11. Ferramentas de testes e DevSecOps GAUNTLT Hardening Framework Mittn
  12. 12. Hardening Framework • Automatic Server Hardening • Chef, Puppet e Ansible • OS hardening • SSH / MySql / PostgreSQL / Apache / Nginx • Ubuntu / RedHat / CentOS / Debian http://dev-sec.io/
  13. 13. Clair • Análise de vulnerabilidade estática • Containers Appc e Docker • Ubuntu / RedHat / Debian https://github.com/coreos/clair
  14. 14. Bdd-Security • Behavior-Driven Development (BDD) • Framework escrito Java e based no JBehave e Selenium 2 (WebDriver) • Usa o formato Given, When, Then • Pode ser integrado com Jenkins • Integração com OWASP ZAP / Nessus • Não precisa de acesso ao código https://github.com/continuumsecurity/bdd-security
  15. 15. GAUNTLT • Behavior-Driven Development (BDD) • Baseado em ruby • Usa o formato Given, When, Then • Integração com Nmap / sqlmap / arachni http://gauntlt.org/
  16. 16. Mittn • Projetado no contexto de Continuous Integration • Baseado em python • Usa o formato Given, When, Then • Integração com Burp / sslyze / Radamsa https://github.com/F-Secure/mittn
  17. 17. Resumindo... Dev Hardening Framework +
  18. 18. SEMPRE TESTE... ...E ATUALIZE TUDO! =)
  19. 19. Dúvidas
  20. 20. Email: marcos.ferreira@siteblindado.com.br Linkedin: https://br.linkedin.com/in/mferreira Blog: http://labs.siteblindado.com Fone: +55 11 3454-3310 Marcos Ferreira Obrigado!
  21. 21. +55 11 3354-3310 sec@siteblindado.com.br labs.siteblindado.com

×