Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações

338 views

Published on

Marcos Ferreira, Analista de Segurança Sênior do Site Blindado, palestrou sobre "SecDevOps – Testes contínuos de segurança em aplicações", no DevCommerce Conference 2016.

O DevCommerce Conference 2016 aconteceu nos dias 06 e 07 de junho de 2016, no Hotel Tivoli em São Paulo-SP http://devcommerce2016.imasters.com.br/

Published in: Education
  • Be the first to comment

DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações

  1. 1. Testes contínuos de segurança em aplicações
  2. 2. 15 anos de experiência na área de SI Consultoria de segurança, Análise de vulnerabilidade e Pentest, Engenharia Social, Incident Response Voluntário no SANS Institute Top 20 Marcos Ferreira
  3. 3. Agenda • O que é o SecDevOps? • Onde e quando é implementado? • Ferramentas para testes • Dúvidas • Contatos
  4. 4. Como funciona o DevOps • Entrega e implementação contínua • Não precisa esperar release • Entrega de features • Agilidade
  5. 5. E a segurança...
  6. 6. ...precisa se reinventar!
  7. 7. Processo atual • Processos manuais • Documentos antigos • Não são ágeis • Levam muito tempo Normas Dev Testes Pentest Scans Ops ISO / PCI / OWASP / Políticas
  8. 8. Como começar • Planeje a segurança • Traga os desenvolvedores para próximo de segurança • Disponibilize ferramentas • Faça verificações constantes
  9. 9. Implementar sec no processo Source: https://insights.sei.cmu.edu/sei_blog/2014/12/security-in-continuous-integration.html
  10. 10. SAST, DAST ou RASP? • Static Application Security Testing (SAST) • Acesso ao código fonte • Verificação bem detalhada • Dynamic Application Security Testing (DAST) • Baseado em requisições e respostas • Não precisa ter acesso ao código fonte • Runtime Application Self-Protection (RASP) • Identificação e bloqueio de ataques em tempo real • Integrado diretamente na aplicação
  11. 11. Ferramentas de testes e DevSecOps GAUNTLT Hardening Framework Mittn
  12. 12. Hardening Framework • Automatic Server Hardening • Chef, Puppet e Ansible • OS hardening • SSH / MySql / PostgreSQL / Apache / Nginx • Ubuntu / RedHat / CentOS / Debian http://dev-sec.io/
  13. 13. Clair • Análise de vulnerabilidade estática • Containers Appc e Docker • Ubuntu / RedHat / Debian https://github.com/coreos/clair
  14. 14. Bdd-Security • Behavior-Driven Development (BDD) • Framework escrito Java e based no JBehave e Selenium 2 (WebDriver) • Usa o formato Given, When, Then • Pode ser integrado com Jenkins • Integração com OWASP ZAP / Nessus • Não precisa de acesso ao código https://github.com/continuumsecurity/bdd-security
  15. 15. GAUNTLT • Behavior-Driven Development (BDD) • Baseado em ruby • Usa o formato Given, When, Then • Integração com Nmap / sqlmap / arachni http://gauntlt.org/
  16. 16. Mittn • Projetado no contexto de Continuous Integration • Baseado em python • Usa o formato Given, When, Then • Integração com Burp / sslyze / Radamsa https://github.com/F-Secure/mittn
  17. 17. Resumindo... Dev Hardening Framework +
  18. 18. SEMPRE TESTE... ...E ATUALIZE TUDO! =)
  19. 19. Dúvidas
  20. 20. Email: marcos.ferreira@siteblindado.com.br Linkedin: https://br.linkedin.com/in/mferreira Blog: http://labs.siteblindado.com Fone: +55 11 3454-3310 Marcos Ferreira Obrigado!
  21. 21. +55 11 3354-3310 sec@siteblindado.com.br labs.siteblindado.com

×