Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Segurança no Desenvolvimento de Software

4,660 views

Published on

Apresentação sobre SDL/CLASSP realizada em uma aula de graduação em analise de sistema.

Published in: Technology, Education
  • Be the first to comment

Segurança no Desenvolvimento de Software

  1. 1. Segurança no desenvolvimento  de software Marcelo M. Fleury …  #GOPHP, #GOJAVA,  #PSL­GO, #FUG­BR, #CISSP­BR … marcelomf@gmail.com http://marcelomf.blogspot.com    
  2. 2. Agenda  Motivação  Metodologias para desenvolvimento de  software  Processos para o desenvolvimento de software  seguro  Boas práticas  Testes de invasão(pentest)  Equipes especialistas    Certificações  
  3. 3. Motivação  Vulnerabilidades  Ataques  Imagem  Riscos  ROI ­ Custo/Benefício    
  4. 4. Metodologias para  desenvolvimento de software  Cascata  Rup  Cmmi  Mps/Br  Spice  ISO 12207  Espiral  Xp   Scrum  
  5. 5. Desenvolvimento de software  seguro  SDL ­ Processos bem definidos aliados a  metodologia de desenvolvimento, possui como  foco único e exclusivo a segurança, exigindo  um SOC(Centro de operações de segurança) e  analises finais de segurança.  OWASP/CLASP ­ Um 'frameworkquot; com  processos bem definidos e flexiveis ao ponto  de viabilizar relacionamentos não custosos com  a metodologia de desenvolvimento de software    utilizada pela empresa.  
  6. 6. SDL ­ Microsoft  Comparação do SDL com o desenvolvimento  em espiral utilizado pela microsoft Tarefas Introduzidas pelo Processo de Desenvolvimento Seguro (SDL) Treinamento de Segurança Uso de Manutenção Criação de Security Ferramentas de Arquitetura de Docs e Preparar Push Revisão Kickoff de e Melhores Segurança Melhores Segurança FerramentasPlano de Final de Segurança Praticas de para o Resposta e Resposta Práticas Desenv. e Segurança e Registro com Produto Teste a Incidentes de Design Modelagem Teste o SWI De Ameaças Penet. Tarefas e Processos Tradicionais no Desenvolvimento de Produtos da Microsoft Especificações Teste e Verificação Ass. do Lista de Recursos Do Design Suporte ao Código Guias de Qualidade Produto Aprovação RTM Docs de Arquitetura Service Packs/ Final Cronogramas Espeficicações Desenvolvimento Correções Correção de Bugs Rel. Cand. Funcionais de Novo Código Suporte Requisitos Design Implementação Verificação Lançamento e Manutenção    
  7. 7. Boas práticas  Treinamentos para a equipe de  desenvolvimento  Privilégio Mínimo  Execução Mínima  Segregação de função  TDD ­ Desenvolvimento orientado a testes    
  8. 8. ... Boas praticas  Modelagem de ameaças  Revisão de código  Padrões de projeto  Refactoring  Manter­se atualizado(securityfocus, milworm,  etc)    
  9. 9. Testes de invasão(pentest)  OSSTMM ­ Metodologia open source para  testes de invasão.  Externos X Internos, é importante que terceiros  testem o software desenvolvido, evitando assim  vícios da equipe de desenvolvimento e ou  segurança.    
  10. 10. Tipos de testes de invasão  White Box ­ Situação na qual o atacante possui  total acesso ao sistema e tudo aquilo que foi  utilizado para o desenvolvimento do  mesmo(códigos, documentação,  desenvolvedores...)  Grey box ­ Situação na qual o atacante possui  a visão do usuário, com algumas facilidades  propostas pela empresa(acesso a binários, libs,  alguma documentação...)  Black Box ­ Situação na qual o atacante inicia­   se como usuário.  
  11. 11. Práticas em testes de invasão  Automatizados, utilizando valores  aleatórios(fuzzing) e até mesmo inteligentes  Manuais(know­how by tester, OWASP)  Framework's de exploits(metasploit)  Ferramentas para varreduras(nmap, nessus)  Ferramentas para analise de código estático  Ferramentas para engenharia  reversa/debug(gdb, olydbg)    
  12. 12. Equipes especialistas  Time de Resposta a incidentes Equipe responsável por catalogar, amparar,  analisar e solucionar incidentes relacionados a  segurança.  Centro de operações de segurança Equipe responsável por amparar, auditar,  fiscalizar e esmiuçar os processos, técnicas e  métodos relativos a segurança, utilizados pela  a equipe de desenvolvimento.   Hackers!  
  13. 13. Certificações  CISSP ­ Certified Information Systems Security  Professional  CEH ­ Certified Ethical Hacker  MCSO ­ Módulo Certified Security Officer  CSSLP ­ Certified Secure Software Lifecycle  Professional    
  14. 14. Perguntas ?    
  15. 15. Obrigado!    

×