Segurança no Desenvolvimento de Software

4,423 views

Published on

Apresentação sobre SDL/CLASSP realizada em uma aula de graduação em analise de sistema.

Published in: Technology, Education
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,423
On SlideShare
0
From Embeds
0
Number of Embeds
52
Actions
Shares
0
Downloads
205
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Segurança no Desenvolvimento de Software

  1. 1. Segurança no desenvolvimento  de software Marcelo M. Fleury …  #GOPHP, #GOJAVA,  #PSL­GO, #FUG­BR, #CISSP­BR … marcelomf@gmail.com http://marcelomf.blogspot.com    
  2. 2. Agenda  Motivação  Metodologias para desenvolvimento de  software  Processos para o desenvolvimento de software  seguro  Boas práticas  Testes de invasão(pentest)  Equipes especialistas    Certificações  
  3. 3. Motivação  Vulnerabilidades  Ataques  Imagem  Riscos  ROI ­ Custo/Benefício    
  4. 4. Metodologias para  desenvolvimento de software  Cascata  Rup  Cmmi  Mps/Br  Spice  ISO 12207  Espiral  Xp   Scrum  
  5. 5. Desenvolvimento de software  seguro  SDL ­ Processos bem definidos aliados a  metodologia de desenvolvimento, possui como  foco único e exclusivo a segurança, exigindo  um SOC(Centro de operações de segurança) e  analises finais de segurança.  OWASP/CLASP ­ Um 'frameworkquot; com  processos bem definidos e flexiveis ao ponto  de viabilizar relacionamentos não custosos com  a metodologia de desenvolvimento de software    utilizada pela empresa.  
  6. 6. SDL ­ Microsoft  Comparação do SDL com o desenvolvimento  em espiral utilizado pela microsoft Tarefas Introduzidas pelo Processo de Desenvolvimento Seguro (SDL) Treinamento de Segurança Uso de Manutenção Criação de Security Ferramentas de Arquitetura de Docs e Preparar Push Revisão Kickoff de e Melhores Segurança Melhores Segurança FerramentasPlano de Final de Segurança Praticas de para o Resposta e Resposta Práticas Desenv. e Segurança e Registro com Produto Teste a Incidentes de Design Modelagem Teste o SWI De Ameaças Penet. Tarefas e Processos Tradicionais no Desenvolvimento de Produtos da Microsoft Especificações Teste e Verificação Ass. do Lista de Recursos Do Design Suporte ao Código Guias de Qualidade Produto Aprovação RTM Docs de Arquitetura Service Packs/ Final Cronogramas Espeficicações Desenvolvimento Correções Correção de Bugs Rel. Cand. Funcionais de Novo Código Suporte Requisitos Design Implementação Verificação Lançamento e Manutenção    
  7. 7. Boas práticas  Treinamentos para a equipe de  desenvolvimento  Privilégio Mínimo  Execução Mínima  Segregação de função  TDD ­ Desenvolvimento orientado a testes    
  8. 8. ... Boas praticas  Modelagem de ameaças  Revisão de código  Padrões de projeto  Refactoring  Manter­se atualizado(securityfocus, milworm,  etc)    
  9. 9. Testes de invasão(pentest)  OSSTMM ­ Metodologia open source para  testes de invasão.  Externos X Internos, é importante que terceiros  testem o software desenvolvido, evitando assim  vícios da equipe de desenvolvimento e ou  segurança.    
  10. 10. Tipos de testes de invasão  White Box ­ Situação na qual o atacante possui  total acesso ao sistema e tudo aquilo que foi  utilizado para o desenvolvimento do  mesmo(códigos, documentação,  desenvolvedores...)  Grey box ­ Situação na qual o atacante possui  a visão do usuário, com algumas facilidades  propostas pela empresa(acesso a binários, libs,  alguma documentação...)  Black Box ­ Situação na qual o atacante inicia­   se como usuário.  
  11. 11. Práticas em testes de invasão  Automatizados, utilizando valores  aleatórios(fuzzing) e até mesmo inteligentes  Manuais(know­how by tester, OWASP)  Framework's de exploits(metasploit)  Ferramentas para varreduras(nmap, nessus)  Ferramentas para analise de código estático  Ferramentas para engenharia  reversa/debug(gdb, olydbg)    
  12. 12. Equipes especialistas  Time de Resposta a incidentes Equipe responsável por catalogar, amparar,  analisar e solucionar incidentes relacionados a  segurança.  Centro de operações de segurança Equipe responsável por amparar, auditar,  fiscalizar e esmiuçar os processos, técnicas e  métodos relativos a segurança, utilizados pela  a equipe de desenvolvimento.   Hackers!  
  13. 13. Certificações  CISSP ­ Certified Information Systems Security  Professional  CEH ­ Certified Ethical Hacker  MCSO ­ Módulo Certified Security Officer  CSSLP ­ Certified Secure Software Lifecycle  Professional    
  14. 14. Perguntas ?    
  15. 15. Obrigado!    

×