25/11/2011 1 Kleitor Franklint Líder OWASP Capítulo Manaus [email protected][email protected]Kleitor Franklint Líder OWASP Capítulo Manaus [email protected][email protected]DESENVOLVIMENTO DESENVOLVIMENTO SEGURO SEGURO OWASP A necessidade de Aplicações Seguras Heróis da Segurança Roteiro Roteiro OWASP TOP 10 Modelagem de Riscos Aplicações Seguras: mitos e verdades Pen Test x Revisão de Código SPTSO: como colaboramos? Ferramentas para o time Roteiro Roteiro Classificação de ameaças Heróis da segurança da informação Heróis da segurança da informação Uma relação baseada em 5 pontos Uma relação baseada em 5 pontos-chave: chave: E se se... ... E por por que que não? não? Como Como ser ser mais mais ágil ágil mantendo mantendo a qualidade? qualidade? Como Como fazer fazer de de um um jeito jeito mais mais seguro? seguro? Mostre Mostre-me! me! Riscos; Possibilidades; Dinamismo e Ritmo; Qualidade; Visão de time;
12
Embed
SQSP2011 ds - Processamento de Dados Amazonas S/A · E eu profissional, conheço esses riscos ao entregar a aplicação e fornecer ... Ampliar conhecimentos em testes de invasão
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
�Colabora à busca de equilíbrio: Time do Market x Qualidade;
�Colabora com Agilidade na qualidade de software;
�Melhora visibilidade para tomada de decisão;
�Ajudar a definir foco em projetos de prazos justos;
�Colabora estrategicamente com a correção de defeitos;
�Possibilita que o time saiba em que direção enxergar;
�Melhora a visão da gestão de configuração e mudanças.
Modelagem de RiscosModelagem de Riscos
2:34
Ajuda a enxergar o elo mais fraco da cadeia Ajuda a enxergar o elo mais fraco da cadeia
Modelagem de riscosModelagem de riscos
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
25/11/2011
7
Aplicações Seguras: Aplicações Seguras: MitosMitos e e VerdadesVerdades
-Pen test automatizado ( scanners) detectam tudo!!
Não é verdade, necessitam ser complementados de Análise Passiva deCódigo e Testes Manuais.
Limitações: são baseados em respostas; limitações quanto à detecçãoem camadas mais escondidas do software.
-Protegi todas as camadas do modelo OSI, a aplicação está segura!!
Não é verdade, segurança é a soma dos complementos e asvulnerabilidades oriundas da aplicação necessitam ser sanadas.
2:34
É só pegar o relatório da ferramenta e apresentar!!
Não é verdade, o relatório é um artefato morto senão levar em contamuitos aspectos de riscos, regras de negócios, Time do market, fatoresambientais e estruturais na avaliação, além da análise cautelosa deFalsos Positivo / Negativo entre outros.
Aplicações Seguras: Aplicações Seguras: MitosMitos e e VerdadesVerdades
FalhasReveladas
Falhaslocalizadas
Ident. Pontosfracos
Vantagem # of End Points
Code
Rev
Pen
Test
Code
Rev
Pen
Test
Code
Rev
Pen
Test
Injection 5 2 5 2 5 1 Code Review Across App
XSS 4 3 4 2 4 2 Code Review Across App
AuthN 3 4 4 3 3 3 Tie? 1
Obj Ref 4 4 5 3 4 2 Code Review Across App
CSRF 4 4 5 4 4 2 Code Review Across App
Config 2 4 5 5 2 4 Test A few
URL
Access5 4 5 4 4 2 Code Review Across App
Crypto
Storage5 1 5 1 5 1 Code Review A few
Transport 2 4 3 4 2 4 Test A few
Redirect 5 3 5 3 5 2 Code Review A few
TOTALS 39 34 46 31 38 23
Análise comparativa: Análise comparativa: PenPen TestTest x Rev. Códigox Rev. CódigoClassificação de ameaças pela WASCClassificação de ameaças pela WASC
WASC THREAT CLASSIFICATION, 2010
Localização das vulnerabilidades naLocalização das vulnerabilidades na““Visão de Fase de DesenvolvimentoVisão de Fase de Desenvolvimento””
Design Implementação Deploy
13 42 12
46 vulnerabilidades ao todo46 vulnerabilidades ao todo
2:34
25/11/2011
8
Vulnerabilidade Design Implementação Deploy
Classificação de Ameaças: detalhamentoClassificação de Ameaças: detalhamento
2:34
Classificação de Ameaças: detalhamentoClassificação de Ameaças: detalhamento
Vulnerabilidade Design Implementação Deploy
Classificação de Ameaças: detalhamentoClassificação de Ameaças: detalhamento
Vulnerabilidade Design Implementação Deploy
2:34
Classificação de Ameaças: detalhamentoClassificação de Ameaças: detalhamento
Vulnerabilidade Design Implementação Deploy
25/11/2011
9
Como identificá-las? Nós podemos colaborar
Ameaças à saúde do softwareAmeaças à saúde do software
2:34
VISÃO DE CICLO DE VIDA: VISÃO DE CICLO DE VIDA: ÁGIL E RASTREÁVELÁGIL E RASTREÁVEL
Iniciação e
planejamento
Sistema Construído
com qualidade
A cada iteração da
Implementação do
Produto
Release Parcial /
Total do produto
Estimar Riscos e Requisitos;
Plano de teste: identificar;
e dimensionar CT por estórias, UC, outros.
Estimar Riscos e Requisitos;
Plano de Teste;
Colaborar e aprender com Teste Unitário;
Testes Exploratórios de testadores e Desenvolvedores;
Teste de API; Análise passiva de vulnerabilidades;
Gerar / Acompanhar lista de correções de defeitos;
Automatizar testes.
Testes de Sistema
( 1ª iteração de testes, testes de regressão);
Automatizar testes;
Teste de Carga, Performance, Segurança;
Teste de aceitação (UAT);
Gerar / Acompanhar lista de correções de defeitos.
SPTSO: SPTSO: Técnicas de VerificaçãoTécnicas de Verificação