O documento discute a importância de testar software da maneira correta, com três frases principais: (1) Testar sozinho não é suficiente, é preciso fazer direito; (2) Construir uma base sólida de segurança no desenvolvimento é fundamental; (3) A adoção de padrões como a ISO/IEC 27034 pode ajudar a orientar os processos de segurança no desenvolvimento de software.
3. Scanning Applications Faster -
A Chicken vs. Egg Problem
While I believe there is merit in
making security testing automation
'faster' to achieve results. I absolutely
feel that need is far overshadowed by
the need to fix faster/smarter
http://h30499.www3.hp.com/t5/Following-the-White-Rabbit/Scanning-Applications-Faster-A-Chicken-vs-Egg-Problem/ba-p/5342729
Rafal Los (@Wh1t3Rabbit)
Chief Security Evangelist - HP Software
Wednesday, September 5, 2012
7. Silver Bullet... Só o evento!
Scans de Vulnerabilidades: Afogam os
analistas com informações e não apresentam
os verdadeiros problemas
WAF: Bem configurado é um colete a prova
de balas, mas não te protege de um Head
Shot
Treinamentos: Geralmente apresentam o
problema, mas não apresentam a solução
Wednesday, September 5, 2012
9. Primeiro faça, depois teste
IT Security - Hardening and Infrastructure
Application Development Team
Analysis Design Implementation Testing Release Deployment
Testers and Application Development Team
Security Review Vulnerability Scan Pentest
Web Application Firewall - Virtual Patching
Secure Software Development Lifecycle
Source: Aberdeen Group
Wednesday, September 5, 2012
11. Cronstrua uma base
Evangelize: É preciso ser consenso a necessidade de
segurança em desenvolvimento
Treine: Apresente os problemas e foque nas correções,
discuta código, fale a lingua do programador
Estruture um SDL: Avalie e ajuste seu processo de
desenvolvimento buscando desenvolver software com
mais segurança
Wednesday, September 5, 2012
12. Invista na operação
Hardening: Implemente os controles adequados na
infra-estrutura de suporte
Testes: Insira atividades de testes e verificações após o
desenvolvimento de software
Gestão de Vulnerabilidades: Implemente um
processo que acompanhe e documente o tratamento
das vulnerabilidades identificadas
Wednesday, September 5, 2012
13. Chuck Norris Approved
Durante o desenvolvimento: realize revisões de
código e testes de aprovação antes do release
WAF: Implemente um WAF para virtual patching e
complemento ao tratamento das vulnerabilidades
Melhoria Contínua: Adote um framework como o
OpenSAMM para identificar GAPs e promover a
melhoria contínua
Wednesday, September 5, 2012
17. Perhaps the biggest problem is
thinking that there is some magic
What really works in the long run is
to have people who care about
creating a quality product,
understand that security is an
important part of quality, and are
willing to do hard work to achieve
that quality
http://www.veracode.com/blog/2012/04/the-biggest-app-sec-mistakes-companies-make-and-how-to-fix-them/
David LeBlanc
Senior Security Technologist, Microsoft
Wednesday, September 5, 2012
18. Wagner Elias
Obrigado
welias@conviso.com.br
@welias
Wednesday, September 5, 2012