SlideShare une entreprise Scribd logo

Testar Direito

Conviso Application Security
Conviso Application Security

O documento discute a importância de testar software da maneira correta, com três frases principais: (1) Testar sozinho não é suficiente, é preciso fazer direito; (2) Construir uma base sólida de segurança no desenvolvimento é fundamental; (3) A adoção de padrões como a ISO/IEC 27034 pode ajudar a orientar os processos de segurança no desenvolvimento de software.

Technologie
1  sur  18
Testar não é suficiente Tem que fazer direito! Wagner Elias, CTO - YSTS 6 Wednesday, September 5, 2012
Questionar é Preciso Wednesday, September 5, 2012
Scanning Applications Faster - A Chicken vs. Egg Problem While I believe there is merit in making security testing automation 'faster' to achieve results. I absolutely feel that need is far overshadowed by the need to fix faster/smarter http://h30499.www3.hp.com/t5/Following-the-White-Rabbit/Scanning-Applications-Faster-A-Chicken-vs-Egg-Problem/ba-p/5342729 Rafal Los (@Wh1t3Rabbit) Chief Security Evangelist - HP Software Wednesday, September 5, 2012
Testar muitos testam, mas quem está seguro? Wednesday, September 5, 2012
Testar não corrige Vulnerabilidades Vulnerabilidades Indústria Dias Expostos Sérias Reportadas Corrigidas Overall 230 53% 233 Banking 30 71% 74 Education 80 40% 164 Financial Services 266 41% 184 Healthcare 33 48% 133 Insurance 80 46% 236 IT 111 50% 221 Manufactoring 35 47% 123 Retail 404 66% 328 Social Networking 71 47% 159 Telecomunications 215 63% 260 WhiteHat Website Security Statistics Report - 2011 * Vulnerabilidades Sérias: Those vulnerabilities with a HIGH, CRITICAL, or URGENT severity as defined by PCI-DSS naming conventions. Exploitation could lead to breach or data loss Wednesday, September 5, 2012
Abordagens Isoladas não Resolvem Wednesday, September 5, 2012
Silver Bullet... Só o evento! Scans de Vulnerabilidades: Afogam os analistas com informações e não apresentam os verdadeiros problemas WAF: Bem configurado é um colete a prova de balas, mas não te protege de um Head Shot Treinamentos: Geralmente apresentam o problema, mas não apresentam a solução Wednesday, September 5, 2012
Revendo Conceitos Wednesday, September 5, 2012
Primeiro faça, depois teste IT Security - Hardening and Infrastructure Application Development Team Analysis Design Implementation Testing Release Deployment Testers and Application Development Team Security Review Vulnerability Scan Pentest Web Application Firewall - Virtual Patching Secure Software Development Lifecycle Source: Aberdeen Group Wednesday, September 5, 2012
Como Fazer Direito Wednesday, September 5, 2012
Cronstrua uma base Evangelize: É preciso ser consenso a necessidade de segurança em desenvolvimento Treine: Apresente os problemas e foque nas correções, discuta código, fale a lingua do programador Estruture um SDL: Avalie e ajuste seu processo de desenvolvimento buscando desenvolver software com mais segurança Wednesday, September 5, 2012
Invista na operação Hardening: Implemente os controles adequados na infra-estrutura de suporte Testes: Insira atividades de testes e verificações após o desenvolvimento de software Gestão de Vulnerabilidades: Implemente um processo que acompanhe e documente o tratamento das vulnerabilidades identificadas Wednesday, September 5, 2012
Chuck Norris Approved Durante o desenvolvimento: realize revisões de código e testes de aprovação antes do release WAF: Implemente um WAF para virtual patching e complemento ao tratamento das vulnerabilidades Melhoria Contínua: Adote um framework como o OpenSAMM para identificar GAPs e promover a melhoria contínua Wednesday, September 5, 2012
A Referência Certa Wednesday, September 5, 2012
Agora nós temos uma ISO ISO/IEC 27034 - Application Security ✓ ISO/IEC 27034-1 - Overview and Concepts (Publicada) ✓ ISO/IEC 27034-2 - Organization Normative Framework (ONF) ✓ ISO/IEC 27034-3 - Application security management process ✓ ISO/IEC 27034-4 - Application security validation ✓ ISO/IEC 27034-5 - Protocols and application security control data structure ✓ ISO/IEC 27034-6 - Security guidance for specific applications Wednesday, September 5, 2012
A Mensagem Wednesday, September 5, 2012
Perhaps the biggest problem is thinking that there is some magic What really works in the long run is to have people who care about creating a quality product, understand that security is an important part of quality, and are willing to do hard work to achieve that quality http://www.veracode.com/blog/2012/04/the-biggest-app-sec-mistakes-companies-make-and-how-to-fix-them/ David LeBlanc Senior Security Technologist, Microsoft Wednesday, September 5, 2012
Wagner Elias Obrigado welias@conviso.com.br @welias Wednesday, September 5, 2012

Recommandé

Self Defending Network
Self Defending NetworkSelf Defending Network
Self Defending Networkpaulo.cotta
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreiraAntar Ferreira
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BRMagno Logan
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Conviso Application Security
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesConviso Application Security
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashConviso Application Security
 

Recommandé

Self Defending Network
Self Defending NetworkSelf Defending Network
Self Defending Networkpaulo.cotta
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreiraAntar Ferreira
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BRMagno Logan
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Conviso Application Security
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesConviso Application Security
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashConviso Application Security
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebKeySupport Consultoria e Informática Ltda
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Comparativo Geral Seguraça Kaspersky x Concorrência
Comparativo Geral Seguraça Kaspersky x ConcorrênciaComparativo Geral Seguraça Kaspersky x Concorrência
Comparativo Geral Seguraça Kaspersky x ConcorrênciaCentral Info
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSeguraKeySupport Consultoria e Informática Ltda
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Por quê o software continua inseguro (versão extendida)?
Por quê o software continua inseguro (versão extendida)?Por quê o software continua inseguro (versão extendida)?
Por quê o software continua inseguro (versão extendida)?Vinicius Oliveira Ferreira
 
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TISymantec Brasil
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalkerKeySupport Consultoria e Informática Ltda
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-StalkerEduardo Lanna
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
Dss 3
Dss 3Dss 3
Dss 3Jean Carlos da Silva
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Teste de software
Teste de softwareTeste de software
Teste de softwareNylce Garcia
 
Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSSConviso Application Security
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web HackingConviso Application Security
 

Contenu connexe

Similaire à Testar Direito

Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Comparativo Geral Seguraça Kaspersky x Concorrência
Comparativo Geral Seguraça Kaspersky x ConcorrênciaComparativo Geral Seguraça Kaspersky x Concorrência
Comparativo Geral Seguraça Kaspersky x ConcorrênciaCentral Info
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Por quê o software continua inseguro (versão extendida)?
Por quê o software continua inseguro (versão extendida)?Por quê o software continua inseguro (versão extendida)?
Por quê o software continua inseguro (versão extendida)?Vinicius Oliveira Ferreira
 
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TISymantec Brasil
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-StalkerEduardo Lanna
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 

Similaire à Testar Direito (20)

Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Comparativo Geral Seguraça Kaspersky x Concorrência
Comparativo Geral Seguraça Kaspersky x ConcorrênciaComparativo Geral Seguraça Kaspersky x Concorrência
Comparativo Geral Seguraça Kaspersky x Concorrência
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
 
Por quê o software continua inseguro (versão extendida)?
Por quê o software continua inseguro (versão extendida)?Por quê o software continua inseguro (versão extendida)?
Por quê o software continua inseguro (versão extendida)?
 
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016
 
(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
Dss 3
Dss 3Dss 3
Dss 3
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
Teste de software
Teste de softwareTeste de software
Teste de software
 

Plus de Conviso Application Security

“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web HackingConviso Application Security
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebConviso Application Security
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...Conviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Conviso Application Security
 

Plus de Conviso Application Security (17)

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
 
HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?
 
Threats from economical improvement rss 2010
Threats from economical improvement rss 2010Threats from economical improvement rss 2010
Threats from economical improvement rss 2010
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
Abotoaduras & Bonés
Abotoaduras & BonésAbotoaduras & Bonés
Abotoaduras & Bonés
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 
Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
App Sucesu 07out08
App Sucesu 07out08App Sucesu 07out08
App Sucesu 07out08
 

Testar Direito

  • 1. Testar não é suficiente Tem que fazer direito! Wagner Elias, CTO - YSTS 6 Wednesday, September 5, 2012
  • 3. Scanning Applications Faster - A Chicken vs. Egg Problem While I believe there is merit in making security testing automation 'faster' to achieve results. I absolutely feel that need is far overshadowed by the need to fix faster/smarter http://h30499.www3.hp.com/t5/Following-the-White-Rabbit/Scanning-Applications-Faster-A-Chicken-vs-Egg-Problem/ba-p/5342729 Rafal Los (@Wh1t3Rabbit) Chief Security Evangelist - HP Software Wednesday, September 5, 2012
  • 4. Testar muitos testam, mas quem está seguro? Wednesday, September 5, 2012
  • 5. Testar não corrige Vulnerabilidades Vulnerabilidades Indústria Dias Expostos Sérias Reportadas Corrigidas Overall 230 53% 233 Banking 30 71% 74 Education 80 40% 164 Financial Services 266 41% 184 Healthcare 33 48% 133 Insurance 80 46% 236 IT 111 50% 221 Manufactoring 35 47% 123 Retail 404 66% 328 Social Networking 71 47% 159 Telecomunications 215 63% 260 WhiteHat Website Security Statistics Report - 2011 * Vulnerabilidades Sérias: Those vulnerabilities with a HIGH, CRITICAL, or URGENT severity as defined by PCI-DSS naming conventions. Exploitation could lead to breach or data loss Wednesday, September 5, 2012
  • 6. Abordagens Isoladas não Resolvem Wednesday, September 5, 2012
  • 7. Silver Bullet... Só o evento! Scans de Vulnerabilidades: Afogam os analistas com informações e não apresentam os verdadeiros problemas WAF: Bem configurado é um colete a prova de balas, mas não te protege de um Head Shot Treinamentos: Geralmente apresentam o problema, mas não apresentam a solução Wednesday, September 5, 2012
  • 9. Primeiro faça, depois teste IT Security - Hardening and Infrastructure Application Development Team Analysis Design Implementation Testing Release Deployment Testers and Application Development Team Security Review Vulnerability Scan Pentest Web Application Firewall - Virtual Patching Secure Software Development Lifecycle Source: Aberdeen Group Wednesday, September 5, 2012
  • 10. Como Fazer Direito Wednesday, September 5, 2012
  • 11. Cronstrua uma base Evangelize: É preciso ser consenso a necessidade de segurança em desenvolvimento Treine: Apresente os problemas e foque nas correções, discuta código, fale a lingua do programador Estruture um SDL: Avalie e ajuste seu processo de desenvolvimento buscando desenvolver software com mais segurança Wednesday, September 5, 2012
  • 12. Invista na operação Hardening: Implemente os controles adequados na infra-estrutura de suporte Testes: Insira atividades de testes e verificações após o desenvolvimento de software Gestão de Vulnerabilidades: Implemente um processo que acompanhe e documente o tratamento das vulnerabilidades identificadas Wednesday, September 5, 2012
  • 13. Chuck Norris Approved Durante o desenvolvimento: realize revisões de código e testes de aprovação antes do release WAF: Implemente um WAF para virtual patching e complemento ao tratamento das vulnerabilidades Melhoria Contínua: Adote um framework como o OpenSAMM para identificar GAPs e promover a melhoria contínua Wednesday, September 5, 2012
  • 14. A Referência Certa Wednesday, September 5, 2012
  • 15. Agora nós temos uma ISO ISO/IEC 27034 - Application Security ✓ ISO/IEC 27034-1 - Overview and Concepts (Publicada) ✓ ISO/IEC 27034-2 - Organization Normative Framework (ONF) ✓ ISO/IEC 27034-3 - Application security management process ✓ ISO/IEC 27034-4 - Application security validation ✓ ISO/IEC 27034-5 - Protocols and application security control data structure ✓ ISO/IEC 27034-6 - Security guidance for specific applications Wednesday, September 5, 2012
  • 17. Perhaps the biggest problem is thinking that there is some magic What really works in the long run is to have people who care about creating a quality product, understand that security is an important part of quality, and are willing to do hard work to achieve that quality http://www.veracode.com/blog/2012/04/the-biggest-app-sec-mistakes-companies-make-and-how-to-fix-them/ David LeBlanc Senior Security Technologist, Microsoft Wednesday, September 5, 2012
  • 18. Wagner Elias Obrigado welias@conviso.com.br @welias Wednesday, September 5, 2012