SlideShare une entreprise Scribd logo

Desenvolvendo Seguro com OpenSAMM

E
Erick Belluci Tedeschi

O documento discute o desenvolvimento seguro de aplicações, desde o planejamento inicial até o deploy. Primeiro, apresenta estatísticas sobre segurança de aplicações web. Em seguida, descreve o cenário atual de desenvolvimento e sugere o uso do OpenSAMM (Software Assurance Maturity Model) para incorporar práticas de segurança ao longo de todo o ciclo de vida do projeto. Por fim, explica os benefícios de adotar um modelo de maturidade como o OpenSAMM.

1  sur  31
Télécharger pour lire hors ligne
Desenvolvendo Seguro (do rascunho ao deploy) Erick Belluci Tedeschi @ericktedeschi
Erick Belluci Tedeschi - Analista de Segurança da Informação - Ex desenvolvedor - PHPzeiro nas horas vagas - Web Security Researcher - Motociclista - Guitarreiro
Agenda • Estatísticas • Cenário atual • Motivação • OpenSAMM? • Governance • Construction • Verification • Deployment
Estatísticas e memes! 73 Percent of Organizations Have Been Hacked At Least Once In The Last 24 Months Through Insecure Web Application Fonte: http://www.barracudalabs.com/wordpress/index.php/2011/02/08/73-percent- of-organizations-have-been-hacked-at-least-once-in-the-last-24-months-through- insecure-web-applications/
Estatísticas e memes! Mais da metade das aplicações Web não passam nos testes de segurança antes do deploy Fonte:http://www.eweek.com/c/a/Security/More-than-Half-of-Web-Apps-Fail-Security- Audit-Prior-to-Deployment-542967/
Na mídia Security firm finds hacker forums offer n00b hackers training, lulz Fonte: http://www.imperva.com/news/news.html
Na mídia Security firm finds hacker forums offer n00b hackers training, lulz Hackers forums provide sense of community, information security intelligence Fonte: http://www.imperva.com/news/news.html
Na mídia Security firm finds hacker forums offer n00b hackers training, lulz Hackers forums provide sense of community, information security intelligence Hackers Share Attack Techniques, Beginner Tutorials on Online Forum ZIDRUMERAMALDITOS HACKERSZ QUEREM DOMINAR O MUNDO NAO VOU MAIS PODER NEM PENSAR EM PÚBLICO SE NÃO VÃO ME OWNAR Fonte: http://www.imperva.com/news/news.html
Na mídia “The good news is that developers are learning from their mistakes quickly. More than 90 percent of the software that failed the audit the first time addressed the issues and passed a subsequent test within one month. Security products were fixed even faster, becoming “acceptable” in just three days” Fonte: http://www.eweek.com/c/a/Security/More-than-Half-of-Web-Apps-Fail- Security-Audit-Prior-to-Deployment-542967/
Cenário atual 1/3 • Cliente envia o briefing • Desenvolvedor materializa os requisitos, testa, e faz deploy no servidor de produção do cliente • …ou entrega pacote para o cliente
Cenário atual 2/3 • Definição e requisitos de negócio (funcionais e não funcionais) • Inception/Brainstorming • Estórias • Área de desenvolvimento materializa os requisitos transformando em software/aplicação. • Equipe de QA realiza testes de acordo com requisitos / eventualmente realiza stress test. • Equipe de Operações faz o deploy da aplicação em produção.
Cenário atual 3/3 • Área de negócio demanda novo projeto • Inception/Brainstorming • Estórias • Área de desenvolvimento materializa os requisitos transformando em software/aplicação. • Equipe de QA realiza testes de acordo com requisitos / eventualmente realiza stress test. • Equipe de segurança realiza teste de penetração.. ui • Equipe de Operações faz o deploy da aplicação em produção.
Motivação Redução de Custo efetivo do projeto
Motivação - Credibilidade - Conformidade - Prazo (tempo = dinheira) - Maturidade do processo de desenvolvimento
Software Assurance Maturity Model
Software Assurance Maturity Model
Software Assurance Maturity Model • Estabelecer um programa que garanta a segurança da informação • Definição de metas de segurança • Análise de risco (ativos, ameaças, vulnerabilidades) • Métricas e feedback sobre o programa de segurança
Software Assurance Maturity Model • Requisitos legais • Normas e padrões internos/externos • Compliance/Auditoria • Adoção e compreensão do programa por todos os envolvidos
Software Assurance Maturity Model • Treinamento para colaboradores • Guidelines • Baselines
Software Assurance Maturity Model • Modelagem de ameaças inerente ao projeto • VIP (Very Important)
Software Assurance Maturity Model • Requisitos de segurança baseados nas funcionalidades da aplicação e alinhados com o programa de segurança.
Software Assurance Maturity Model • Foco em modelagem e desenvolvimento de software seguro • Design Pattern para problemas de Segurança • Utilizar libs (pecl, pear, classes*, gem’s, cpan’s) historicamente seguras. • Infraestrutura segura
Software Assurance Maturity Model • Permite a identificação de vulnerabilidades a nivel de arquitetura antes de o software ser desenvolvido. • Desenho do fluxo de dados para informações críticas.
Software Assurance Maturity Model • Inspeção do código para procurar vulnerabilidades de segurança • Automação • Teste unitário para requisitos de segurança
Software Assurance Maturity Model • Inspeção do código em tempo de execução • Estabelecer um processo para execução de testes de penetração baseado nas implementações e requisitos
Software Assurance Maturity Model • Resposta a incidentes • Bugtrack/abuse • Coletar métricas sobre o incidente
Software Assurance Maturity Model • Hardening? • Ambiente de desenvolvimento com hardening aplicado + “debug mode=on”
Software Assurance Maturity Model • Documentação de instalação/operação • Processos de backup/restore • Disaster recovery
Software Assurance Maturity Model • As praticas não possuem uma ordem sequencial ou cronológica • Cada prática possui 3 níveis de maturidade • Modelos/exemplos de programas para tipos de organização
Perguntas?
^$ (EOL) Agradecimentos Rafael Lachi o/ Cássia P. Melo <3

Recommandé

Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de softwareJeronimo Zucco
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications FirewallsJeronimo Zucco
 
DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do BemBruno Dantas
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Alcyon Ferreira de Souza Junior, MSc
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesVagner Rodrigues Fernandes
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 

Recommandé

Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de softwareJeronimo Zucco
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications FirewallsJeronimo Zucco
 
DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do BemBruno Dantas
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Alcyon Ferreira de Souza Junior, MSc
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesVagner Rodrigues Fernandes
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - ApresentaçãoDécio Castaldi, MBA/FIAP
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Estudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webEstudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webTiago Carmo
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
DevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOpsDevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOpsAlessandra Soares
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações webSynergia - Engenharia de Software e Sistemas
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreiraAntar Ferreira
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Symantec Brasil
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Conviso Application Security
 

Contenu connexe

Tendances

Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Estudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webEstudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webTiago Carmo
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
DevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOpsDevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOpsAlessandra Soares
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Symantec Brasil
 

Tendances (20)

Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Estudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webEstudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações web
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
DevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOpsDevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOps
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!
 

En vedette

Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Conviso Application Security
 
DrupalCamp Campinas 2016 - Auditando performance, conteúdo e boas práticas em...
DrupalCamp Campinas 2016 - Auditando performance, conteúdo e boas práticas em...DrupalCamp Campinas 2016 - Auditando performance, conteúdo e boas práticas em...
DrupalCamp Campinas 2016 - Auditando performance, conteúdo e boas práticas em...Erick Bonnemasou Jaccoud
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP Brasília
 
Segurança de software na Administração Pública Federal
Segurança de software na Administração Pública FederalSegurança de software na Administração Pública Federal
Segurança de software na Administração Pública FederalOWASP Brasília
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaLeivan Carvalho
 
Présentation du contrat complémentaire santé
Présentation du contrat complémentaire santéPrésentation du contrat complémentaire santé
Présentation du contrat complémentaire santéMichael Merlen
 
Séance d'information Puma cmuc acs ame 31 janvier 2017
Séance d'information Puma cmuc acs ame 31 janvier 2017Séance d'information Puma cmuc acs ame 31 janvier 2017
Séance d'information Puma cmuc acs ame 31 janvier 2017Paul Daval
 
Comprendre le financement des dépenses de Santé en France
Comprendre le financement des dépenses de Santé en FranceComprendre le financement des dépenses de Santé en France
Comprendre le financement des dépenses de Santé en FranceDocteur Ophtalmo
 
Présentation au Club des Actuaires de Quebec
Présentation au Club des Actuaires de QuebecPrésentation au Club des Actuaires de Quebec
Présentation au Club des Actuaires de QuebecICMIF Microinsurance
 
Presentation kairos sante_by_jalma
Presentation kairos sante_by_jalmaPresentation kairos sante_by_jalma
Presentation kairos sante_by_jalmaJALMAOfficiel
 
Assurance pas cher, Mutuelle santé
Assurance pas cher, Mutuelle santéAssurance pas cher, Mutuelle santé
Assurance pas cher, Mutuelle santéAssurance pas cher
 

En vedette (20)

Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
 
DrupalCamp Campinas 2016 - Auditando performance, conteúdo e boas práticas em...
DrupalCamp Campinas 2016 - Auditando performance, conteúdo e boas práticas em...DrupalCamp Campinas 2016 - Auditando performance, conteúdo e boas práticas em...
DrupalCamp Campinas 2016 - Auditando performance, conteúdo e boas práticas em...
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
 
Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHA
 
Elicitação e Análise
Elicitação e AnáliseElicitação e Análise
Elicitação e Análise
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 
Segurança de software na Administração Pública Federal
Segurança de software na Administração Pública FederalSegurança de software na Administração Pública Federal
Segurança de software na Administração Pública Federal
 
Segurança PHP em 2016
Segurança PHP em 2016Segurança PHP em 2016
Segurança PHP em 2016
 
Security & PHP
Security & PHPSecurity & PHP
Security & PHP
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurança
 
Resumo de Técnicas de elicitação de requisitos
Resumo de Técnicas de elicitação de requisitosResumo de Técnicas de elicitação de requisitos
Resumo de Técnicas de elicitação de requisitos
 
Présentation du contrat complémentaire santé
Présentation du contrat complémentaire santéPrésentation du contrat complémentaire santé
Présentation du contrat complémentaire santé
 
Séance d'information Puma cmuc acs ame 31 janvier 2017
Séance d'information Puma cmuc acs ame 31 janvier 2017Séance d'information Puma cmuc acs ame 31 janvier 2017
Séance d'information Puma cmuc acs ame 31 janvier 2017
 
Comprendre le financement des dépenses de Santé en France
Comprendre le financement des dépenses de Santé en FranceComprendre le financement des dépenses de Santé en France
Comprendre le financement des dépenses de Santé en France
 
Présentation au Club des Actuaires de Quebec
Présentation au Club des Actuaires de QuebecPrésentation au Club des Actuaires de Quebec
Présentation au Club des Actuaires de Quebec
 
Presentation kairos sante_by_jalma
Presentation kairos sante_by_jalmaPresentation kairos sante_by_jalma
Presentation kairos sante_by_jalma
 
Assurance pas cher, Mutuelle santé
Assurance pas cher, Mutuelle santéAssurance pas cher, Mutuelle santé
Assurance pas cher, Mutuelle santé
 

Similaire à Desenvolvendo Seguro com OpenSAMM

Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar OliveiraTI Safe
 
Testes de segurança orientados a valor
Testes de segurança orientados a valorTestes de segurança orientados a valor
Testes de segurança orientados a valor4ALL Tests
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Explorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemExplorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemAlcyon Ferreira de Souza Junior, MSc
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Construindo aplicações seguras na era da agilidade
Construindo aplicações seguras na era da agilidadeConstruindo aplicações seguras na era da agilidade
Construindo aplicações seguras na era da agilidademarlongaspar
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalFabio Hara
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 

Similaire à Desenvolvendo Seguro com OpenSAMM (20)

Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 
Testes de segurança orientados a valor
Testes de segurança orientados a valorTestes de segurança orientados a valor
Testes de segurança orientados a valor
 
Teste de Segurança orientado a valor
Teste de Segurança orientado a valorTeste de Segurança orientado a valor
Teste de Segurança orientado a valor
 
Java security
Java securityJava security
Java security
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Defesa Becker
Defesa BeckerDefesa Becker
Defesa Becker
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Explorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemExplorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometem
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOps
 
Construindo aplicações seguras na era da agilidade
Construindo aplicações seguras na era da agilidadeConstruindo aplicações seguras na era da agilidade
Construindo aplicações seguras na era da agilidade
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-Final
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
 
Dss 3
Dss 3Dss 3
Dss 3
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
DevSecOps
DevSecOpsDevSecOps
DevSecOps
 

Plus de Erick Belluci Tedeschi

Applying Security Controls on REST APIs
Applying Security Controls on REST APIsApplying Security Controls on REST APIs
Applying Security Controls on REST APIsErick Belluci Tedeschi
 
iMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPressiMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPressErick Belluci Tedeschi
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBFIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBErick Belluci Tedeschi
 
PHPSC Conference 2010 - Desenvolvimento de Extensões PECL
PHPSC Conference 2010 - Desenvolvimento de Extensões PECLPHPSC Conference 2010 - Desenvolvimento de Extensões PECL
PHPSC Conference 2010 - Desenvolvimento de Extensões PECLErick Belluci Tedeschi
 

Plus de Erick Belluci Tedeschi (7)

Applying Security Controls on REST APIs
Applying Security Controls on REST APIsApplying Security Controls on REST APIs
Applying Security Controls on REST APIs
 
iMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPressiMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPress
 
7Masters - Two Step Verification
7Masters - Two Step Verification7Masters - Two Step Verification
7Masters - Two Step Verification
 
"Hacking+PHP"
"Hacking+PHP""Hacking+PHP"
"Hacking+PHP"
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBFIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
 
PHPSC Conference 2010 - Desenvolvimento de Extensões PECL
PHPSC Conference 2010 - Desenvolvimento de Extensões PECLPHPSC Conference 2010 - Desenvolvimento de Extensões PECL
PHPSC Conference 2010 - Desenvolvimento de Extensões PECL
 
Desenvolvimento de Extensões PECL
Desenvolvimento de Extensões PECLDesenvolvimento de Extensões PECL
Desenvolvimento de Extensões PECL
 

Desenvolvendo Seguro com OpenSAMM

  • 1. Desenvolvendo Seguro (do rascunho ao deploy) Erick Belluci Tedeschi @ericktedeschi
  • 2. Erick Belluci Tedeschi - Analista de Segurança da Informação - Ex desenvolvedor - PHPzeiro nas horas vagas - Web Security Researcher - Motociclista - Guitarreiro
  • 3. Agenda • Estatísticas • Cenário atual • Motivação • OpenSAMM? • Governance • Construction • Verification • Deployment
  • 4. Estatísticas e memes! 73 Percent of Organizations Have Been Hacked At Least Once In The Last 24 Months Through Insecure Web Application Fonte: http://www.barracudalabs.com/wordpress/index.php/2011/02/08/73-percent- of-organizations-have-been-hacked-at-least-once-in-the-last-24-months-through- insecure-web-applications/
  • 5. Estatísticas e memes! Mais da metade das aplicações Web não passam nos testes de segurança antes do deploy Fonte:http://www.eweek.com/c/a/Security/More-than-Half-of-Web-Apps-Fail-Security- Audit-Prior-to-Deployment-542967/
  • 6. Na mídia Security firm finds hacker forums offer n00b hackers training, lulz Fonte: http://www.imperva.com/news/news.html
  • 7. Na mídia Security firm finds hacker forums offer n00b hackers training, lulz Hackers forums provide sense of community, information security intelligence Fonte: http://www.imperva.com/news/news.html
  • 8. Na mídia Security firm finds hacker forums offer n00b hackers training, lulz Hackers forums provide sense of community, information security intelligence Hackers Share Attack Techniques, Beginner Tutorials on Online Forum ZIDRUMERAMALDITOS HACKERSZ QUEREM DOMINAR O MUNDO NAO VOU MAIS PODER NEM PENSAR EM PÚBLICO SE NÃO VÃO ME OWNAR Fonte: http://www.imperva.com/news/news.html
  • 9. Na mídia “The good news is that developers are learning from their mistakes quickly. More than 90 percent of the software that failed the audit the first time addressed the issues and passed a subsequent test within one month. Security products were fixed even faster, becoming “acceptable” in just three days” Fonte: http://www.eweek.com/c/a/Security/More-than-Half-of-Web-Apps-Fail- Security-Audit-Prior-to-Deployment-542967/
  • 10. Cenário atual 1/3 • Cliente envia o briefing • Desenvolvedor materializa os requisitos, testa, e faz deploy no servidor de produção do cliente • …ou entrega pacote para o cliente
  • 11. Cenário atual 2/3 • Definição e requisitos de negócio (funcionais e não funcionais) • Inception/Brainstorming • Estórias • Área de desenvolvimento materializa os requisitos transformando em software/aplicação. • Equipe de QA realiza testes de acordo com requisitos / eventualmente realiza stress test. • Equipe de Operações faz o deploy da aplicação em produção.
  • 12. Cenário atual 3/3 • Área de negócio demanda novo projeto • Inception/Brainstorming • Estórias • Área de desenvolvimento materializa os requisitos transformando em software/aplicação. • Equipe de QA realiza testes de acordo com requisitos / eventualmente realiza stress test. • Equipe de segurança realiza teste de penetração.. ui • Equipe de Operações faz o deploy da aplicação em produção.
  • 13. Motivação Redução de Custo efetivo do projeto
  • 14. Motivação - Credibilidade - Conformidade - Prazo (tempo = dinheira) - Maturidade do processo de desenvolvimento
  • 15. Software Assurance Maturity Model
  • 17. Software Assurance Maturity Model • Estabelecer um programa que garanta a segurança da informação • Definição de metas de segurança • Análise de risco (ativos, ameaças, vulnerabilidades) • Métricas e feedback sobre o programa de segurança
  • 18. Software Assurance Maturity Model • Requisitos legais • Normas e padrões internos/externos • Compliance/Auditoria • Adoção e compreensão do programa por todos os envolvidos
  • 19. Software Assurance Maturity Model • Treinamento para colaboradores • Guidelines • Baselines
  • 20. Software Assurance Maturity Model • Modelagem de ameaças inerente ao projeto • VIP (Very Important)
  • 21. Software Assurance Maturity Model • Requisitos de segurança baseados nas funcionalidades da aplicação e alinhados com o programa de segurança.
  • 22. Software Assurance Maturity Model • Foco em modelagem e desenvolvimento de software seguro • Design Pattern para problemas de Segurança • Utilizar libs (pecl, pear, classes*, gem’s, cpan’s) historicamente seguras. • Infraestrutura segura
  • 23. Software Assurance Maturity Model • Permite a identificação de vulnerabilidades a nivel de arquitetura antes de o software ser desenvolvido. • Desenho do fluxo de dados para informações críticas.
  • 24. Software Assurance Maturity Model • Inspeção do código para procurar vulnerabilidades de segurança • Automação • Teste unitário para requisitos de segurança
  • 25. Software Assurance Maturity Model • Inspeção do código em tempo de execução • Estabelecer um processo para execução de testes de penetração baseado nas implementações e requisitos
  • 26. Software Assurance Maturity Model • Resposta a incidentes • Bugtrack/abuse • Coletar métricas sobre o incidente
  • 27. Software Assurance Maturity Model • Hardening? • Ambiente de desenvolvimento com hardening aplicado + “debug mode=on”
  • 28. Software Assurance Maturity Model • Documentação de instalação/operação • Processos de backup/restore • Disaster recovery
  • 29. Software Assurance Maturity Model • As praticas não possuem uma ordem sequencial ou cronológica • Cada prática possui 3 níveis de maturidade • Modelos/exemplos de programas para tipos de organização
  • 31. ^$ (EOL) Agradecimentos Rafael Lachi o/ Cássia P. Melo <3