global appsec latam 2011 conference - segurança de aplicações, para sua organização ainda não...
DESCRIPTION
Global AppSec Latin America 2011 Conference - Segurança de Aplicações, para sua organização ainda não é prioridade?TRANSCRIPT
Segurança de Aplicações, para sua organização ainda não é prioridade?
Rafael B. Brinhosa
Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
Rafael B. [email protected]@brinhosahttp://about.me/brinhosa
07/10/2011
AGENDA
�Vendendo Segurança de Aplicações�Programa de Segurança
�Metodologias�Processo em etapas�Ferramentas
�Gestão e Classificação de Vulnerabilidades
OWASP 2
�Gestão e Classificação de Vulnerabilidades�Security Dashboard�Métricas de Segurança de Aplicações�Multinacionais brasileiras e as questões de conformidade�Conclusões
Rafael B. BrinhosaFormação acadêmica� MBA em Gestão Estratégica - Universidade Federal do Paraná (cursando) � Mestrado em Ciência da Computação - Universidade Federal de Santa Catarina,� Graduado em Sistemas de Informação - Universidade Federal de Santa Catarina
Principais certificações � ISO/IEC 27002, ISC(2) CSSLP, ISEB/ISTQB (CTFL), ITIL-F
Atuação profissional� Começou em 1998 com a TCSUL, logo após: EAMSC, CDI, DMI, LRG, EDS
OWASP
� Começou em 1998 com a TCSUL, logo após: EAMSC, CDI, DMI, LRG, EDS (agora HP), DELL, NeoGrid / Agentrics…
� Atualmente – Segurança da Informação NeoGrid (Brasil) e Agentrics (EUA, Europa e Ásia), Comissão de SI e de Inovação
� Professor Univille (disciplinas ligadas à computação).
Pesquisa� Framework WSIVM para Segurança em Web Services� …Membro OWASP e CSA Brasil
3
Segurança de aplicações ainda não é prioridade na sua organização?
�Você armazena dados de clientes?�Você desenvolve sistemas para os clientes?
(Clientes Internos? Externos? SaaS? In-house?)�Você terceiriza o desenvolvimento?
OWASP 4
Se você busca…
�Sustentabilidade Financeira
OWASP 5
Precisa evitar…
�Processos na justiça�Perda de credibilidade�Queda nas ações�Reputação afetada� Imagem desgastada�Perda de Clientes (Potenciais e de Base)
OWASP
�Perda de Clientes (Potenciais e de Base)�Multas por regulamentações (Canadian Privacy Act, SOX,
PCI)�Utilização de recursos internos com propósitos indevidos�Servir de vetor de ataque aos sistemas de Clientes
Consequente perda de receitas!
Talvez ela deva ser priorizada. Algunsdados…
Durante 2010, em média foram encontradas 230 vulnerabilidadessérias para cada web-site.
White-Hat Security Winter 2011 Report
OWASP
Quando testadas pela primeira vez, mais da metade de todas asaplicações falharam em atingir níveis aceitáveis de segurança, emais de 8 em cada 10 aplicações falhou em cumprir a OWASP Top10.
Veracode State of Software Security Report Volume 3 2011
7
OWASP 8
OWASP 9
Segurança de Aplicações?
OWASP10
Segurança de Aplicações?
OWASP11
Ou Segurança de Aplicações!
OWASP 12
Vendendo Segurança de Aplicações
�Demonstre a Necessidade�Gere Ganhos rápidos�Colha as Frutas debaixo do pé�Realize o processo em etapas
OWASP 13
Metodologias
�OpenSAMM�BSIMM3�Microsoft SDL�CLASP…
OWASP 14
Metodologias
�Definir e Avaliar a estratégia de segurança�Identificar atividades�Medir a maturidade
OWASP 15
Processo em etapas
�Priorização (Mais Crítico, Maior Risco, MenorInvestimento e Maior Impacto)
�Maior maturidade -> Maiores desafios
OWASP 16
Ferramentas
�SAST X DAST�Manuais X Automatizadas�Software Livre X Proprietárias�Educação e Grupos de estudoOWASP!
OWASP
�OWASP!
17
SAST
�OWASP LAPSE+ - JAVA EEVulnerabilidades já detectadas:� Parameter Tampering. � URL Tampering. � Header Manipulation. � Cookie Poisoning.
OWASP
� Cookie Poisoning. � SQL Injection. � Cross-site Scripting (XSS). � HTTP Response Splitting. � Command Injection. � Path Traversal. � XPath Injection. � XML Injection. � LDAP Injection.
18
SAST
�GrauditUso: graudit /path/to/scanSuporta: asp, jsp, perl, php e pythonExemplos:
OWASP
# PHP: mysql_connect\s*\(.*\$.*\)# JSP: request.getParameter# PERL: print\s*.*\$.*->param\(?.*\)?
DAST - Comparação
Vulnerabilidades encontradas por Risco
Ferramenta Alto Médio Baixo Informativas Tempo de execução total
w3af 4 1 81 18 minutos
Websecurify 4 30 segundos
OWASP
Websecurify 4 30 segundos
Skipfish 8 2 20 2 horas e 26 minutos
DAST
�W3af (Web Application Attack and Audit Framework)
OWASP 21
Gestão e Classificação de Vulnerabilidades
�OWASP TOP 10 2010�OWASP Risk Rating�CVSS
OWASP 22
Security Dashboard
�Dando visibilidade ao seu programa de segurança
OWASP 23“You Can’t Manage What You Can’t Measure”
Security Dashboard
�Exemplo
OWASP 24
Métricas de Segurança de Aplicações
�Vulnerabilidades por nível de Risco�URLs Vulneráveis vs Não-Vulneráveis�Vulnerabilidades por Classificação OWASP TOP
10 2010
OWASP 25
Métricas de Segurança de Aplicações
�Vulnerabilidades por Tecnologia (Java, .NET, PHP)
�Vulnerabilidades por linhas de código�Vulnerabilidades White-box versus Black-Box�Tempo Médio para Mitigação
OWASP
�Tempo Médio para Mitigação�Vulnerabilidades por oferta�Vulnerabilidades por trimestre
26
Multinacionais brasileiras e as questões de conformidade
�Grandes clientes�Regulamentações�Multas�Classificação de dados local
OWASP 27
OWASP 28
Concluindo
�Vantagem competitiva�Proteção�Menor Risco�Seguro
Marketing
OWASP
�Marketing�Sustentabilidade
29
POIS SEGURANÇA DE APLICAÇÕES DEVE SER PRIORIDADE
OWASP 30
“Defender e proteger os dados dos clientes evitando a quebra de confiança e a conseqüente perda de receita deve ser a missãode cada colaborador. Todos somos responsáveis pela Segurança da Informação. Segurança quantificada e madura, permeando
toda a organização e reduzindo riscos para o negócio deve fazer
OWASP
toda a organização e reduzindo riscos para o negócio deve fazer parte da estratégia para a garantia da Sustentabilidade.”
— Rafael B. Brinhosa
31
QUESTÕES
?
OWASP
?Rafael B. Brinhosa
[email protected]@brinhosa
http://linkedin.com/in/brinhosahttp://about.me/brinhosa
32