Segurança de Aplicações, para sua organização ainda não é prioridade?

Rafael B. Brinhosa

Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation

OWASP

http://www.owasp.org

Rafael B. Brinhosarafael@brinhosa.com.br@brinhosahttp://about.me/brinhosa

07/10/2011

AGENDA

�Vendendo Segurança de Aplicações�Programa de Segurança

�Metodologias�Processo em etapas�Ferramentas

�Gestão e Classificação de Vulnerabilidades

OWASP 2

�Gestão e Classificação de Vulnerabilidades�Security Dashboard�Métricas de Segurança de Aplicações�Multinacionais brasileiras e as questões de conformidade�Conclusões

Rafael B. BrinhosaFormação acadêmica� MBA em Gestão Estratégica - Universidade Federal do Paraná (cursando) � Mestrado em Ciência da Computação - Universidade Federal de Santa Catarina,� Graduado em Sistemas de Informação - Universidade Federal de Santa Catarina

Principais certificações � ISO/IEC 27002, ISC(2) CSSLP, ISEB/ISTQB (CTFL), ITIL-F

Atuação profissional� Começou em 1998 com a TCSUL, logo após: EAMSC, CDI, DMI, LRG, EDS

OWASP

� Começou em 1998 com a TCSUL, logo após: EAMSC, CDI, DMI, LRG, EDS (agora HP), DELL, NeoGrid / Agentrics…

� Atualmente – Segurança da Informação NeoGrid (Brasil) e Agentrics (EUA, Europa e Ásia), Comissão de SI e de Inovação

� Professor Univille (disciplinas ligadas à computação).

Pesquisa� Framework WSIVM para Segurança em Web Services� …Membro OWASP e CSA Brasil

3

Segurança de aplicações ainda não é prioridade na sua organização?

�Você armazena dados de clientes?�Você desenvolve sistemas para os clientes?

(Clientes Internos? Externos? SaaS? In-house?)�Você terceiriza o desenvolvimento?

OWASP 4

Se você busca…

�Sustentabilidade Financeira

OWASP 5

Precisa evitar…

�Processos na justiça�Perda de credibilidade�Queda nas ações�Reputação afetada� Imagem desgastada�Perda de Clientes (Potenciais e de Base)

OWASP

�Perda de Clientes (Potenciais e de Base)�Multas por regulamentações (Canadian Privacy Act, SOX,

PCI)�Utilização de recursos internos com propósitos indevidos�Servir de vetor de ataque aos sistemas de Clientes

Consequente perda de receitas!

Talvez ela deva ser priorizada. Algunsdados…

Durante 2010, em média foram encontradas 230 vulnerabilidadessérias para cada web-site.

White-Hat Security Winter 2011 Report

OWASP

Quando testadas pela primeira vez, mais da metade de todas asaplicações falharam em atingir níveis aceitáveis de segurança, emais de 8 em cada 10 aplicações falhou em cumprir a OWASP Top10.

Veracode State of Software Security Report Volume 3 2011

7

OWASP 8

OWASP 9

Segurança de Aplicações?

OWASP10

Segurança de Aplicações?

OWASP11

Ou Segurança de Aplicações!

OWASP 12

Vendendo Segurança de Aplicações

�Demonstre a Necessidade�Gere Ganhos rápidos�Colha as Frutas debaixo do pé�Realize o processo em etapas

OWASP 13

Metodologias

�OpenSAMM�BSIMM3�Microsoft SDL�CLASP…

OWASP 14

Metodologias

�Definir e Avaliar a estratégia de segurança�Identificar atividades�Medir a maturidade

OWASP 15

Processo em etapas

�Priorização (Mais Crítico, Maior Risco, MenorInvestimento e Maior Impacto)

�Maior maturidade -> Maiores desafios

OWASP 16

Ferramentas

�SAST X DAST�Manuais X Automatizadas�Software Livre X Proprietárias�Educação e Grupos de estudoOWASP!

OWASP

�OWASP!

17

SAST

�OWASP LAPSE+ - JAVA EEVulnerabilidades já detectadas:� Parameter Tampering. � URL Tampering. � Header Manipulation. � Cookie Poisoning.

OWASP

� Cookie Poisoning. � SQL Injection. � Cross-site Scripting (XSS). � HTTP Response Splitting. � Command Injection. � Path Traversal. � XPath Injection. � XML Injection. � LDAP Injection.

18

SAST

�GrauditUso: graudit /path/to/scanSuporta: asp, jsp, perl, php e pythonExemplos:

OWASP

# PHP: mysql_connect\s*\(.*\$.*\)# JSP: request.getParameter# PERL: print\s*.*\$.*->param\(?.*\)?

DAST - Comparação

Vulnerabilidades encontradas por Risco

Ferramenta Alto Médio Baixo Informativas Tempo de execução total

w3af 4 1 81 18 minutos

Websecurify 4 30 segundos

OWASP

Websecurify 4 30 segundos

Skipfish 8 2 20 2 horas e 26 minutos

DAST

�W3af (Web Application Attack and Audit Framework)

OWASP 21

Gestão e Classificação de Vulnerabilidades

�OWASP TOP 10 2010�OWASP Risk Rating�CVSS

OWASP 22

Security Dashboard

�Dando visibilidade ao seu programa de segurança

OWASP 23“You Can’t Manage What You Can’t Measure”

Security Dashboard

�Exemplo

OWASP 24

Métricas de Segurança de Aplicações

�Vulnerabilidades por nível de Risco�URLs Vulneráveis vs Não-Vulneráveis�Vulnerabilidades por Classificação OWASP TOP

10 2010

OWASP 25

Métricas de Segurança de Aplicações

�Vulnerabilidades por Tecnologia (Java, .NET, PHP)

�Vulnerabilidades por linhas de código�Vulnerabilidades White-box versus Black-Box�Tempo Médio para Mitigação

OWASP

�Tempo Médio para Mitigação�Vulnerabilidades por oferta�Vulnerabilidades por trimestre

26

Multinacionais brasileiras e as questões de conformidade

�Grandes clientes�Regulamentações�Multas�Classificação de dados local

OWASP 27

OWASP 28

Concluindo

�Vantagem competitiva�Proteção�Menor Risco�Seguro

Marketing

OWASP

�Marketing�Sustentabilidade

29

POIS SEGURANÇA DE APLICAÇÕES DEVE SER PRIORIDADE

OWASP 30

“Defender e proteger os dados dos clientes evitando a quebra de confiança e a conseqüente perda de receita deve ser a missãode cada colaborador. Todos somos responsáveis pela Segurança da Informação. Segurança quantificada e madura, permeando

toda a organização e reduzindo riscos para o negócio deve fazer

OWASP

toda a organização e reduzindo riscos para o negócio deve fazer parte da estratégia para a garantia da Sustentabilidade.”

— Rafael B. Brinhosa

31

QUESTÕES

?

OWASP

?Rafael B. Brinhosa

rafael@brinhosa.com.br@brinhosa

http://linkedin.com/in/brinhosahttp://about.me/brinhosa

32