Upload
ulisses-albuquerque
View
300
Download
2
Embed Size (px)
DESCRIPTION
É possível desenvolver software utilizando metodologias ágeis e manter a conformidade com os requerimentos de desenvolvimento seguro da norma PCI DSS?
Citation preview
© 2012
Presented by:
A Segurança Está Atrasando Seu Desenvolvimento Ágil de Software?
Ulisses AlbuquerqueConsultor de Segurança
© 2012
$ whois urma
• Ulisses Albuquerque– Consultor de Segurança (Aplicações)
• Testes de intrusão• Revisão de código• Treinamento em desenvolvimento seguro
– Desenvolvedor• Scrummaster, facilitador, product owner• Experiência de aplicações a device drivers
© 2012
Agenda
• Conceitos– Manifesto Ágil– Desenvolvimento Ágil de Software– SDLC Seguro
• PCI DSS 2.0 e o SDLC Seguro• Incompatibilidades e Workarounds• Conclusão
© 2012© 2012
DISCLAIMER
Essa não é uma apresentação sobre os méritos do desenvolvimento ágil.
© 2012© 2012
Conceitos
© 2012https://en.wikipedia.org/wiki/File:Waterfall_model_(1).svg
© 2012http://ramsis-hi.wikispaces.com/SDLC
© 2012
Conceitos
• Movimento ágil– Resposta à baixa qualidade do software
desenvolvido– Foco no software, não no processo
© 2012© 2012
Individuals and interactions over processes and tools
Working software over comprehensive documentation
Customer collaboration over contract negotiation
Responding to change over following a plan
© 2012https://en.wikipedia.org/wiki/File:Scrum_process.svg
© 2012http://amareshv.wordpress.com/2011/03/01/sample-scrum-board/
© 2012http://dilbert.com/strips/comic/2007-11-26/
Agilidad
e !=
Cao
s
© 2012
Conceitos
• SDLC seguro– Software Development Life Cycle– Segurança em todas as etapas do
desenvolvimento de software
© 2012
ConceitosR
equis
itos Requisitos de
Segurança e Privacidade
Desi
gn Modelagem
de ameaçasRevisão de segurança do designD
ese
nvolv
ime
ntoAnálise
estáticaRevisão de código
Test
e Casos de teste de segurançaAnálise dinâmica
Deplo
y Revisão final de segurançaPlano de monitoramento e resposta a incidente
https://www.microsoft.com/security/sdl/default.aspx
© 2012© 2012
PCI DSS 2.0 e o SDLC Seguro
© 2012
PCI DSS 2.0 e o SDLC Seguro
• Requisito 6: Desenvolver e manter sistemas e aplicativos seguros– 6.3 Desenvolver aplicativos de software
(internos e externos, incluindo acesso administrativo pela web nos aplicativos) de acordo com o PCI DSS (por exemplo, autenticação e registro seguros) e com base nas melhores práticas do setor. Incorporar segurança de informação ao longo do ciclo de vida do desenvolvimento do software.
© 2012
PCI DSS 2.0 e o SDLC Seguro
• Requisito 6: Desenvolver e manter sistemas e aplicativos seguros– 6.3 Desenvolver aplicativos de software
(internos e externos, incluindo acesso administrativo pela web nos aplicativos) de acordo com o PCI DSS (por exemplo, autenticação e registro seguros) e com base nas melhores práticas do setor. Incorporar segurança de informação ao longo do ciclo de vida do desenvolvimento do software.
© 2012
PCI DSS 2.0 e o SDLC Seguro
• Os aspectos relevantes são discutidos no detalhamento dos requisitos– Requisito 6.4.5 é o mais crítico para equipes
ágeis
© 2012
PCI DSS 2.0 e o SDLC Seguro
• 6.4.5 Alterar os procedimentos de controle para implementação de patches de segurança e modificações de software. Os procedimentos devem incluir o seguinte:– 6.4.5.1 Documentação de impacto.– 6.4.5.2 Aprovação documentada de alteração
pelas partes autorizadas.– 6.4.5.3 Teste de funcionalidade para verificar se
a alteração não tem impacto adverso sobre a segurança do sistema.
– 6.4.5.4 Procedimentos de reversão.
© 2012© 2012
Incompatibilidades e Workarounds
© 2012
Incompatibilidades e Workarounds
• Metodologias ágeis– Foco no software– “Burocracia” minimizada
• PCI DSS– Rastreabilidade– Análise de risco– Cautela
Incompatíveis?
© 2012
Incompatibilidades e Workarounds
• Desenvolvimento ágil + SDLC seguro– “Agile Software Development Doesn’t Create
Secure Software”– “Agile Software Development: The Straight and
Narrow Path to Secure Software?”
• PCI DSS 2.0– Nem todo SDLC seguro atende a todos os
requisitos
© 2012
Incompatibilidades e Workarounds
• SDL para Desenvolvimento Ágil– Microsoft Security Development Lifecycle
• SDL para PCI DSS– “SDL and PCI DSS/PA-DSS: Aligning security
practices and compliance activities”
© 2012
Incompatibilidades e Workarounds
Práticas por projeto
Práticas eventuais
Práticas por sprint
© 2012
Incompatibilidades e Workarounds
Liberação
Verificação
Implementação
Design
Requisitos
Treinamento
Treinamento básico de segurança
© 2012
Incompatibilidades e Workarounds
Liberação
Verificação
Implementação
Design
Requisitos
Treinamento
Requisitos de segurança (PP)
Portões de qualidade/barras de erro (PE)
Avaliação de riscos de segurança e privacidade (PP)
© 2012
Incompatibilidades e Workarounds
Liberação
Verificação
Implementação
Design
Requisitos
Treinamento
Requisitos de design (PP)
Análise da superfície de ataque (PP)
Modelagem de ameaças (PS)
© 2012
Incompatibilidades e Workarounds
Liberação
Verificação
Implementação
Design
Requisitos
Treinamento
Utilizar ferramentas aprovadas (PS)Desaprovar funções não seguras (PS)
Análise estática (PS)
© 2012
Incompatibilidades e Workarounds
Liberação
Verificação
Implementação
Design
Requisitos
Treinamento
Análise dinâmica (PE)
Teste de fuzzing (PE)
Revisão da superfície de ataque (PE)
© 2012
Incompatibilidades e Workarounds
Liberação
Verificação
Implementação
Design
Requisitos
Treinamento Plano de resposta de incidentes (PP)
Revisão final de segurança (PS)
Liberar arquivo (PS)
© 2012© 2012
Conclusão
© 2012
Conclusão
• Desenvolvimento seguro e ágil é possível– …se sua equipe é realmente ágil e não
desorganizada
• Agilidade não é contra processos– Agilidade é contra esforço sem valor– Clientes pagam pelo software, não pelo processo
© 2012
Conclusão
• Trustwave pode ajudar– Adequações e workarounds baseados em caso
real– Treinamento de desenvolvimento seguro– Revisão de código– 360 Application Security
© 2012© 2012
Perguntas?
© 2012
Trustwave SpiderLabsSpiderLabs is an elite team of ethical hackers at Trustwave advancing the security capabilities of leading businesses and organizations throughout the world.
Mais informações:
Web: https://www.trustwave.com/spiderlabs
Blog: http://blog.spiderlabs.com/
Twitter: @SpiderLabs