Dev Sec Ops CMO SERA LA SEGURIDAD COMOS

  • Slides: 30
Download presentation
Dev. Sec. Ops CÓMO SERÍA LA SEGURIDAD COMOS TOPPER…? POR FAVOR NO OBSERVAR CON

Dev. Sec. Ops CÓMO SERÍA LA SEGURIDAD COMOS TOPPER…? POR FAVOR NO OBSERVAR CON ATENCIÓN… LEONARDO DEVIA CEH (EC-COUNCIL) CCSK (CLOUD SECURITY ALLIANCE) ISO 27001 LEAD AUDITOR (IRCA – TÜV RHEINLAND) POSGRADO EN SEGURIDAD DE LA INFORMACIÓN (USAL) DIPLOMADO EN DIRECCIÓN DE LAS EG. INF. (UCAECE) PERITO INFORMÁTICO FORENSE JAVIER CARBONE CEH (EC-COUNCIL) CCSK (CLOUD SECURITY ALLIANCE) ISO 27001 LEAD IMPLEMENTER (PECB) DIPLOMADO EN BIG DATA (MIT CSAIL) © Copyright ADACSI. Todos los derechos

www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Dev. Sec. Ops UNA GUÍA SOBRE LA NUEVA ERA DEL TESTING DE SEGURIDAD PREVENIR

Dev. Sec. Ops UNA GUÍA SOBRE LA NUEVA ERA DEL TESTING DE SEGURIDAD PREVENIR UN DEV-OOPS! CON DEVSECOPS! BIENVENID@S LEONARDO DEVIA CEH (EC-COUNCIL) CCSK (CLOUD SECURITY ALLIANCE) ISO 27001 LEAD AUDITOR (IRCA – TÜV RHEINLAND) POSGRADO EN SEGURIDAD DE LA INFORMACIÓN (USAL) DIPLOMADO EN DIRECCIÓN DE LAS EG. INF. (UCAECE) PERITO INFORMÁTICO FORENSE JAVIER CARBONE CEH (EC-COUNCIL) CCSK (CLOUD SECURITY ALLIANCE) ISO 27001 LEAD IMPLEMENTER (PECB) DIPLOMADO EN BIG DATA (MIT CSAIL) © Copyright ADACSI. Todos los derechos

Una breve aproximación PREVENIR UN DEV-OOPS! CON D S O ! EV EC aunque,

Una breve aproximación PREVENIR UN DEV-OOPS! CON D S O ! EV EC aunque, PS Varias denominaciones es la misma filosofía: § § § Sec. Dev. Ops Agile s. SDLC Agile Security Secure Quality Dev. Ops Rugged Dev. Ops Security www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Contenidos PREVENIR UN DEV-OOPS! CON DEVSECOPS! Agenda: § § § Dev. Ops Dev. Sec.

Contenidos PREVENIR UN DEV-OOPS! CON DEVSECOPS! Agenda: § § § Dev. Ops Dev. Sec. Ops es inevitable Revisión de la filosofía Desafiar a Dev. Sec. Ops…¿Cómo es eso? De Dev. Ops a Dev. Sec. Ops www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Dev. Ops PREVENIR UN DEV-OOPS! CON DEVOPS DEVSEC OPS! El término fue creado en

Dev. Ops PREVENIR UN DEV-OOPS! CON DEVOPS DEVSEC OPS! El término fue creado en el 2009 en la conferencia «Velocity» de O´Reilly en donde se presentó la charla « 10+ Deploys Per Day» En el 2008 se empieza a hablar de infraestructura ágil en foros de debate con foco en la metodología Agile En el mismo año, se genera un foro de debate llamado «Agile Sysadmin» que empezó a abordar el asunto con propiedad. 10+ Deploys Per Day: Dev and Ops Cooperation at Flickr from John Uno de los participantes fue Patrick Debois quien luego Allspaw creó un evento llamado «Dev. Ops Days» www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Dev. Ops PREVENIR UN DEV-OOPS! CON DEVOPS DEVSECOPS! Está claro por qué las empresas

Dev. Ops PREVENIR UN DEV-OOPS! CON DEVOPS DEVSECOPS! Está claro por qué las empresas se están moviendo a . . . PERO ¿CÓMO PUEDE LA SEGURIDAD MANTENERSE AL DÍA Dev. Ops… CON ESTO? www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

La seguridad tradicional PREVENIR UN DEV-OOPS! CON Situación habitual en el desarrollo de aplicaciones

La seguridad tradicional PREVENIR UN DEV-OOPS! CON Situación habitual en el desarrollo de aplicaciones EV EC PS Vemos que el enfoque actual, es que la seguridad se contempla, fuera del ciclo de desarrollo de una aplicación Inicialmente con pruebas que dependerán de la experiencia del equipo de desarrollo. Posteriormente mediante tests de penetración o hacking ético, tratando de detectar vulnerabilidades de manera interna o algunas veces externas D S O ! Se que les encanta las distros de… KALI, Parrot, Cyborg, etc… Pero no sólo de Pentestings vive la seguridad Patrick Debois www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Dev. Sec. Ops es necesario… ¡es inevitable! PREVENIR UN DEV-OOPS! CON DEVSECOPS! www. isaca.

Dev. Sec. Ops es necesario… ¡es inevitable! PREVENIR UN DEV-OOPS! CON DEVSECOPS! www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

¿Por qué Dev. Sec. Ops? PREVENIR UN DEV-OOPS! CON DEVSECOPS! www. isaca. org. ar

¿Por qué Dev. Sec. Ops? PREVENIR UN DEV-OOPS! CON DEVSECOPS! www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Realidad y postura común PREVENIR UN DEV-OOPS! CON Sec vs Dev/Dev. Ops DEVSECOPS! Normalmente

Realidad y postura común PREVENIR UN DEV-OOPS! CON Sec vs Dev/Dev. Ops DEVSECOPS! Normalmente los equipos de seguridad tradicional dicen que NO a casi todo Descubrimiento de las vulnerabilidades tarde (En Producción) El team de seguridad podría acercarse a los equipos DEV / DEVOPS But Where Is Security? www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Cambio de Paradigma D ! S O ! Dev. Sec. Ops REVENIR UN EV

Cambio de Paradigma D ! S O ! Dev. Sec. Ops REVENIR UN EV OOPS CON • La meta e intención de Dev. Sec. Ops es construir sobre la base de que EV EC PS «todos son responsables de la seguridad» • Nueva filosofía generada por la fusión de Dev. Ops y Sec. Ops • Integra el enfoque de la seguridad en el ciclo de desarrollo y explotación de aplicaciones de una manera sistemática. Al igual que las Dev. Ops, operaciones de soporte al desarrollo, la seguridad se debe poder automatizar o sistematizar en gran medida • El objetivo final es poder pasar a producción de manera automática una aplicación razonablemente segura en cuestión de minutos • Considerando siempre que la seguridad total no existe, lo que se minimiza Tengo muchos nombres… es el riesgo P D Sec. Dev. Ops, Agile s. SDLC, Agile Security, Secure Quality Dev. Ops, Rugged Dev. Ops, Dev. Ops Security, etc… www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Leaning in over Always Saying “No” Manifesto PREVENIR UN DEV-OOPS! CON Data & Security

Leaning in over Always Saying “No” Manifesto PREVENIR UN DEV-OOPS! CON Data & Security Science over Fear, Uncertainty and Doubt Open Contribution & Collaboration over Security-Only Requirements DEVS ECOPS! Consumable Security Services with APIs over Mandated Security Controls & Paperwork Business Driven Security Scores over Rubber Stamp Security Red & Blue Team Exploit Testing over Relying on Scans & Theoretical Vulnerabilities 24 x 7 Proactive Security Monitoring over Reacting after being Informed of an Incident Shared Threat Intelligence over Keeping Info to Ourselves http: //www. devsecops. org Compliance Operations over Clipboards & Checklists www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Manifesto PREVENIR UN DEV-OOPS! CON DEVSECOPS! No son ideas nuevas, simplemente es una reformulación

Manifesto PREVENIR UN DEV-OOPS! CON DEVSECOPS! No son ideas nuevas, simplemente es una reformulación de una necesidad. Se compone de varias ideas, una de ellas es la consideración de «La seguridad integrada en el proceso de desarrollo» Elementos claves: Personas • Cultura • Roles Procesos Soluciones • Técnicas • Prácticas • SEC tools • Dev Tools http: //www. devsecops. org www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Sec. Ops Dev. Ops Element os Claves Personas www. isaca. org. ar Leonardo Devia,

Sec. Ops Dev. Ops Element os Claves Personas www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Element PREVENIR UN DEVos -OOPS! CON DEVSECOPS! Claves Cultura § Comunicación y transparencia §

Element PREVENIR UN DEVos -OOPS! CON DEVSECOPS! Claves Cultura § Comunicación y transparencia § Ambiente de alta confianza "postmortem sin culpa" § Mejora continua § Todos son responsables de la seguridad § Automatice tanto como sea posible § Todo como código www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Element Prácticas PREVENIR UN DEVos -OOPS! CON Claves DEVSECOPS! www. isaca. org. ar Leonardo

Element Prácticas PREVENIR UN DEVos -OOPS! CON Claves DEVSECOPS! www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Element Tools Landscape PREVENIR UN DEVos -OOPS! CON Claves DEVSECOPS! www. isaca. org. ar

Element Tools Landscape PREVENIR UN DEVos -OOPS! CON Claves DEVSECOPS! www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Desafiar a Dev. Sec. Ops …¿Cómo es eso? www. isaca. org. ar Leonardo Devia,

Desafiar a Dev. Sec. Ops …¿Cómo es eso? www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

PREVENIR UN DEV-OOPS! CON DEVSECOPS! https: //github. com/Netflix/chaosmonkey www. isaca. org. ar Leonardo Devia,

PREVENIR UN DEV-OOPS! CON DEVSECOPS! https: //github. com/Netflix/chaosmonkey www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Tener presente… Ventajas PREVENIR UN DEV-OOPS ! CON • La reducción de costos (detección

Tener presente… Ventajas PREVENIR UN DEV-OOPS ! CON • La reducción de costos (detección y la reparación D S O ! temprana) • Dev. Sec. Ops requiere implementaciones continuas EV EC PS • La toma de decisiones rápida es crítica para el éxito de Dev. Sec. Ops • La seguridad tradicional simplemente no escala ni se mueve lo suficientemente rápido. . . • Las Organizaciones grandes y reguladas son las que mas necesita Dev. Sec. Ops • Esto no significa que estén LISTOS para Dev. Sec. Ops • Las estructuras Organizativas típicas hacen que Dev. Sec. Ops sea muy difícil de lograr • Es tan difícil como vender Agile, Dev. Ops o justificar una inversión en seguridad www. isaca. org. ar • Mayor velocidad de entrega (no mas cuellos de botella) • Velocidad de recuperation • Mejor monitoreo y la auditoría • Reduce los vectores de ataque • Asegura el principio de "seguridad por diseño" mediante el uso revisión automatizada • Crea valor e innovación con Seguridad iterativa a velocidad y escala. • La seguridad está federada y se convierte en responsabilidad de todos. • Dev. Sec. Ops fomenta una cultura de apertura y transparencia desde las Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Dev. Sec. Ops en 12 semanas www. isaca. org. ar Leonardo Devia, Javier Carbone

Dev. Sec. Ops en 12 semanas www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Objetivos Generales • Equipo y Cultura – Inculcar el concepto de “Todos son responsables

Objetivos Generales • Equipo y Cultura – Inculcar el concepto de “Todos son responsables de la seguridad” – Entender Shift Left • Herramientas Dev. Ops – Incorporar Análisis Dinámico (de ser viable, el análisis Estático) – Comenzar con la automatización de las herramientas de “Sec” www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Requisitos • Dev. Sec. Ops no existe ni se implementan en un vacío! –

Requisitos • Dev. Sec. Ops no existe ni se implementan en un vacío! – Esto es, Sec suele entrar al equipo de Dev. Ops cuando ya esta relativamente integrado… lástima! • Equipo y Cultura – El equipo de Dev. Ops utilizan (o al menos intentan llevar) los proyectos con características “Agile” • Herramientas Dev. Ops – El equipo tiene, sino un pipeline completo, al menos IDEs coherentes, integración continua, y repositorios de código fuente y binarios • Infraestructura – La Virtualización es la forma corriente para la arquitectura de despliegue – El equipo Dev. Ops ya puso un pie (y a veces mas) en los servers www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Requisitos Semanas • Semana 1 – El Equipo – Escuchar al team – Incluir

Requisitos Semanas • Semana 1 – El Equipo – Escuchar al team – Incluir en las reuniones, la referencia a la seguridad (en el desarrollo, el entorno, el método y el producto) • Semana 2 – El Equipamiento – – – – Comenzar a incorporar las herramientas de análisis dinámico OWASP Zed Attack Proxy https: //www. owasp. org/index. php/OWASP_Zed_Attack_Proxy_Project OWASP OWTF https: //www. owasp. org/index. php/OWASP_OWTF OWASP Dependency Check Sonar. Qube Plugin!!! https: //www. owasp. org/index. php/OWASP_Dependency_Check • Semana 3 – El Trabajo – Retrospectiva: Pwned! (Prueba de Seguridad en Vivo) www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Semanas • Semana 4 – El Equipo – Incorporar la lógica de modelado de

Semanas • Semana 4 – El Equipo – Incorporar la lógica de modelado de amenazas en las reuniones – OWASP Cornucopia https: //www. owasp. org/index. php/OWASP_Cornucopia • Semana 5 – El Equipamiento – Comenzar a automatizar las herramientas de análisis dinámico – Stack. Storm https: //github. com/Stack. Storm • Semana 6 – El Trabajo – Retrospectiva: Hack yourself! www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Semanas • Semana 7 – El Equipo – Identificar el lugar y alcance de

Semanas • Semana 7 – El Equipo – Identificar el lugar y alcance de “Ops” – Incorporar la gestión de configuración, menor privilegio, y de gestión de Claves, y Secretos • Semana 8 – El Equipamiento – – – Implementar herramientas de gestión de contraseñas (particularmente en repositorios) Black. Box https: //github. com/Stack. Exchange/blackbox Git-Secrets https: //github. com/awslabs/git-secrets • Semana 9 – El Trabajo – Retrospectiva: Hack Yourself!(Ejercicio de Red Team / Blue Team) www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Semanas • Semana 10 – El Equipo – Profundizar e integrar los resultados de

Semanas • Semana 10 – El Equipo – Profundizar e integrar los resultados de las actividades anteriores como input – Organizar Registro, Monitoreo y Alertas • Semana 11 – El equipamiento – Comenzar la integración de alertas – Nagios – https: //www. nagios. com/ – Alerta – http: //alerta. io/ • Semana 12 – El Trabajo – Retrospectiva: Hack Yourself!(Ejercicio de Red Team / Blue Team) www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Palabras finales PREVENIR UN DEV-OOPS! CON DEVSECOPS! Conclusiones § Dev. Sec. Ops es la

Palabras finales PREVENIR UN DEV-OOPS! CON DEVSECOPS! Conclusiones § Dev. Sec. Ops es la consecuencia indiscutible de la necesidad de tener mayor agilidad en los equipos y velocidad en la entrega de software (Dev. Ops) AL MISMO TIEMPO que se incorpora seguridad desde el principio… principio § La tecnología no tiene problemas, las personas si tienen problemas, para lograr un cultura de Dev. Sec. Ops efectiva debemos alinearnos al MANIFESTO Dev. Sec. Ops MANIFESTO www. isaca. org. ar Leonardo Devia, Javier Carbone © Copyright ADACSI. Todos los derechos

Muchas gracias PREVENIR UN DEV-OOPS! CON DEVSECOPS! Ebook para descargar sobre Dev. Sec. Ops,

Muchas gracias PREVENIR UN DEV-OOPS! CON DEVSECOPS! Ebook para descargar sobre Dev. Sec. Ops, en español: https: //thecloudlegion. com/blog. html Buenos Aires Chapter LEONARDO DEVIA CEH (EC-COUNCIL) CCSK (CLOUD SECURITY ALLIANCE) ISO 27001 LEAD AUDITOR (IRCA – TÜV RHEINLAND) POSGRADO EN SEGURIDAD DE LA INFORMACIÓN (USAL) DIPLOMADO EN DIRECCIÓN DE LAS EG. INF. www. isaca. org. ar (UCAECE) JAVIER CARBONE CEH (EC-COUNCIL) CCSK (CLOUD SECURITY ALLIANCE) ISO 27001 LEAD IMPLEMENTER (PECB) DIPLOMADO EN BIG DATA (MIT CSAIL) Muchas Gracias © Copyright ADACSI. Todos los derechos

Software Engineering Dev Ops Dev Ops Dev OpsSoftware Engineering Dev Ops Dev Ops Dev Ops
Dev Sec Ops CMO SERA LA SEGURIDAD COMOSTOPPERDev Sec Ops CMO SERA LA SEGURIDAD COMOSTOPPER
Qu es Dev Ops Descubra cmo Dev OpsQu es Dev Ops Descubra cmo Dev Ops
Dev Ops Git Ops What is Git OpsDev Ops Git Ops What is Git Ops
Dev Ops Introduction to SherwinWilliams Dev Ops IntroductionDev Ops Introduction to SherwinWilliams Dev Ops Introduction
Dev Ops Zirvesi 2017 Hogeldiniz Dev Ops TemelDev Ops Zirvesi 2017 Hogeldiniz Dev Ops Temel
Dev Ops Fundamentals Introduction to Dev Ops httpDev Ops Fundamentals Introduction to Dev Ops http
Dev Ops Configuration Andres Villalobos IT Dev OpsDev Ops Configuration Andres Villalobos IT Dev Ops
HL Dev Ops Conversations Session 2 Dev OpsHL Dev Ops Conversations Session 2 Dev Ops
Dev Ops Configuration Andres Villalobos IT Dev OpsDev Ops Configuration Andres Villalobos IT Dev Ops
Res Ops Research Dev Ops across clouds ErikRes Ops Research Dev Ops across clouds Erik
Res Ops Research Dev Ops across clouds ErikRes Ops Research Dev Ops across clouds Erik
Mobile Dev Ops Mobile Apps APIs Mobile DevMobile Dev Ops Mobile Apps APIs Mobile Dev
Making Sense of Agile Dev Ops and DevMaking Sense of Agile Dev Ops and Dev
Cmo prevenimos Cmo disfrutamos Cmo prevenimos Cmo disfrutamosCmo prevenimos Cmo disfrutamos Cmo prevenimos Cmo disfrutamos
Dev Sec Ops Ha gyors a deploy aDev Sec Ops Ha gyors a deploy a
Preventing Devoops with Dev Sec Ops Kieran JacobsenPreventing Devoops with Dev Sec Ops Kieran Jacobsen
WAHBE Dev Sec Ops Roadmap Draft June 2020WAHBE Dev Sec Ops Roadmap Draft June 2020
Do D Enterprise Dev Sec Ops Platform SoftwareDo D Enterprise Dev Sec Ops Platform Software
The Importance of Dev Sec Ops BY KATIAThe Importance of Dev Sec Ops BY KATIA
Preventing Devoops with Dev Sec Ops Kieran JacobsenPreventing Devoops with Dev Sec Ops Kieran Jacobsen
WELCOME Dev Sec Ops Days DC October 1WELCOME Dev Sec Ops Days DC October 1
Preventing Devoops with Dev Sec Ops Kieran JacobsenPreventing Devoops with Dev Sec Ops Kieran Jacobsen
Joint Webinar Critical Dev Sec Ops Considerations ForJoint Webinar Critical Dev Sec Ops Considerations For