ic-testes invasao
TRANSCRIPT
Globalcode – Open4education
Integração Continua com Testes de Invasão
Denny Richard San VriesmanDevOps Engineer
Globalcode – Open4education
Sobre mim
Denny Richard San Vriesman
9+ anos na
-OCAJP, OCPPJ-Java Developer, Software Architect,-Devops and Cloud Engineer-O mais legal: programou em BASIC num Apple II, num MSX e num TK2000 em 1989.
Let’s go
Globalcode – Open4education
Agenda
Segurança em focoAbraçando a segurançaKit básico de ferramentasConsolidando resultadosConclusões
Globalcode – Open4education
Pentest
1. Coletar Informações2. Mapeamento de Rede3. Enumeração de Serviços4. Busca de Vulnerabilidade5. Exploração das Vulnerabilidade6. Implantação de Backdoors e
Rootkits7. Eliminação de Vestígios
Globalcode – Open4education
SecDevOps
• Melhores práticas que ajudam as organizações a implantar código seguro
• Automatização de testes de invasão (pentests)
• Herda conceitos essenciais DevOps:
• Falhar o quanto antes• Reparar rapidamente
• https://www.reddit.com/r/secdevops/
Globalcode – Open4education
SecDevOpsAvaliação de Risco
UX Security
Capacitação,Peer Code
Review
CI com Testes de Invasão
Monitoração, Logs,
Respostas a Incidentes
SecDevOps
Globalcode – Open4education
Alguns tipos de testesTestes de Segurança Funcionais
Scan da Aplicação e Infra-estrutura
Testes de Segurança da lógica
da aplicação
Autenticação Autorização
Consigo interceptar uma requisição, diminuindo o valor
de uma compra?
Vulnerabilidades identificadas por
ferramentas de Scan
Consigo fazer uma transferências para uma conta
com valor negativo?
Globalcode – Open4education
Zed Attack Proxy
• OWASP Top 10• Pode rodar como Daemon• REST-API• CLI• Pode ser scriptado
Globalcode – Open4education
ZAP + Jenkins
• Permite fazermos um scan.• Simples: Aponte para a URL a ser testada.• Gera relatórios no JOB em HTML e/ou XML.
• Recomenda-se o uso no Build Noturno.• Cada JOB deve ser configurado com um porta
Proxy diferente para habilitar a execução paralela.
Globalcode – Open4education
Web App Security Scanner
• Ideal para aplicações com muitos JavaScripts, SPA• Entende DOM, Jquery e Angular.• Scan Passivo/Ativo• Relatórios em XML / HTML / JSON
Globalcode – Open4education
Arachni + Jenkins
• CLI ou RPC ou REST
• Copiar relatórios no Workspace do Job
• Build Noturno
Globalcode – Open4education
• Framework para testes não-funcionais e funcionais de segurança• Usa Jbehave e Selenium para as estórias e fluxo de navegação• Usa ZAP como Scanner Default (pode usar outros). • Scan de Infraestrutura com Nessus.• Testes de WebServices• Suporte a autenticação com Tokens.• Conjunto de estórias pré-definidas
Globalcode – Open4education
Kit Básico de Ferramentas
• Execução de um projeto Maven
• Jbehave Plugin
• Jenkins HTML Publisher
+ Jenkins
Globalcode – Open4education
Consolidando resultados
Cada ferramenta gera seus relatórios em formatos
proprietários
Como eliminar resultados repetidos entre as diversas ferramentas ?
Como realizar análises e identificar tendências?
Globalcode – Open4education
• Consolidação e análise de dados, inclusive tendência.• Open Source Community vs Enterprise• Normaliza resultado de várias ferramentas:
• IBM AppScan• ZAP Proxy• Arachni• HPE Security WebSpec• Accunetix• FindBugs• W3af• Etc.... (várias outras)
Globalcode – Open4education
Conclusões
SecDevOps
Automação
DevOps já está em nosso dia-a-dia.SecDevOps é o próximo passo!
Já existem várias ferramentas pentesters que podem ser facilmente integradas aos builds, através de plugins.
Qualquer ferramentas pode ser chamada via linha de comando nos builds.
Devemos normalizar os dados para análise.
Vamos deixar esse Lammer mostrar que é hacker de verdade.
The end
Globalcode – Open4education
OBRIGADODenny Richard San Vriesman
[email protected]://br.linkedin.com/in/dvriesman