PCI DSS e Metodologias Ágeis

© 2012

Presented by:

A Segurança Está Atrasando Seu Desenvolvimento Ágil de Software?

Ulisses AlbuquerqueConsultor de Segurança

© 2012

$ whois urma

• Ulisses Albuquerque– Consultor de Segurança (Aplicações)

• Testes de intrusão• Revisão de código• Treinamento em desenvolvimento seguro

– Desenvolvedor• Scrummaster, facilitador, product owner• Experiência de aplicações a device drivers

© 2012

Agenda

• Conceitos– Manifesto Ágil– Desenvolvimento Ágil de Software– SDLC Seguro

• PCI DSS 2.0 e o SDLC Seguro• Incompatibilidades e Workarounds• Conclusão

© 2012© 2012

DISCLAIMER

Essa não é uma apresentação sobre os méritos do desenvolvimento ágil.

© 2012© 2012

Conceitos

© 2012https://en.wikipedia.org/wiki/File:Waterfall_model_(1).svg

https://en.wikipedia.org/wiki/File:Waterfall_model_(1).svg

https://en.wikipedia.org/wiki/File:Waterfall_model_(1).svg

© 2012http://ramsis-hi.wikispaces.com/SDLC

http://ramsis-hi.wikispaces.com/SDLC

http://ramsis-hi.wikispaces.com/SDLC

© 2012

Conceitos

• Movimento ágil– Resposta à baixa qualidade do software

desenvolvido– Foco no software, não no processo

© 2012© 2012

Individuals and interactions over processes and tools

Working software over comprehensive documentation

Customer collaboration over contract negotiation

Responding to change over following a plan

© 2012https://en.wikipedia.org/wiki/File:Scrum_process.svg

https://en.wikipedia.org/wiki/File:Scrum_process.svg

https://en.wikipedia.org/wiki/File:Scrum_process.svg

© 2012http://amareshv.wordpress.com/2011/03/01/sample-scrum-board/

http://amareshv.wordpress.com/2011/03/01/sample-scrum-board/

http://amareshv.wordpress.com/2011/03/01/sample-scrum-board/

© 2012http://dilbert.com/strips/comic/2007-11-26/

Agilidad

e !=

Cao

s

http://dilbert.com/strips/comic/2007-11-26/

http://dilbert.com/strips/comic/2007-11-26/

© 2012

Conceitos

• SDLC seguro– Software Development Life Cycle– Segurança em todas as etapas do

desenvolvimento de software

© 2012

ConceitosR

equis

itos Requisitos de

Segurança e Privacidade

Desi

gn Modelagem

de ameaçasRevisão de segurança do designD

ese

nvolv

ime

ntoAnálise

estáticaRevisão de código

Test

e Casos de teste de segurançaAnálise dinâmica

Deplo

y Revisão final de segurançaPlano de monitoramento e resposta a incidente

https://www.microsoft.com/security/sdl/default.aspx



© 2012© 2012

PCI DSS 2.0 e o SDLC Seguro

© 2012


• Requisito 6: Desenvolver e manter sistemas e aplicativos seguros– 6.3 Desenvolver aplicativos de software

(internos e externos, incluindo acesso administrativo pela web nos aplicativos) de acordo com o PCI DSS (por exemplo, autenticação e registro seguros) e com base nas melhores práticas do setor. Incorporar segurança de informação ao longo do ciclo de vida do desenvolvimento do software.

© 2012


• Os aspectos relevantes são discutidos no detalhamento dos requisitos– Requisito 6.4.5 é o mais crítico para equipes

ágeis

© 2012


• 6.4.5 Alterar os procedimentos de controle para implementação de patches de segurança e modificações de software. Os procedimentos devem incluir o seguinte:– 6.4.5.1 Documentação de impacto.– 6.4.5.2 Aprovação documentada de alteração

pelas partes autorizadas.– 6.4.5.3 Teste de funcionalidade para verificar se

a alteração não tem impacto adverso sobre a segurança do sistema.

– 6.4.5.4 Procedimentos de reversão.

© 2012© 2012

Incompatibilidades e Workarounds

© 2012


• Metodologias ágeis– Foco no software– “Burocracia” minimizada

• PCI DSS– Rastreabilidade– Análise de risco– Cautela

Incompatíveis?

© 2012


• Desenvolvimento ágil + SDLC seguro– “Agile Software Development Doesn’t Create

Secure Software”– “Agile Software Development: The Straight and

Narrow Path to Secure Software?”

• PCI DSS 2.0– Nem todo SDLC seguro atende a todos os

requisitos

© 2012


• SDL para Desenvolvimento Ágil– Microsoft Security Development Lifecycle

• SDL para PCI DSS– “SDL and PCI DSS/PA-DSS: Aligning security

practices and compliance activities”

© 2012


Práticas por projeto

Práticas eventuais

Práticas por sprint

© 2012


Liberação

Verificação

Implementação

Design

Requisitos

Treinamento

Requisitos de segurança (PP)

Portões de qualidade/barras de erro (PE)

Avaliação de riscos de segurança e privacidade (PP)

© 2012


Liberação

Verificação

Implementação

Design

Requisitos

Treinamento

Requisitos de design (PP)

Análise da superfície de ataque (PP)

Modelagem de ameaças (PS)

© 2012


Liberação

Verificação

Implementação

Design

Requisitos

Treinamento

Utilizar ferramentas aprovadas (PS)Desaprovar funções não seguras (PS)

Análise estática (PS)

© 2012


Liberação

Verificação

Implementação

Design

Requisitos

Treinamento

Análise dinâmica (PE)

Teste de fuzzing (PE)

Revisão da superfície de ataque (PE)

© 2012


Liberação

Verificação

Implementação

Design

Requisitos

Treinamento Plano de resposta de incidentes (PP)

Revisão final de segurança (PS)

Liberar arquivo (PS)

© 2012

Conclusão

• Desenvolvimento seguro e ágil é possível– …se sua equipe é realmente ágil e não

desorganizada

• Agilidade não é contra processos– Agilidade é contra esforço sem valor– Clientes pagam pelo software, não pelo processo

© 2012

Conclusão

• Trustwave pode ajudar– Adequações e workarounds baseados em caso

real– Treinamento de desenvolvimento seguro– Revisão de código– 360 Application Security

© 2012

Trustwave SpiderLabsSpiderLabs is an elite team of ethical hackers at Trustwave advancing the security capabilities of leading businesses and organizations throughout the world.

Mais informações:

Web: https://www.trustwave.com/spiderlabs

Blog: http://blog.spiderlabs.com/

Twitter: @SpiderLabs

PCI DSS e Metodologias Ágeis

Technology

Transcript of PCI DSS e Metodologias Ágeis