Testes de segurança orientados a valor
-
Upload
4all-tests -
Category
Internet
-
view
657 -
download
0
Transcript of Testes de segurança orientados a valor
![Page 1: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/1.jpg)
http://groups.google.com/group/gut-amKleitor Franklint
Testes de
Segurança
Orientados a valor
Para fazer parte do grupo de teste:
![Page 2: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/2.jpg)
KLEITOR
Entusiasta da Vida, Qualidade,
Colaborativos,Ágil,
Teste e Testes Ágeis. [email protected]
ombr.linkedin.com/in/kfranklint
92-99416-0873
![Page 3: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/3.jpg)
3
AGENDA
Um olhar sobre testes de
segurança em aplicações...
Aplicados ao Ágil e
metodologias Mistas.
Com o desenho e análise de
resultados orientados a
User-centered...
![Page 4: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/4.jpg)
4
Testes de Segurança Orientados a valor
![Page 5: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/5.jpg)
Um pouco de contexto
![Page 6: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/6.jpg)
6Mobile Application Security Study, 2013 reporthttp://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-1057ENW.pdf
Por que precisamos de aplicações seguras?Mobile apps
HP Research testou mais de 2,000 mobile apps em mais de 600 companhias.
97% Deram acesso a pelo menos uma fonte de informação privada.
86% Falharam no uso de simples proteções contra ataques modernos.
75% Não usam técnicas de encriptação adequada ao armazenar dados no dispositivo.
![Page 7: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/7.jpg)
7
Por que precisamos de aplicações seguras?
1.9 million files over the past 12 monthsWeb Application Vulnerability Report 2015http://www.acunetix.com/acunetix-web-application-vulnerability-report-2015/
Web apps
A cada 5 apps, 4 foram afetadas por vulnerabilidades médias
>80%
> 49%Quase metade continha vulnerabilidades graves
![Page 8: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/8.jpg)
Percepção das AmeaçasE sim, precisamos testá-las
![Page 9: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/9.jpg)
Vale à pena Pentest?
E o Ágil com Pentest?
Média de vulnerabilidades se reduziu em
45% com feedback pro time
Pentest reduziu a média de vulnerabilidades em 65%.
Software perfeito e outras Software perfeito e outras ilusõesilusões
Uau!! Imagina usando Ágil
Website Security Statistics Report 2015https://info.whitehatsec.com/rs/whitehatsecurity/images/2015-Stats-Report.pdf
= Agile Security Testing= Security Agile Testing
![Page 10: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/10.jpg)
Alguns conceitos
![Page 11: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/11.jpg)
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
Teste de segurança é
HACKING PENTEST AUDITORIA
Agregar valor ao produto sob a dimensão da...
E o objetivo é...?
segurança orientada a valor
![Page 12: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/12.jpg)
12
User-CenteredFoco em usabilidade, user experience (UX), workflow (...)
User-centered security...Tem usabilidade como motivação primária (Zurko,1996)
http://www.computing.dcu.ie/~dfitzpat/content/what-user-centered-design
![Page 13: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/13.jpg)
13
-Modelar e priorizar cenários de riscos orientados às necessidades do cliente
-Utilizar técnicas de teste que validem e enriqueçam esses cenários
-Análise de resultado orientado a user-centered.
-O objetivo é segurança utilizável
User-centered security testing.
![Page 14: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/14.jpg)
14
Como?
Antes do TesteModelar e priorizar cenários de riscos orientados às necessidades do cliente
Durante o TesteUtilizar técnicas de teste que validem e enriqueçam esses cenários
Depois do TesteAnálise de resultado orientado a user-centered.
![Page 15: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/15.jpg)
15
Um Road Map 1 Como modelar requisitos e cenários?
Testar o quê?
Testar como?
Quais requisitos e riscos?
Entregar o quê?
![Page 16: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/16.jpg)
16
Quais requisitos e riscos?
UC Test Design
![Page 17: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/17.jpg)
17
Quais requisitos e riscos?
- Workflow: abusos (vertical / horizontal), válidos e rotas alternativas
- Riscos toleráveis: críticos, incidentais- Funcionalidades críticas: segurança do produto,
importância pro cliente.- Presença do usuário: validação ( autenticação + token),
duração, No. de tentativas
UC Test Design
![Page 18: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/18.jpg)
18
Quais requisitos e riscos?
-Localização: onde, quando, quem-Personas: confiança, padrões: local, horários, workflow, frequência de acesso, publico alvo.-Comportamento: horário, local, frequência, outros-Memorização: duração e renovação da session-Escopo de segurança: o que o usuário não quer proteger
UC Test Design
![Page 19: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/19.jpg)
19
Como modelar requisitos e cenários?
![Page 20: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/20.jpg)
20
Como modelar requisitos e cenários?
User Security
Stories
![Page 21: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/21.jpg)
Abuse Stories
Evil User
Stories
21
Security Stories
Como modelar requisitos e cenários?
![Page 22: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/22.jpg)
22
Como modelar requisitos e cenários?
Como um agente ( tester, dev, eng) de segurança quero garantir produto entregue só após pagamento válido.
Security Stories Story maps
![Page 23: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/23.jpg)
23
Como modelar requisitos e cenários?
Se existirem... são base para: -Evil e Abuse Stories - Recomendações do report
Security Stories
![Page 24: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/24.jpg)
Como um evil user quero adquirir um produto sem pagar.
24
Como modelar requisitos e cenários?
Evil User Stories
Explorar pontos de entrada, engenharia social, workflows de risco
![Page 25: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/25.jpg)
Como um evil user quero adquirir um produto sem pagar.
25
Como modelar requisitos e cenários?
Realizar processo de negócio sem as RNsExplorar interações maliciosas entre um ator e o sistema.
Abuse Stories
![Page 26: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/26.jpg)
26
Testar o quê?
![Page 27: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/27.jpg)
Web app Top Ten – 2013
http://pt.slideshare.net/bilcorry/bil-owasp-top-102013-presentation
Web: Testar o quê?
![Page 28: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/28.jpg)
28
Mobile: Testar o quê?
Mobile app Top Ten – 2014
https://www.arxan.com/what-we-do/industry-and-analyst-perspectives/
![Page 29: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/29.jpg)
29
Testar o quê?
-Interações de risco entre as partes: webservices, canal inseguro;-Critérios de aceitação: críticos x incidentais;-Privacidade utilizável: personalização, impersonificação, privilégios e workflow desnecessários ou inseguros, interfaces complexas, etc. -Vulnerabilidades permitidas pela UI e seus parâmetros: XSS, phishing, SQL Injection, etc
![Page 30: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/30.jpg)
30
Testar o quê?
-Explorar potencialidades e fraquezas do usuário-Vulnerabilidades que possibilitam afetar a UI: XSS, phishing-Autenticação e autorização: ser quem é, e só fazer o que esse "ser" é.O que deixa indisponível: DOS, consultas complexas time based, etc
![Page 31: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/31.jpg)
31
Testar como?
Como o Teste é
realizado?
![Page 32: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/32.jpg)
Como o Tester participa?
Scanner automatizado de vulnerabilidades
Análise automatizada
de código
Teste Manual de invasão ( Pen Test )
Revisão manual de código
Falsos Positivos, Falsos Negativos, Camadas indetectáveis.
RISCOS
![Page 33: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/33.jpg)
Scanner: A solução de tudo?
![Page 34: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/34.jpg)
Teste de segurança em app mobilePentest: Pra quê?
![Page 35: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/35.jpg)
Como encontrar equilíbrio?Valor x Produtividade
E a eficácia para o
cliente e time?
![Page 36: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/36.jpg)
36
VarreduraQuão rápido e
amplamente posso analisar a superfície?
Exploratório ( Pentest )-Que tipos de ataques são relevantes? -Qual a parte mais importante a ser protegida: mais impacto, maior risco ao negócio?
Como encontrar equilíbrio?
![Page 37: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/37.jpg)
Teste continuo+Sprint pequeno +Restropectivas+ muito feedback+
envolva o timetime
37
Explorar pentest + varredura = done
Como encontrar equilíbrio?Valor x Produtividade
![Page 38: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/38.jpg)
Adeque à sua realidade...
Teste continuo+Tamanho do Sprint +
Uso de restropectivas+ feedback
38
Explorar pentest + varredura = done
Como encontrar equilíbrio?... E para metodologias Mistas?
![Page 39: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/39.jpg)
Report: Análise de resultado, prazo, valor
Time to marketUsabilidade,
Disponibilidadee Desempenho
Resultados dos Testes
Implicações de Regras de Negócio, outros
APP MOBILERISCOS
CRITICIDADE, IMPACTO, PROBABILIDADE IMPLICAÇÕES
RECOMENDAÇÕES
![Page 40: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/40.jpg)
40
Entregar o quê?
Imagem: http://www.123rf.com/photo_25072963_business-hand-writing-product-and-service-evaluation-on-quality-delivery-and-service.html
![Page 41: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/41.jpg)
41
Reportbalanço entre
segurança e user-centered = Valor
![Page 42: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/42.jpg)
42
Report- Reporte diário com o time e envolvidos várias vezes ao dia (ou no tempo possível);- Pergunte a opinião dos envolvidos sobre os resultados;- Em pontos de decisão crítica interroge os decisores-chave;- Se prepare para responder perguntas difíceis e multidimensionais;- Seja breve e objetivo: se só tivesse 1 minuto que pergunta faria.
![Page 43: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/43.jpg)
43
ReportDescreva e gere evidências: narrativas, vídeos, screnshots, etc.
Meça o termômetro de aceitação ( satisfação) do cliente: -Há algo que eu possa melhorar no seu relatório? -Há alguma sugestão a que o relatório possa ser mais útil e agradável de ler?
![Page 44: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/44.jpg)
44
ReportDescreva as vulnerabilidades encontradas e riscos identificados.
![Page 45: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/45.jpg)
45
Report - Recomendações
-Mecanismos para espantar bad boys;-Mecanismos discretos para manter goodboys;- Solução produtiva para o time de desenvolvimento;-Análise de falso positivos e negativos que possam influenciar na UX;-Indicar pontos seguros da app que podem melhorar a UX;
![Page 46: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/46.jpg)
46
-Efeitos da Acessibilidade e disponibilidade de informações x politica de privacidade-Integrar segurança às tarefas do usuário-Transparência da segurança dentro da tarefa-Dependência de autoridade confiável-Identificação de workflow inseguro-Uso de mensagens apropriadas: alerta, informação, desinformação
Report - Recomendações ( cont.)
![Page 47: Testes de segurança orientados a valor](https://reader036.fdocumentos.com/reader036/viewer/2022062503/58eef1711a28ab902f8b4611/html5/thumbnails/47.jpg)
47
POSSO COLABORAR COM MAIS RESPOSTAS?
br.linkedin.com/in/kfranklint
92-99416-0873