0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) +...
Transcript of 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) +...
![Page 1: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/1.jpg)
Abril 2017
0xFF SDLC
![Page 2: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/2.jpg)
INCIDES
Agenda
+ Quienes somos?
+ SDLC
+ Contexto
+ Threat model
+ Code review
+ Open Source Security
+ Issue Tracker
+ Wiki
+ Metricas
![Page 4: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/4.jpg)
INCIDENTS
Our job
+ SecDevOps (Automatizaciones y desarrollos)
+ Consultoría de seguridad
+ Cursos de seguridad
+ Pentest, Code Review, BugBounty Interno, reportes de onda
+ Manejo de vulnerabilidades
+ Administración de WAF
+ Bug Bounty players
+ Monitoreo de seguridad
![Page 5: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/5.jpg)
INCIDES
SDLC
El ciclo de vida de desarrollo (SDL) es un proceso que ayuda a los desarrolladores a construir software más
seguro, reduciendo costos y tareas.
![Page 6: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/6.jpg)
INCIDENTS
Contexto - Tipos de empresa
Producto sin Seguridad
Seguridad antes que el Producto
Seguridad despues del Producto
![Page 7: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/7.jpg)
INCIDENTS
Unidades de negocio
descentralizadas
1 persona de seguridad cada 300 developers
Recambio constante de desarrolladores y tecnologías
No tengo tiempo!Objetivos vs. Seguridad
Con que nos encontramos
Soluciones comerciales poco customizables y caras
Seguridad despues del
ProductoKeep it simple
Detect detect detect
Automatizar y autogestionar
Customizable
Transmisión de conocimiento escalable
Modularizada
![Page 8: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/8.jpg)
INCIDES
Fantastic framework for SDLC
Threat Model Code review OSS
Issue trackerWiki
e-learningMetricas
![Page 9: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/9.jpg)
Threat Model Automatizado
![Page 10: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/10.jpg)
Detección de nuevos proyectos - Fase 1
Threat Model
+ 5 security questions
![Page 11: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/11.jpg)
Detección de nuevos proyectos - Fase 2
Automatic Threat
Model
https://goo.gl/vvD6OZ
+ 5 security questions
/GET
low / medium
high
![Page 12: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/12.jpg)
Code Review Automatizado
![Page 13: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/13.jpg)
INCIDES
Modificación de proyectos existentes
Code review
![Page 14: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/14.jpg)
INCIDES
Code review - AFIP
+ Análisis de código estático
- Manejo de falso positivo
- Rule based approach
- Mantenible en el tiempo
- Adaptable a la empresa
Code review
![Page 15: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/15.jpg)
Open Source Security
![Page 16: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/16.jpg)
INCIDES
Análisis de librerías
+ Armado de inventario de librerías del
proyecto a analizar
+ Asociar vulnerabilidades conocidas
publicadas en sitios confiables y
relacionarlas (OWASP Dependency
Check, nsp)
+ Informar de aquellas con
vulnerabilidades
OSS
https://goo.gl/7MFnv5
![Page 17: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/17.jpg)
Issue tracker Automatizado
![Page 18: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/18.jpg)
INCIDES
Issue Tracker
Issue tracker
Issues view
Issues database
![Page 19: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/19.jpg)
INCIDES
Pentest
+ Esquema de prioridad basado en
peso.
Issue tracker
![Page 20: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/20.jpg)
Wikie-learning
![Page 21: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/21.jpg)
INCIDES
Wiki
+ Contenido con las mejores soluciones
+ Contenido con los lenguajes de la compañía
+ e-learnings de seguridad
+ Concientizar y capacitar desarrolladores
Wiki
e-learning
![Page 22: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/22.jpg)
Métricas generales
![Page 23: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/23.jpg)
INCIDES
Metricas
+ Overall risk
+ Vulnerabilidades por proyecto
+ Top 10 Vulnerabilidades más
críticas
+ Corregidas vs Reportadas en el
tiempo
Metricas
![Page 24: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/24.jpg)
Complementos necesarios
![Page 25: 0xFF SDLC - OWASPpublicadas en sitios confiables y relacionarlas (OWASP Dependency Check, nsp) + Informar de aquellas con vulnerabilidades OSS Issue tracker Automatizado INCIDES Issue](https://reader034.fdocumento.com/reader034/viewer/2022042810/5f9dbc25adfd04761563852c/html5/thumbnails/25.jpg)
INCIDENTS
Evangelizar
+ Trainings presenciales
+ E-learnings
+ Competencias internas de seguridad
+ Bug bounties internos
+ Security Focal Points