5. “BIG BROTHER IS WATCHING YOU”
Personajes típicos
DEV
SYSADMIN / OPS SEC
:) = BufónQA / TEST
FUNCIONAL
6. “BIG BROTHER IS WATCHING YOU”
DevOps = Nitro
El termino fue creado en el 2009 en la conferencia
“Velocity” de O’Reilly en donde se presento la charla 10+
Deploys Per Day.
En el 2008 ya se empieza a hablar de infraestructura agil
en foros de debate con foco en la metodologia Agile.
En el mismo 2008 se genera un foro debate llamado “Agile
Sysadmin” que empezo a abordar el tema con propiedad.
Uno de los participantes fue Patrick Debois quien
Luego creo el evento “DevOps Days”.
10+ Deploys Per Day: Dev and Ops
Cooperation at Flickr from John Allspaw
7. “BIG BROTHER IS WATCHING YOU”
Está claro por qué las empresas se están moviendo a DevOps
... pero ¿cómo puede la seguridad mantenerse al día con esto?
DEVOPS
8. “BIG BROTHER IS WATCHING YOU”
Seguridad Tradicional
Situación habitual en el desarrollo de aplicaciones
Vemos que el enfoque actual es que la seguridad se
contempla fuera del ciclo de desarrollo de una aplicación.
Inicialmente con pruebas que dependerán de la
experiencia del equipo de desarrollo. Posteriormente
mediante tests de penetración o hacking ético, tratando
de detectar vulnerabilidades de manera interna o algunas
veces externas
Se que les encanta el
KALI
Pero no solo de Pentest
vive la seguridad
9. “BIG BROTHER IS WATCHING YOU”
¿Por qué?
DevSecOps no es necesario, ¡es inevitable!
11. “BIG BROTHER IS WATCHING YOU”
Postura común
Esto es
DevOps…
Normalmente los equipos de seguridad tradicional dice NO a casi todo
Descubre las vulnerabilidades tarde (En Producción)
Les cuesta mucho acercarse al equipo de DEV / DEVOPS
12. “BIG BROTHER IS WATCHING YOU”
Como resolvemos eso?
Un chistesito, por que
seguro por el horario
tienen hambre
Prueba y errores
Mucho Café y errores
Sudor, lagrimas y
errores
Mucho Dolor a los
que no tengan
errores
13. “BIG BROTHER IS WATCHING YOU”
Como resolvemos eso?
• SecDevOps
• Agile sSDLC
• Agile Security
• Rugged DevOps
• DevOps Security
Varios nombre para lo mismo:
“DevSecOps”
14. “BIG BROTHER IS WATCHING YOU”
¿Qué es DevSecOps?
"El propósito e intención de DevSecOps es construir sobre la base de que 'todos
son responsables de la seguridad'
Nueva filosofía generada por la fusión de DevOps y SecOps.
Integra el enfoque de la seguridad en el ciclo de desarrollo y explotación de
aplicaciones de una manera sistemática. Al igual que las DevOps, operaciones de
soporte al desarrollo, la seguridad se debe poder automatizar o sistematizar en
gran medida.
El objetivo final es poder pasar a producción de manera automática una aplicación
razonablemente segura en cuestión de minutos. Considerando siempre que la
seguridad total no existe, lo que se minimiza es el riesgo
15. “BIG BROTHER IS WATCHING YOU”
Manifesto
Leaning in over Always Saying “No”
Data & Security Science over Fear, Uncertainty and Doubt
Open Contribution & Collaboration over Security-Only
Requirements
Consumable Security Services with APIs over Mandated Security
Controls & Paperwork
Business Driven Security Scores over Rubber Stamp Security
Red & Blue Team Exploit Testing over Relying on Scans &
Theoretical Vulnerabilities
24x7 Proactive Security Monitoring over Reacting after being
Informed of an Incident
Shared Threat Intelligence over Keeping Info to Ourselves
Compliance Operations over Clipboards & Checklists http://www.devsecops.org/
16. “BIG BROTHER IS WATCHING YOU”
• No son ideas nuevas, simplemente es una reformulación de una necesidad.
• Se compone de varias ideas, una de ellas es la consideración de la
seguridad integrada en el proceso de desarrollo.
• Elementos claves:
Personas
• Cultura
• Roles
Procesos
• Tecnicas
• Practicas
Herramientas
• SEC tools
• Dev Tools
18. “BIG BROTHER IS WATCHING YOU”
Cultura
• Comunicación y transparencia
• Ambiente de alta confianza "postmortem sin culpa"
• Mejora continua
• Todos son responsables de la seguridad
• Automatice tanto como sea posible
• Todo como código
19. “BIG BROTHER IS WATCHING YOU”
Practicas y técnicas
• Static/IAST analysis
• Abuse case tests
• Code review
• Break the build
code analysis
• Threat modeling backlog items
• Analyze/Predict backlog items
• Design complies with policy?
• Test security features
• Common abuse cases
• Pen testing (Vuls found Test scripts)
• Compliance validation (PCI, etc.)
• Fuzzing
• If we do X will it mitigate Y?
• Capacity forecasting
• Learning Update playbooks
and Training
• Configuration validation
• Feature toggles/Traffic
shaping configuration
• Secrets management
• Log information for
after-incident analysis
• Intrusion detection
• App attack detection
• Restore/maintain service
for non-attack usage
• RASP auto respond
• Roll-back or toggle off
• Block attacker
• Shut down services
• Analysis Learning
• Defect/Incident 3-step
• New attack surface?
Plan to update threat model
20. “BIG BROTHER IS WATCHING YOU”
DevSecOps Tools landscape
Static Analysis (aka SAST)
• Looks at source code
• Data/control flow analysis
• Prone to false positives
• Rapid feedback for developers
• Code fix suggestions
Dynamic
• Instruments app (to varying degrees)
• Exercises app via UI/API
• Zero? false positives
• Hard to instrument?
• High false negatives
• Report is an exploit
• Sometimes hard to find code to remediate
IAST
• Combine dynamic/static
• Good false positives/negatives
• Immature but getting there
Runtime Application
Security Protection (RASP)
• Reports on “bad” behavior
• Can abort transaction or kill
process to protect
Fuzzing
• Instruments app (to varying degrees)
• Sends unexpected input at API
• Looks at response and instrumentation output
• Great for testing protocols like SIP
• Good for REST APIs
• Potentially long run times
• Hard to find code to remediate
Software Composition
Analysis (SCA)
• Identifies dependency and
version
• Checks CVE/NVD + … for
reported vulnerabilities
• Proposes version/patch to
remediate
• Checks license vs policy
• Runs fast
• Some have firewall mode
21. “BIG BROTHER IS WATCHING YOU”
Problemas
• Procesos manuales y cultura de la
reunión (Reunion de reuniones)
• Fricción por el amor a la fricción
• Malentendidos contextuales
• Decisiones tomadas fuera de la
creación de valor
• Restricciones y requisitos tardíos
• Grandes compromisos, grandes
equipos y grandes fracasos
• Miedo al fracaso, falta de
aprendizaje
• Falta de inspiración
• Gestión e interferencia política
(aprobaciones, excepciones)
Desafios
• DevOps requiere
implementaciones continuas
• La toma de decisiones rápida es
crítica para el éxito de DevOps
• La seguridad tradicional
simplemente no escala ni se
mueve lo suficientemente rápido
...
• Las Organizaciones grandes y
reguladas son las que mas
necesita DevSecOps
• Esto no significa que estén LISTOS
para DevSecOps
• Las estructuras Organizativas
típicas hacen que DevSecOps sea
muy difícil de lograr
• Es tan difícil como vender Agile,
DevOps o justificar una inversión
en seguridad
Beneficios
• La reducción de costos (detección
y la reparación temprana)
• Mayor velocidad de entrega (no
mas cuellos de botella)
• Velocidad de recuperation
• Mejor monitoreo y la auditoría
• Reduce los vectores de ataque
• Asegura el principio de "seguridad
por diseño" mediante el uso
revisión automatizada
• Crea valor e innovación con
Seguridad iterativa a velocidad y
escala.
• La seguridad está federada y se
convierte en responsabilidad de
todos.
• DevSecOps fomenta una cultura
de apertura y transparencia desde
las primeras etapas de desarrollo.
22. “BIG BROTHER IS WATCHING YOU”
De DevOps a DevSecOps
en 12 semanas
23. “BIG BROTHER IS WATCHING YOU”
Objetivos Generales
• Equipo y Cultura
• Inculcar el concepto de “Todos son responsables de la seguridad”.
• Embeber seguridad lo antes posible (Shift Left)
• Herramientas DevOps
• Incorporar Análisis Dinámico (y Estático si se puede).
• Comenzar con la automatización de las herramientas de “Sec”.
24. “BIG BROTHER IS WATCHING YOU”
Prerrequisitos• DevSecOps no existe ni se implementan en un vacío!
• Esto es, Sec suele entrar al equipo de DevOps cuando ya esta relativamente
integrado… lástima!
• Equipo y Cultura
• El equipo de DevOps utilizan (o al menos intentan llevar) los proyectos con
características “Agile”.
• Herramientas DevOps
• El equipo tiene, sino un pipeline completo, al menos IDEs coherentes,
integración continua, y repositorios de código fuente y binarios.
• Infraestructura
• La Virtualización es la forma corriente para la arquitectura de despliegue.
• El equipo DevOps ya puso un pie (y a veces mas) en los servers.
25. “BIG BROTHER IS WATCHING YOU”
• Semana 1 – La Familia
• Escuchar al equipo actual.
• Incluir en las ceremonias la referencia a la seguridad (en el desarrollo, el
entorno, el método y el producto).
• Semana 2 – El Equipamiento
• Comenzar a incorporar las herramientas de análisis dinámico
• OWASP Zed Attack Proxy
• https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
• OWASP OWTF
• https://www.owasp.org/index.php/OWASP_OWTF
• OWASP Dependency Check SonarQube Plugin!!!
• https://www.owasp.org/index.php/OWASP_Dependency_Check
• Semana 3 – El Trabajo
• Retrospectiva: Pwned! (Prueba de Seguridad en Vivo)
26. “BIG BROTHER IS WATCHING YOU”
• Semana 4 – La Familia
• Incorporar la lógica de modelado de amenazas en las ceremonias
• OWASP Cornucopia
https://www.owasp.org/index.php/OWASP_Cornucopia
• Semana 5 – El Equipamiento
• Comenzar a automatizar las herramientas de análisis dinámico
• StackStorm
https://github.com/StackStorm
• Semana 6 – El Trabajo
• Retrospectiva: Hack yourself!
27. “BIG BROTHER IS WATCHING YOU”
• Semana 7 – La Familia
• Identificar el lugar y alcance de “Ops”
• Incorporar la gestión de configuración, menor privilegio, y de gestión de Claves, y Secretos
• Semana 8 – El Equipamiento
• Implementar herramientas de gestión de contraseñas (particularmente en repositorios)
• BlackBox
• https://github.com/StackExchange/blackbox
• Git-Secrets
• https://github.com/awslabs/git-secrets
• Semana 9 – El Trabajo
• Retrospectiva: Hack Yourself!(Ejercicio de Red Team / Blue Team)
28. “BIG BROTHER IS WATCHING YOU”
• Semana 10 – La Familia
• Profundizar e integrar los resultados de las actividades anteriores como input
• Organizar Registro, Monitoreo y Alertas
• Semana 11 – El equipamiento
• Comenzar la integración de alertas
• Nagios
• https://www.nagios.com/
• Alerta
• http://alerta.io/
• Semana 12 – El Trabajo
• Retrospectiva: Hack Yourself!(Ejercicio de Red Team / Blue Team)
29. “BIG BROTHER IS WATCHING YOU”
Conclusiones
• DevSecOps es la consecuencia indiscutible de la necesidad de tener mayor agilidad
en los equipos y velocidad en la entrega de software (DevOps) AL MISMO TIEMPO
que se incorpora seguridad desde el principio (i.e. Rugged)
• La tecnología no tiene problemas, las personas si tienen problemas, para lograr un
cultura de DevSecOps efectiva debemos pensar como Toreto (yo no tengo amigos si
tengo familia).
“BIG BROTHER IS WATCHING YOU”
Nueva filosofía generada por la fusión de DevOps y SecOps.
Integra el enfoque de la seguridad en el ciclo de desarrollo y explotación de aplicaciones de una manera sistemática. Al igual que las DevOps, operaciones de soporte al desarrollo, la seguridad se debe poder automatizar o sistematizar en gran medida.
El objetivo final es poder pasar a producción de manera automática una aplicación razonablemente segura en cuestión de minutos. Considerando siempre que la seguridad total no existe, lo que se minimiza es el riesgo