En los modelos y metodologías de desarrollo de software ágiles, las aproximaciones tradicionales en cuanto a la seguridad en el desarrollo simplemente no funcionan. Existen demasiados ciclos, demasiadas entregas de forma muy rápida y los recursos en los equipos de seguridad son escasos. Estas aproximaciones tradicionales se han quedado más obsoletas si cabe con la introducción de prácticas DevOps, que hacen que el tiempo que transcurre desde el inicio de un nuevo ciclo de desarrollo hasta que el conjunto de funcionalidades implementadas, durante ese ciclo, esté en producción, sea cada vez menor. El objetivo de esta charla es mostrar cómo podemos actualizar las prácticas de seguridad sobre el desarrollo de software al conjunto de prácticas de desarrollo y entrega actuales. Para ello se desarrollarán conceptos como Modelado Ágil de Riesgos, Puntos de Contacto en actividades relativas a la seguridad del desarrollo durante su ciclo, la automatización de pruebas de seguridad y verificación de correcciones sobre vulnerabilidades detectadas. Estas dos últimas utilizando BDD-Security.

1. Actualizando DevOps a
SecDevOps
Paúl Santapau
psantapau@continuumsecurity.net
@psantapau
1

2. /about me
- CTO @ Continuum Security
- Security Architect
- SGSI & Pen test & dev @ Universitat Jaume I
- Blah blah blah
- https://www.linkedin.com/in/paul-santapau-a9953a4/
2

3. /TOC
- Introdución al problema
- Marco
- Demo
3

4. 95 grandes empresas
Adobe (Brad Arkin)
Aetna (Jim Routh)
ANDA (Nick Marchallek)
Autodesk (Reeny Sondhi)
Axway (Tom Donahoe)
Bank of America (Jim Apple)
Betfair (Pedro Borges)
BMO Financial Group (William Varma)
Black Knight Financial Services (Daniel King)
Box (Joel de la Garza)
Canadian Imperial Bank of Commerce (Andrew
Vezina)
Capital One (David Hannigan)
Cisco (Ken Ferguson)
Citigroup (Samir Sherif)
Citizen’s Bank (Chauncey Holden)
Comerica Bank (George Smirnoff)
Cryptography Research, a division of Rambus
(Dean Norris)
Dell EMC (Eric Baize)
Depository Trust & Clearing Corporation
(Muthu Balaraman)
Elavon (Osiris Martinez)
Ellucian (Ben Mayrides)
Epsilon (Matt Fearin)
Experian (Suzan Nascimento)
F-Secure (Camillo Sars)
Fannie Mae (Stephanie Derdouri)
Fidelity
Freddie Mac (Alex Ruiz)
General Electric (Russ Wolfe)
Highmark Health Solutions (Brandon Franklin)
Horizon Healthcare Services, Inc. (Alan Leung)
HP Fortify (Mike Donohoe)
HSBC (Malcolm Kelly and Simon Hales)
Independent Health (Jeremy Walczak)
iPipeline (Jay Simoni)
JPMorgan Chase & Co.
Lenovo (Anthony Corkell)
LGE (Alex Bessanov)
LinkedIn (Cory Scott)
Marks and Spencer
McKesson (Marian Reed)
Morningstar (Michael Allen)
Navient (Michael Vance)
NetApp
NetSuite (Brian Chess)
Neustar (Sandy Lee)
Nokia
NVIDIA (Daniel Rohrer)
NXP Semiconductors N.V. (Martin Schaffer)
Principal Financial Group (Stacy Monroe)
Qualcomm (Alex Gantman)
Royal Bank of Canada (Manish Khera)
Siemens (Jim Jacobson)
Sony Mobile (Kazuaki Morishita)
Splunk (Ajay Jayaram)
Symantec (Edward Bonver)
Target (Ty Sbano)
The Advisory Board (Eric Banks)
The Home Depot (Jamil Farshchi)
The Vanguard Group (Tony Canike)
Trainline (Mieke Kooij)
U.S. Bank (Yasir Pervaiz)
Visa (Neil Storey)
Wells Fargo (Mitch Moon)
Zephyr Health (Kim Green)
4

5. Security vs (QA + Dev) - Average
1:245
5

6. Speed!
Gov.uk → 10+ despliegues al día
6

7. Speed!!
Gov.uk → 10+ despliegues al día
Etsy → 50+ despliegues al día
7

8. Speed!!!
Gov.uk → 10+ despliegues al día
Etsy → 50+ despliegues al día
Amazon → 300+ despliegues ¡por hora! ¡En 2011!
8

9. 9
Source: http://vignette3.wikia.nocookie.net/starwars/images/a/ae/Hyperspace_falcon.png/revision/latest?cb=20130312014242

10. 10
Source: http://orig14.deviantart.net/4f81/f/2009/238/7/8/millennium_falcon_close_escape_by_lifejuicesff.png

11. ¿Qué ha pasado? - Planificación clásica (1)
11
Source: http://www.agile-scrum-master-training.com/agile-project-management/classic-waterfall-methodology-stages-analysis-design-implementation-testing-deployment-maintenance.png

12. ¿Qué ha pasado? - Planificación clásica (2)
12

13. ¿Qué ha pasado? - Metodologías ágiles (1)
13
Source: http://www.designtos.com/postpic/2010/07/agile-scrum-development-methodology_321496.jpg

14. 14

15. ¿Qué ha pasado? - DevOps, CI/CD (3)
15
Desarrollo Pre producción Producción
Agile CI CD
DevOps
Despliegue
Tests de
aceptación
Tests de
integración
Tests
unitariosConstrucción
Diseño +
Implementación
Dev OpsQA

16. ¿Qué ha pasado? - DevOps, CI/CD (4)
16
Source: http://www.superbcrew.com/wp-content/uploads/2015/10/DevOps-cycle_Extended-TEST.png

17. ¿Now what?
17

18. 18
(Sec)?Dev(Sec)?Ops(Sec)?

19. 19
Which can be
automated!

20. 20
DevOps Toolkit común
- Jenkins, Bamboo, Travis CI, Circle CI...
- Git, Bitbucket, GitHub, GitLab...
- Chef, Ansible, Puppet, Docker, Vagrant…
- AWS, Google Cloud, Azure, Open Stack…
- ....

21. 21
Commercial Open Source
HP Fortify
Checkmarx
IBM App Source Scan
Coverty
Whitehat Sentinel
Veracode
IriusRisk
Threadfix
BDD-Security
Find Security Bugs / FindBugs
OWASP Dependency Check
Retire.js
OWASP Zap
Burp Suite
Mittn
Gauntlt
NSP
(Sec)DevOps Toolkit

22. 22

23. 23
¿Cómo? (1)
- Análisis ágil del riesgo
- Tipo de datos que gestiona la aplicación/componente
- Zona en la que estará instalado
- Pruebas específicas en función de las propiedades de los componentes
- Tiempo
Activos Zonas Pruebas
Información personal
Propiedad Intelectual
Datos de tarjetas de crédito
Datos semi-publicos
Datos públicos
Expuesto a Internet
Proveedor de cloud
DMZ
Red Interna
CWE-89 (SQL Injection)
CWE-79 (XSS)
CWE-22 (Path Traversal)
CWE-98 (RFI)
CWE-121 (Buffer Overflow)

24. 24
¿Cómo? (2)
- En función de Activos + Zona, riesgo de la aplicación como:
- Crítico
- Alto
- Medio
- Bajo
- Muy bajo
Activos Zonas Pruebas
Información personal
Propiedad Intelectual
Datos de tarjetas de crédito
Datos semi-publicos
Datos públicos
Expuesto a Internet
Proveedor de cloud
DMZ
Red Interna
CWE-89 (SQL Injection)
CWE-79 (XSS)
CWE-22 (Path Traversal)
CWE-98 (RFI)
CWE-121 (Buffer Overflow)

25. 25
¿Cómo? (3)
- En función de Activos + Zona, riesgo de la aplicación como:
Riesgo
+++ ---
Configuración Automatización
--- +++
Crítico
Alto
Medio
Bajo
Muy bajo

26. 26
¿Cómo? (4)
$ cat risk_profile.yml
- project_description: My cool WebApp
id: my_cool_web_app
data:
- name: PII
risk: 60
- name: Public Data
risk: 10
trust_zones:
- name: DMZ
trust: 50
- name: Internal
trust: 60
- name: Internal Hardened
trust: 90
cwe:
ids: 79, 89, 22, 98, 121
reviewed: 2017-01-01
expires: 2017-04-01

27. 27
BDD-Security (1)
- Behavioral Driven Development + Security
- Gherkin Syntax/Cucumber
- Selenium/WebDriver
- OWASP Zap
- Nessus
- Herramientas de seguridad internas
- Conjunto de especificaciones de seguridad base.
Feature: Refund item
Scenario: Jeff returns a faulty microwave
Given Jeff has bought a microwave for $100
And he has a receipt
When he returns the microwave
Then Jeff should be refunded $100

28. 28
BDD-Security (2)

29. 29
BDD-Security (3)

30. 30
BDD-Security (4)
@app_scan
@cwe-89
@cwe-79
@cwe-22
@cwe-98
@cwe-97
@cwe-94
@cwe-78
@cwe-113
@cwe-601
@cwe-541
@cwe-78
@cwe-90
@cwe-91
@cwe-611
@cwe-209-poodle
@cwe-200
@authentication
@cwe-178-auth
@cwe-295-auth
@cwe-319-auth
@cwe-525-repost
@cwe-525-autocomplete-form
@cwe-525-autocomplete-password
@auth_lockout
@authorisation
@cwe-639
@cwe-306
@cors
@cwe-942-cors_allowed
@cwe-942-cors_disallowed
@data_security
@cwe-525
@host_config
@open_ports
@http_headers
@cwe-693-clickjack
@cwe-693-x-xss-protection
@cwe-693-strict-transport-security
@cwe-942-cors_permissive
@cwe-693-nosniff
@nessus_scan
@passive_scan
@session_management
@cwe-664-fixation
@cwe-613-logout
@cwe-613
@cwe-614
@wasc-13
@ssl
@ssl_perfect_forward_secrecy
@ssl_crime
@ssl_client_renegotiations
@ssl_heartbleed
@ssl_strong_cipher
@ssl_disabled_protocols
@ssl_support_strong_protocols
@ssl_perfect_forward_secrecy

31. 31

32. 32

33. Touch Points
33
Desarrollo Pre producción Producción
Agile CI CD
DevOps
Despliegue
Tests de
aceptación
Tests de
integración
Tests
unitariosConstrucción
Diseño +
Implementación
Dev OpsQA

34. 34

35. DEMO
35

36. 36
- Referencias:
- BSSIM 7 -> https://www.bsimm.com/download/
- Etsy deployments -> https://www.infoq.com/news/2014/03/etsy-deploy-50-times-a-day
- Gov.uk deployments ->
https://insidegovuk.blog.gov.uk/2015/06/24/54-deployments-in-1-day/
- Amazon deployments -> https://www.youtube.com/watch?v=dxk8b9rSKOo

37. 37
https://www.continuumsecurity.net
Thanks!@psantapau