SlideShare una empresa de Scribd logo

Implementando owasp samm en latam

Mateo Martinez
Mateo Martinez

El documento describe la implementación del modelo OWASP SAMM (Software Assurance Maturity Model) en Latinoamérica. El modelo SAMM v2 consta de 15 prácticas de seguridad divididas en 5 funciones (gobierno, diseño, implementación, verificación y operaciones) y 3 niveles de madurez. El documento explica algunas de las prácticas de seguridad como modelado de amenazas, requerimientos de seguridad y pruebas de seguridad, destacando herramientas como OWASP Threat Dragon, Dependency Track y ZAP

Software
1 de 76
Descargar para leer sin conexión
Implementando OWASP SAMM en Latinoamérica Mateo Martínez mateo.Martinez@owasp.org
El modelo original OpenSAMM 1.0 fue escrito por Pravir Chandra y data de 2009. Durante los últimos 10 años, ha demostrado ser un modelo ampliamente distribuido y efectivo para mejorar las prácticas de software seguro en diferentes tipos de organizaciones. . v1 El nuevo modelo SAMM admite el desarrollo en cascada, iterativo, ágil y DevOps. El modelo es lo suficientemente flexible como para permitir a las organizaciones tomar un camino basado en su tolerancia al riesgo y la forma en que construyen y usan el software. v2 https://owaspsamm.org/
v1 v2 https://owaspsamm.org/
No se ve nada …
OWASP SAMM v1 (y 1.5) https://owasp.org/www-pdf-archive/SAMM_Core_V1-5_FINAL.pdf
OWASP SAMM v2 https://owaspsamm.org/model/
El modelo de la versión 2.0 ahora admite actualizaciones frecuentes a través de pequeños cambios incrementales en partes específicas del modelo con actualizaciones periódicas de explicaciones, herramientas y orientación por parte de la comunidad. Actualizaciones Frecuentes:
Algunos cambios importantes : § Construcción ahora se ha transformado en diseño § Se incorpora una nueva función de negocio: implementación § Función comercial rediseñada: verificación § Nueva práctica de seguridad: gestión operativa § La habilitación operativa ya no existe y otras prácticas absorbieron sus actividades. § Las actividades ahora se ordenan en flujos lógicos en cada una de las 15 prácticas de seguridad divididas en dos flujos, que alinean y vinculan las actividades en la práctica en los diferentes niveles de madurez.
Resumen del modelo
¿Cómo implementar esto?
El enfoque típico: OWASP SAMM posee un modelo adecuado para apoyar la mejora continua, en cuyo caso el ciclo se ejecuta continuamente, generalmente en períodos de 3 a 12 meses. Preparación y análisis de contexto Evaluación frente al modelo Establecer objetivos Planificar la implementación Roll-out o puesta en marcha
OWASP SAMM v2 El nuevo SAMM v2 consta de los siguientes componentes: § El resumen ejecutivo y la introducción del modelo SAMM § Una guía de rápida con los pasos para mejorar su práctica de software seguro § Una caja de herramientas para SAMM actualizada para realizar evaluaciones y crear hojas de ruta § Una nueva iniciativa de SAMM para comparar su madurez y progreso con otras organizaciones y equipos similares (benchmarking)
1. Gobierno
1. Gobierno El gobierno se centra en los procesos y actividades relacionados con la forma en que una organización gestiona las actividades generales de desarrollo de software. Más específicamente, esto incluye preocupaciones que afectan a los grupos interfuncionales involucrados en el desarrollo, así como a los procesos comerciales establecidos a nivel de organización. 1.Gobierno 1.1 Estrategia y Métricas 1.2 Políticas y Cumplimiento 1.3 Educación y Líneamientos
1. Gobierno 1.1 Estrategia y Métricas 1.Gobierno 1.1 Estrategia y Métricas 1.2 Políticas y Cumplimiento 1.3 Educación y Líneamientos
§ Nivel 1 es la implementación inicial § Nivel 2 es una implementación estructurada § Nivel 3 es una operación optimizada. 3 Niveles de Madurez:
1. Gobierno 1.1 Estrategia y Métricas
1. Gobierno 1.1 Estrategia y Métricas
1. Gobierno 1.1 Estrategia y Métricas
1. Gobierno 1.1 Estrategia y Métricas
1. Gobierno 1.1 Estrategia y Métricas
1. Gobierno 1.1 Estrategia y Métricas
¿viene algo más técnico?
No, seguimos un poco más con Gobierno J
1. Gobierno 1.2 Políticas y Cumplimiento 1.Gobierno 1.1 Estrategia y Métricas 1.2 Políticas y Cumplimiento 1.3 Educación y Líneamientos
1. Gobierno 1.2 Políticas y Cumplimiento
1. Gobierno 1.3 Educación y Lineamientos 1.Gobierno 1.1 Estrategia y Métricas 1.2 Políticas y Cumplimiento 1.3 Educación y Líneamientos
1. Gobierno 1.3 Educación y Lineamientos
2. Diseño
2. Diseño El diseño se refiere a los procesos y actividades relacionadas con la forma en que una organización define objetivos y crea software dentro de proyectos de desarrollo. En general, esto incluirá la recopilación de requisitos, la especificación de arquitectura de alto nivel y el diseño detallado. 2.Diseño 2.1 Modelado de Amenazas 2.2 Requerimientos de Seguridad 2.3 Arquitectura de Seguridad
2. Diseño 2.1 Modelado de Amenazas
2. Diseño 2.1 Modelado de Amenazas En el nivel de madurez 1, realiza un modelado de amenazas ad-hoc para aplicaciones de alto riesgo y utiliza listas de verificación de amenazas simples, como STRIDE. • S - Spoofing • T - Tampering • R - Repudiation • I - Integrity • D - Denial of Service • E – Elevation of privileges
2. Diseño 2.1 Modelado de Amenazas En el Nivel 2, la metodología de modelado de amenazas incluye al menos: • Diagramas • identificación de amenazas • mitigaciones de fallas de diseño • cómo validar los artefactos del modelo de amenaza. Descubre amenazas a su aplicación con listas de verificación, como STRIDE o más amenazas específicas de la organización.
2. Diseño 2.1 Modelado de Amenazas En el Nivel 3, el modelado de amenazas está integrado en su SDLC y se ha convertido en parte de la cultura de seguridad del desarrollador. Los patrones de riesgo reutilizables, que comprenden bibliotecas de amenazas relacionadas, fallas de diseño y mitigaciones de seguridad, se crean y mejoran, según los modelos de amenazas de la organización. Regularmente (por ejemplo, anualmente) revisa los modelos de amenazas existentes para verificar que no haya nuevas amenazas relevantes para sus aplicaciones. Automatiza partes de su proceso de modelado de amenazas con herramientas de modelado de amenazas. Integre sus herramientas de modelado de amenazas con otras herramientas de seguridad, como herramientas de verificación de seguridad y herramientas de seguimiento de riesgos.
¿y? ¿Alguna herramienta?
2. Diseño OWASP Threat Dragon https://threatdragon.org/
2. Diseño OWASP Threat Dragon https://threatdragon.org/
2. Diseño OWASP Threat Dragon https://threatdragon.org/
2. Diseño 2.2 Requerimientos de Seguridad
2. Diseño 2.3 Arquitectura de Seguridad
3. Implementación
3. Implementación La implementación se centra en los procesos y actividades relacionados con la forma en que una organización construye e implementa componentes de software y sus defectos relacionados. Las actividades dentro de la función de Implementación tienen el mayor impacto en la vida diaria de los desarrolladores. El objetivo general es entregar software funcional y confiable con defectos mínimos. 3.Implementación 3.1 Construcción segura (build) 3.2 Implementación segura (deploy) 3.3 Gestión de defectos
3. Implementación 3.1 Construcción Segura (Secure Build)
Zzzzz….
3. Implementación OWASP Dependency Track https://owasp.org/www-project-dependency-track/ Dependency-Track is an intelligent Supply Chain Component Analysis platform that allows organizations to identify and reduce risk from the use of third-party and open source components. Dependency-Track takes a unique and highly beneficial approach by leveraging the capabilities of Software Bill-of- Materials (SBOM). This approach provides capabilities that traditional Software Composition Analysis (SCA) solutions cannot achieve.
3. Implementación OWASP Dependency Track https://owasp.org/www-project-dependency-track/
3. Implementación OWASP dependency-check-sonar-plugin https://github.com/stevespringett/dependency-check-sonar-plugin
3. Implementación OWASP dependency-check-jenkins-plugin https://plugins.jenkins.io/dependency-check-jenkins-plugin/
3. Implementación 3.2 Implementación Segura (Secure Deployment)
3. Implementación 3.3 Gestión de defectos
4. Verificación
4. Verificación La verificación se centra en los procesos y actividades relacionados con la forma en que una organización verifica y prueba los artefactos producidos durante el desarrollo del software. Esto generalmente incluye el trabajo de aseguramiento de la calidad, como las pruebas, pero también puede incluir otras actividades de revisión y evaluación. 4.Verificación 4.1 Evaluación de Arquitectura 3.2 Pruebas de requerimientos 3.3 Pruebas de seguridad (AST)
4. Verificación 4.1 Evaluación de Arquitectura
4. Verificación 4.2 Pruebas de requerimientos
4. Verificación OWASP ZAP https://www.zaproxy.org/
4. Verificación 4.3 Pruebas de seguridad (AST o Application Security Testing)
Ahora si! Hay más herramientas!
4. Verificación 4.3 Pruebas de Seguridad – Stream A Nivel 1: Ejecución de herramientas SAST y DAST Nivel 2: Customización de reglas, filtrado de falsos positivos y mucho cuidado con falta de detecciones. Nivel 3: Automatización de procesos, Dashboards de control, KPIs e integración de herramientas por ejemplo de ticketing
4. Verificación 4.3 Pruebas de Seguridad – Stream A
4. Verificación 4.3 Pruebas de Seguridad – Stream A
4. Verificación 4.3 Pruebas de Seguridad – Stream B Nivel 1: Revisión manual de vulnerabilidades con ayuda de SAST y DAST. “Las herramientas automatizadas son efectivas para encontrar varios tipos de vulnerabilidades, pero nunca pueden reemplazar la revisión manual de expertos.” Nivel 2: Ejecución de pentesting Black-box Nivel 3: low-friction automated tests integrated into development tools and build processes. Security champions and the central secure software group continuously review results from automated and manual security tests during development. Consider and implement security test correlation tools to automate the matching and merging of test results from dynamic, static, and interactive application scanners into one central dashboard, providing direct input towards Defect Management
5. Operaciones
5. Operaciones La función de operaciones abarca aquellas actividades necesarias para garantizar que se mantenga la confidencialidad, la integridad y la disponibilidad durante toda la vida operativa de una aplicación y sus datos asociados. El aumento de la madurez con respecto a esta función comercial proporciona una mayor seguridad de que la organización es resistente a las interrupciones operativas y responde a los cambios en el ambiente. 5.Operaciones 3.1 Gestión de Incidentes 3.2 Gestión del ambiente 3.3 Gestión de Operaciones
5. Operaciones 5.1 Gestión de Incidentes
5. Operaciones 5.2 Gestión del ambiente
5. Operaciones 5.3 Gestión de Operaciones
OWASP SAMM TOOLKIT
SAMM TOOLKIT https://github.com/OWASP/samm/tree/master/Supporting%20Resources/v2.0/toolbox
SAMM TOOLKIT https://github.com/OWASP/samm/tree/master/Supporting%20Resources/v2.0/toolbox
¡MUCHAS GRACIAS! Implementando OWASP SAMM en Latinoamérica Mateo Martínez mateo.Martinez@owasp.org
Implementando owasp samm en latam

Recomendados

DevSecOps and the CI/CD Pipeline
DevSecOps and the CI/CD Pipeline DevSecOps and the CI/CD Pipeline
DevSecOps and the CI/CD Pipeline
James Wickett
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities
Mohammed A. Imran
 
DevSecOps: What Why and How : Blackhat 2019
DevSecOps: What Why and How : Blackhat 2019DevSecOps: What Why and How : Blackhat 2019
DevSecOps: What Why and How : Blackhat 2019
NotSoSecure Global Services
 
DevSecOps What Why and How
DevSecOps What Why and HowDevSecOps What Why and How
DevSecOps What Why and How
NotSoSecure Global Services
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1
Mohammed A. Imran
 
Demystifying DevSecOps
Demystifying DevSecOpsDemystifying DevSecOps
Demystifying DevSecOps
Archana Joshi
 
DevSecOps Beginners Guide : How to secure process in DevOps with OpenSource
DevSecOps Beginners Guide : How to secure process in DevOps with OpenSourceDevSecOps Beginners Guide : How to secure process in DevOps with OpenSource
DevSecOps Beginners Guide : How to secure process in DevOps with OpenSource
DevOps Indonesia
 
DevSecOps 101
DevSecOps 101DevSecOps 101
DevSecOps 101
Narudom Roongsiriwong, CISSP
 

Recomendados

DevSecOps and the CI/CD Pipeline
DevSecOps and the CI/CD Pipeline DevSecOps and the CI/CD Pipeline
DevSecOps and the CI/CD Pipeline
James Wickett
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities
Mohammed A. Imran
 
DevSecOps: What Why and How : Blackhat 2019
DevSecOps: What Why and How : Blackhat 2019DevSecOps: What Why and How : Blackhat 2019
DevSecOps: What Why and How : Blackhat 2019
NotSoSecure Global Services
 
DevSecOps What Why and How
DevSecOps What Why and HowDevSecOps What Why and How
DevSecOps What Why and How
NotSoSecure Global Services
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1
Mohammed A. Imran
 
Demystifying DevSecOps
Demystifying DevSecOpsDemystifying DevSecOps
Demystifying DevSecOps
Archana Joshi
 
DevSecOps Beginners Guide : How to secure process in DevOps with OpenSource
DevSecOps Beginners Guide : How to secure process in DevOps with OpenSourceDevSecOps Beginners Guide : How to secure process in DevOps with OpenSource
DevSecOps Beginners Guide : How to secure process in DevOps with OpenSource
DevOps Indonesia
 
DevSecOps 101
DevSecOps 101DevSecOps 101
DevSecOps 101
Narudom Roongsiriwong, CISSP
 
DevSecOps
DevSecOpsDevSecOps
DevSecOps
Cheah Eng Soon
 
OWASP - Dependency Check
OWASP - Dependency CheckOWASP - Dependency Check
OWASP - Dependency Check
Vandana Verma
 
The State of DevSecOps
The State of DevSecOpsThe State of DevSecOps
The State of DevSecOps
DevOps Indonesia
 
Integración Continua
Integración ContinuaIntegración Continua
Integración Continua
Jose Patricio Bovet Derpich
 
Benefits of DevSecOps
Benefits of DevSecOpsBenefits of DevSecOps
Benefits of DevSecOps
Finto Thomas , CISSP, TOGAF, CCSP, ITIL. JNCIS
 
DevOps Introduction
DevOps IntroductionDevOps Introduction
DevOps Introduction
Robert Sell
 
DevSecOps - The big picture
DevSecOps - The big pictureDevSecOps - The big picture
DevSecOps - The big picture
Stefan Streichsbier
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
Luciano Moreira da Cruz
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation Journey
DevOps Indonesia
 
How to Get Started with DevSecOps
How to Get Started with DevSecOpsHow to Get Started with DevSecOps
How to Get Started with DevSecOps
CYBRIC
 
What is Jenkins | Jenkins Tutorial for Beginners | Edureka
What is Jenkins | Jenkins Tutorial for Beginners | EdurekaWhat is Jenkins | Jenkins Tutorial for Beginners | Edureka
What is Jenkins | Jenkins Tutorial for Beginners | Edureka
Edureka!
 
DevSecOps in Baby Steps
DevSecOps in Baby StepsDevSecOps in Baby Steps
DevSecOps in Baby Steps
Priyanka Aash
 
DEVSECOPS.pptx
DEVSECOPS.pptxDEVSECOPS.pptx
DEVSECOPS.pptx
MohammadSaif904342
 
OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!
Matt Tesauro
 
DevSecOps | DevOps Sec
DevSecOps | DevOps SecDevSecOps | DevOps Sec
DevSecOps | DevOps Sec
Rubal Jain
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOps
abhimanyubhogwan
 
Agile Manifesto and Principles
Agile Manifesto and PrinciplesAgile Manifesto and Principles
Agile Manifesto and Principles
Aryan Rajbhandari
 
Keep CALMS and DevSecOps
Keep CALMS and DevSecOps Keep CALMS and DevSecOps
Keep CALMS and DevSecOps
Luciano Moreira da Cruz
 
Release Management
Release Management Release Management
Release Management
Vyom Labs
 
DevSecOps
DevSecOpsDevSecOps
DevSecOps
Joel Divekar
 
(Inmer)La Ingenieria de Software
(Inmer)La Ingenieria de Software(Inmer)La Ingenieria de Software
(Inmer)La Ingenieria de Software
Inmer Alexai Flores Rodriguez
 
Desarrollo de software
Desarrollo de softwareDesarrollo de software
Desarrollo de software
Miguel Ángel Cortés
 

Más contenido relacionado

La actualidad más candente

Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
Luciano Moreira da Cruz
 
What is Jenkins | Jenkins Tutorial for Beginners | Edureka
What is Jenkins | Jenkins Tutorial for Beginners | EdurekaWhat is Jenkins | Jenkins Tutorial for Beginners | Edureka
What is Jenkins | Jenkins Tutorial for Beginners | Edureka
Edureka!
 
Keep CALMS and DevSecOps
Keep CALMS and DevSecOps Keep CALMS and DevSecOps
Keep CALMS and DevSecOps
Luciano Moreira da Cruz
 

La actualidad más candente (20)

DevSecOps
DevSecOpsDevSecOps
DevSecOps
 
OWASP - Dependency Check
OWASP - Dependency CheckOWASP - Dependency Check
OWASP - Dependency Check
 
The State of DevSecOps
The State of DevSecOpsThe State of DevSecOps
The State of DevSecOps
 
Integración Continua
Integración ContinuaIntegración Continua
Integración Continua
 
Benefits of DevSecOps
Benefits of DevSecOpsBenefits of DevSecOps
Benefits of DevSecOps
 
DevOps Introduction
DevOps IntroductionDevOps Introduction
DevOps Introduction
 
DevSecOps - The big picture
DevSecOps - The big pictureDevSecOps - The big picture
DevSecOps - The big picture
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation Journey
 
How to Get Started with DevSecOps
How to Get Started with DevSecOpsHow to Get Started with DevSecOps
How to Get Started with DevSecOps
 
What is Jenkins | Jenkins Tutorial for Beginners | Edureka
What is Jenkins | Jenkins Tutorial for Beginners | EdurekaWhat is Jenkins | Jenkins Tutorial for Beginners | Edureka
What is Jenkins | Jenkins Tutorial for Beginners | Edureka
 
DevSecOps in Baby Steps
DevSecOps in Baby StepsDevSecOps in Baby Steps
DevSecOps in Baby Steps
 
DEVSECOPS.pptx
DEVSECOPS.pptxDEVSECOPS.pptx
DEVSECOPS.pptx
 
OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!
 
DevSecOps | DevOps Sec
DevSecOps | DevOps SecDevSecOps | DevOps Sec
DevSecOps | DevOps Sec
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOps
 
Agile Manifesto and Principles
Agile Manifesto and PrinciplesAgile Manifesto and Principles
Agile Manifesto and Principles
 
Keep CALMS and DevSecOps
Keep CALMS and DevSecOps Keep CALMS and DevSecOps
Keep CALMS and DevSecOps
 
Release Management
Release Management Release Management
Release Management
 
DevSecOps
DevSecOpsDevSecOps
DevSecOps
 

Similar a Implementando owasp samm en latam

Modelo de cascadaa
Modelo de cascadaaModelo de cascadaa
Modelo de cascadaa
mendez45
 
Metodología de desarrollo de software
Metodología de desarrollo de softwareMetodología de desarrollo de software
Metodología de desarrollo de software
Abner Garcia
 
1 ingeniería de software
1 ingeniería de software1 ingeniería de software
1 ingeniería de software
UVM
 
Carrera de informatica_educativa
Carrera de informatica_educativaCarrera de informatica_educativa
Carrera de informatica_educativa
Diego Sinche
 
Desarrollo de sistemas
Desarrollo de sistemasDesarrollo de sistemas
Desarrollo de sistemas
Hermes Romero
 

Similar a Implementando owasp samm en latam (20)

(Inmer)La Ingenieria de Software
(Inmer)La Ingenieria de Software(Inmer)La Ingenieria de Software
(Inmer)La Ingenieria de Software
 
Desarrollo de software
Desarrollo de softwareDesarrollo de software
Desarrollo de software
 
García _Herrera_Victor_Eduardo_S9.pptx
García _Herrera_Victor_Eduardo_S9.pptxGarcía _Herrera_Victor_Eduardo_S9.pptx
García _Herrera_Victor_Eduardo_S9.pptx
 
Modelo de cascadaa
Modelo de cascadaaModelo de cascadaa
Modelo de cascadaa
 
Metodología de desarrollo de software
Metodología de desarrollo de softwareMetodología de desarrollo de software
Metodología de desarrollo de software
 
Proceso y diseño de un software
Proceso y diseño de un softwareProceso y diseño de un software
Proceso y diseño de un software
 
Proceso y diseño de un software
Proceso y diseño de un softwareProceso y diseño de un software
Proceso y diseño de un software
 
Proceso y diseño de un software
Proceso y diseño de un softwareProceso y diseño de un software
Proceso y diseño de un software
 
Proceso y diseño de un software
Proceso y diseño de un softwareProceso y diseño de un software
Proceso y diseño de un software
 
Ingenieria en software
Ingenieria en softwareIngenieria en software
Ingenieria en software
 
Investigación de modelos
Investigación de modelos Investigación de modelos
Investigación de modelos
 
Modelos de Ing de soft
Modelos de Ing de softModelos de Ing de soft
Modelos de Ing de soft
 
1 ingeniería de software
1 ingeniería de software1 ingeniería de software
1 ingeniería de software
 
Carrera de informatica_educativa
Carrera de informatica_educativaCarrera de informatica_educativa
Carrera de informatica_educativa
 
Modelo de procesos
Modelo de procesosModelo de procesos
Modelo de procesos
 
Proceso del software (Metodos Agiles)
Proceso del software (Metodos Agiles)Proceso del software (Metodos Agiles)
Proceso del software (Metodos Agiles)
 
Proceso del software
Proceso del softwareProceso del software
Proceso del software
 
Proceso del Software
Proceso del Software Proceso del Software
Proceso del Software
 
Modelos del software
Modelos del softwareModelos del software
Modelos del software
 
Desarrollo de sistemas
Desarrollo de sistemasDesarrollo de sistemas
Desarrollo de sistemas
 

Más de Mateo Martinez

DragonJar security conference 2016 - Atacando Ondas Neuronales
DragonJar security conference 2016 - Atacando Ondas NeuronalesDragonJar security conference 2016 - Atacando Ondas Neuronales
DragonJar security conference 2016 - Atacando Ondas Neuronales
Mateo Martinez
 

Más de Mateo Martinez (10)

Those beauty medium-risk vulns to be exploited
Those beauty medium-risk vulns to be exploitedThose beauty medium-risk vulns to be exploited
Those beauty medium-risk vulns to be exploited
 
Six Thinking Hats in Cybersecurity (Neurohacking 2020) By Mateo Martinez
Six Thinking Hats in Cybersecurity (Neurohacking 2020) By Mateo MartinezSix Thinking Hats in Cybersecurity (Neurohacking 2020) By Mateo Martinez
Six Thinking Hats in Cybersecurity (Neurohacking 2020) By Mateo Martinez
 
Ciberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasCiberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - Hidroeléctricas
 
Ciberataques a nivel global ¿Cómo detenerlos?
Ciberataques a nivel global ¿Cómo detenerlos?Ciberataques a nivel global ¿Cómo detenerlos?
Ciberataques a nivel global ¿Cómo detenerlos?
 
SHA-1 de 0 a #fail - Andsec 2017 - Mateo Martinez
SHA-1 de 0 a #fail - Andsec 2017 - Mateo MartinezSHA-1 de 0 a #fail - Andsec 2017 - Mateo Martinez
SHA-1 de 0 a #fail - Andsec 2017 - Mateo Martinez
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
 
The security officer role in virtual environments - (ISC)2 LATAM CONGRESS 2016
The security officer role in virtual environments - (ISC)2 LATAM CONGRESS 2016The security officer role in virtual environments - (ISC)2 LATAM CONGRESS 2016
The security officer role in virtual environments - (ISC)2 LATAM CONGRESS 2016
 
Segurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoaméricaSegurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoamérica
 
Open source tools for Incident Response bogota 2016
Open source tools for Incident Response bogota 2016Open source tools for Incident Response bogota 2016
Open source tools for Incident Response bogota 2016
 
DragonJar security conference 2016 - Atacando Ondas Neuronales
DragonJar security conference 2016 - Atacando Ondas NeuronalesDragonJar security conference 2016 - Atacando Ondas Neuronales
DragonJar security conference 2016 - Atacando Ondas Neuronales
 

Último

Último (10)

Los desafíos de calidad de software que nos trae la IA y los LLMs
Los desafíos de calidad de software que nos trae la IA y los LLMsLos desafíos de calidad de software que nos trae la IA y los LLMs
Los desafíos de calidad de software que nos trae la IA y los LLMs
 
Virus informático (tipos y opciones para prevenir)
Virus informático (tipos y opciones para prevenir)Virus informático (tipos y opciones para prevenir)
Virus informático (tipos y opciones para prevenir)
 
Documento colaborativo. Solución del caso GA1-240201526-AA6-EV01.pdf
Documento colaborativo. Solución del caso GA1-240201526-AA6-EV01.pdfDocumento colaborativo. Solución del caso GA1-240201526-AA6-EV01.pdf
Documento colaborativo. Solución del caso GA1-240201526-AA6-EV01.pdf
 
trabajo integrador final sofi y vane.docx
trabajo integrador final sofi y vane.docxtrabajo integrador final sofi y vane.docx
trabajo integrador final sofi y vane.docx
 
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
 
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORDFICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
 
infografia del sena para analisis y desarrollo de software
infografia del sena para analisis y desarrollo de softwareinfografia del sena para analisis y desarrollo de software
infografia del sena para analisis y desarrollo de software
 
Escaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipoEscaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipo
 
MODULO BASICO DE WORD - I CICLO.DOC.DOC.
MODULO BASICO DE WORD - I CICLO.DOC.DOC.MODULO BASICO DE WORD - I CICLO.DOC.DOC.
MODULO BASICO DE WORD - I CICLO.DOC.DOC.
 
Maquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdfMaquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdf
 

Implementando owasp samm en latam

  • 1.
  • 2. Implementando OWASP SAMM en Latinoamérica Mateo Martínez mateo.Martinez@owasp.org
  • 3. El modelo original OpenSAMM 1.0 fue escrito por Pravir Chandra y data de 2009. Durante los últimos 10 años, ha demostrado ser un modelo ampliamente distribuido y efectivo para mejorar las prácticas de software seguro en diferentes tipos de organizaciones. . v1 El nuevo modelo SAMM admite el desarrollo en cascada, iterativo, ágil y DevOps. El modelo es lo suficientemente flexible como para permitir a las organizaciones tomar un camino basado en su tolerancia al riesgo y la forma en que construyen y usan el software. v2 https://owaspsamm.org/
  • 5. No se ve nada …
  • 6. OWASP SAMM v1 (y 1.5) https://owasp.org/www-pdf-archive/SAMM_Core_V1-5_FINAL.pdf
  • 8. El modelo de la versión 2.0 ahora admite actualizaciones frecuentes a través de pequeños cambios incrementales en partes específicas del modelo con actualizaciones periódicas de explicaciones, herramientas y orientación por parte de la comunidad. Actualizaciones Frecuentes:
  • 9. Algunos cambios importantes : § Construcción ahora se ha transformado en diseño § Se incorpora una nueva función de negocio: implementación § Función comercial rediseñada: verificación § Nueva práctica de seguridad: gestión operativa § La habilitación operativa ya no existe y otras prácticas absorbieron sus actividades. § Las actividades ahora se ordenan en flujos lógicos en cada una de las 15 prácticas de seguridad divididas en dos flujos, que alinean y vinculan las actividades en la práctica en los diferentes niveles de madurez.
  • 10.
  • 11.
  • 12.
  • 13.
  • 16. El enfoque típico: OWASP SAMM posee un modelo adecuado para apoyar la mejora continua, en cuyo caso el ciclo se ejecuta continuamente, generalmente en períodos de 3 a 12 meses. Preparación y análisis de contexto Evaluación frente al modelo Establecer objetivos Planificar la implementación Roll-out o puesta en marcha
  • 17. OWASP SAMM v2 El nuevo SAMM v2 consta de los siguientes componentes: § El resumen ejecutivo y la introducción del modelo SAMM § Una guía de rápida con los pasos para mejorar su práctica de software seguro § Una caja de herramientas para SAMM actualizada para realizar evaluaciones y crear hojas de ruta § Una nueva iniciativa de SAMM para comparar su madurez y progreso con otras organizaciones y equipos similares (benchmarking)
  • 19. 1. Gobierno El gobierno se centra en los procesos y actividades relacionados con la forma en que una organización gestiona las actividades generales de desarrollo de software. Más específicamente, esto incluye preocupaciones que afectan a los grupos interfuncionales involucrados en el desarrollo, así como a los procesos comerciales establecidos a nivel de organización. 1.Gobierno 1.1 Estrategia y Métricas 1.2 Políticas y Cumplimiento 1.3 Educación y Líneamientos
  • 20. 1. Gobierno 1.1 Estrategia y Métricas 1.Gobierno 1.1 Estrategia y Métricas 1.2 Políticas y Cumplimiento 1.3 Educación y Líneamientos
  • 21. § Nivel 1 es la implementación inicial § Nivel 2 es una implementación estructurada § Nivel 3 es una operación optimizada. 3 Niveles de Madurez:
  • 28. ¿viene algo más técnico?
  • 29. No, seguimos un poco más con Gobierno J
  • 30. 1. Gobierno 1.2 Políticas y Cumplimiento 1.Gobierno 1.1 Estrategia y Métricas 1.2 Políticas y Cumplimiento 1.3 Educación y Líneamientos
  • 31. 1. Gobierno 1.2 Políticas y Cumplimiento
  • 32. 1. Gobierno 1.3 Educación y Lineamientos 1.Gobierno 1.1 Estrategia y Métricas 1.2 Políticas y Cumplimiento 1.3 Educación y Líneamientos
  • 33. 1. Gobierno 1.3 Educación y Lineamientos
  • 35. 2. Diseño El diseño se refiere a los procesos y actividades relacionadas con la forma en que una organización define objetivos y crea software dentro de proyectos de desarrollo. En general, esto incluirá la recopilación de requisitos, la especificación de arquitectura de alto nivel y el diseño detallado. 2.Diseño 2.1 Modelado de Amenazas 2.2 Requerimientos de Seguridad 2.3 Arquitectura de Seguridad
  • 36. 2. Diseño 2.1 Modelado de Amenazas
  • 37. 2. Diseño 2.1 Modelado de Amenazas En el nivel de madurez 1, realiza un modelado de amenazas ad-hoc para aplicaciones de alto riesgo y utiliza listas de verificación de amenazas simples, como STRIDE. • S - Spoofing • T - Tampering • R - Repudiation • I - Integrity • D - Denial of Service • E – Elevation of privileges
  • 38. 2. Diseño 2.1 Modelado de Amenazas En el Nivel 2, la metodología de modelado de amenazas incluye al menos: • Diagramas • identificación de amenazas • mitigaciones de fallas de diseño • cómo validar los artefactos del modelo de amenaza. Descubre amenazas a su aplicación con listas de verificación, como STRIDE o más amenazas específicas de la organización.
  • 39. 2. Diseño 2.1 Modelado de Amenazas En el Nivel 3, el modelado de amenazas está integrado en su SDLC y se ha convertido en parte de la cultura de seguridad del desarrollador. Los patrones de riesgo reutilizables, que comprenden bibliotecas de amenazas relacionadas, fallas de diseño y mitigaciones de seguridad, se crean y mejoran, según los modelos de amenazas de la organización. Regularmente (por ejemplo, anualmente) revisa los modelos de amenazas existentes para verificar que no haya nuevas amenazas relevantes para sus aplicaciones. Automatiza partes de su proceso de modelado de amenazas con herramientas de modelado de amenazas. Integre sus herramientas de modelado de amenazas con otras herramientas de seguridad, como herramientas de verificación de seguridad y herramientas de seguimiento de riesgos.
  • 41. 2. Diseño OWASP Threat Dragon https://threatdragon.org/
  • 42. 2. Diseño OWASP Threat Dragon https://threatdragon.org/
  • 43. 2. Diseño OWASP Threat Dragon https://threatdragon.org/
  • 47. 3. Implementación La implementación se centra en los procesos y actividades relacionados con la forma en que una organización construye e implementa componentes de software y sus defectos relacionados. Las actividades dentro de la función de Implementación tienen el mayor impacto en la vida diaria de los desarrolladores. El objetivo general es entregar software funcional y confiable con defectos mínimos. 3.Implementación 3.1 Construcción segura (build) 3.2 Implementación segura (deploy) 3.3 Gestión de defectos
  • 48. 3. Implementación 3.1 Construcción Segura (Secure Build)
  • 50. 3. Implementación OWASP Dependency Track https://owasp.org/www-project-dependency-track/ Dependency-Track is an intelligent Supply Chain Component Analysis platform that allows organizations to identify and reduce risk from the use of third-party and open source components. Dependency-Track takes a unique and highly beneficial approach by leveraging the capabilities of Software Bill-of- Materials (SBOM). This approach provides capabilities that traditional Software Composition Analysis (SCA) solutions cannot achieve.
  • 51. 3. Implementación OWASP Dependency Track https://owasp.org/www-project-dependency-track/
  • 54. 3. Implementación 3.2 Implementación Segura (Secure Deployment)
  • 57. 4. Verificación La verificación se centra en los procesos y actividades relacionados con la forma en que una organización verifica y prueba los artefactos producidos durante el desarrollo del software. Esto generalmente incluye el trabajo de aseguramiento de la calidad, como las pruebas, pero también puede incluir otras actividades de revisión y evaluación. 4.Verificación 4.1 Evaluación de Arquitectura 3.2 Pruebas de requerimientos 3.3 Pruebas de seguridad (AST)
  • 59. 4. Verificación 4.2 Pruebas de requerimientos
  • 61. 4. Verificación 4.3 Pruebas de seguridad (AST o Application Security Testing)
  • 62. Ahora si! Hay más herramientas!
  • 63. 4. Verificación 4.3 Pruebas de Seguridad – Stream A Nivel 1: Ejecución de herramientas SAST y DAST Nivel 2: Customización de reglas, filtrado de falsos positivos y mucho cuidado con falta de detecciones. Nivel 3: Automatización de procesos, Dashboards de control, KPIs e integración de herramientas por ejemplo de ticketing
  • 64. 4. Verificación 4.3 Pruebas de Seguridad – Stream A
  • 65. 4. Verificación 4.3 Pruebas de Seguridad – Stream A
  • 66. 4. Verificación 4.3 Pruebas de Seguridad – Stream B Nivel 1: Revisión manual de vulnerabilidades con ayuda de SAST y DAST. “Las herramientas automatizadas son efectivas para encontrar varios tipos de vulnerabilidades, pero nunca pueden reemplazar la revisión manual de expertos.” Nivel 2: Ejecución de pentesting Black-box Nivel 3: low-friction automated tests integrated into development tools and build processes. Security champions and the central secure software group continuously review results from automated and manual security tests during development. Consider and implement security test correlation tools to automate the matching and merging of test results from dynamic, static, and interactive application scanners into one central dashboard, providing direct input towards Defect Management
  • 68. 5. Operaciones La función de operaciones abarca aquellas actividades necesarias para garantizar que se mantenga la confidencialidad, la integridad y la disponibilidad durante toda la vida operativa de una aplicación y sus datos asociados. El aumento de la madurez con respecto a esta función comercial proporciona una mayor seguridad de que la organización es resistente a las interrupciones operativas y responde a los cambios en el ambiente. 5.Operaciones 3.1 Gestión de Incidentes 3.2 Gestión del ambiente 3.3 Gestión de Operaciones
  • 71. 5. Operaciones 5.3 Gestión de Operaciones
  • 75. ¡MUCHAS GRACIAS! Implementando OWASP SAMM en Latinoamérica Mateo Martínez mateo.Martinez@owasp.org