La experiencia que la mayoría de la comunidad ágil tiene con la seguridad es la de que entran los últimos con posibilidad de retrasar el despliegue continuo. Esto debe cambiar, en esta charla comentaré la experiencia que hemos tenido en los equipos de desarrollo de i4s (dedicada a crear productos de seguridad para una gran entidad financiera) en la integración de historias de seguridad desde los primeros sprints. Esta aproximación se ha hecho a través de BDD para que también permitan a los equipos de desarrollo entender la necesidad de realizar desarrollos seguros. La creación de estas historias de seguridad se ha hecho desde la experiencia que tenemos como empresa de seguridad y de software y siguiendo estándares como el OWASP
En Málaga o en Nueva York: Cómo ‘hackear’ tu carrera en ciberseguridadIsmael Valenzuela
Si hace 20 años, cuando trabajaba como desarrollador web para una pequeña ‘.com’ en Málaga, me hubiesen dicho que tendría la oportunidad de diseñar, construir y gestionar el programa de ciberseguridad de la red hospitalaria de la ciudad de Nueva York, el de un Banco en Dubai o el de una empresa de software con sede en Sydney, presentar mis proyectos en BlackHat, diseñar productos de seguridad para McAfee, liderar iniciativas de seguridad en Intel y formar a profesionales de Microsoft, Amazon, NASA o FBI, ¿qué crees que habría pensado? Obviamente… ¡que era imposible!
Pero, ¿no es en eso en lo que consiste la filosofía ‘hacker’? Hacer posible, lo imposible. Y todo empieza por ‘hackearte’ a ti mismo, crear tus oportunidades y sacar el máximo provecho de aquellas que se presentan. ¿Quieres saber cómo? En esta sesión compartiré recomendaciones y experiencias útiles, tanto para aquellos que quieren desarrollar su carrera en ciberseguridad, como aquellos que quieren impulsarla y desarrollar todo su potencial.
Quick Heal Technologies: Cura la seguridad del Internet al protege sus computadoras portátiles y tableros del escritorio y proporciona la protección contra todas las clases de Internet o de amenazas red-basadas. Tras la instalación, que actúa como un escudo contra los virus, gusanos, troyanos, spyware y otras amenazas maliciosas. También proporciona seguridad contra amenazas nuevas y desconocidas con tecnología Quick Heal renombrado DNAScan. Su mejor Anti-Phishing característica asegura que no aterrizan en los sitios de phishing mientras navega por la red. El Control Parental permite programar el acceso a Internet para sus hijos y su pre-configurada de navegación restringida asegura que los niños no visitan sitios para adultos. Utiliza recursos mínimos del sistema, dando así una protección completa para su sistema sin ralentizarlo.
SecDevOps - La seguridad en el desarrolloGlobe Testing
En esta presentación Globe Testing explica el modelo SecDevOps y los retos que existen para implementarlo. En base a nuestra experiencia en clientes, ofrecemos una visión de como la seguridad y la calidad deben ir de la mano, y los SDET deben aportar mucho en lo que a seguridad se refiere.
DevSecOps ya no es una estrategia de nicho que pasa a segundo plano en DevOps, ahora es un movimiento de masas.
El año 2020 ha estado marcado por el rápido progreso de los paradigmas de DevOps transformadores, tales como: codesarrollo en comunidades globales, agnosticismo de plataforma, computación sin servidor, infraestructura como código, espacio de trabajo de extremo a extremo con experiencia unificada en todo el software. ciclo vital. Esa transformación de DevOps ha ofrecido una oportunidad única para la seguridad de las aplicaciones. Por primera vez en una década, es realista crear e integrar seguridad en un DevOps completo, convirtiéndolo así en DevSecOps. La ausencia de DevOps unificado, junto con la ausencia de herramientas nativas, fue un obstáculo para Sec. Ahora, el obstáculo se ha ido. DevOps ha dado un paso crítico hacia DevSecOps, que comenzó a ofrecer sus propias tecnologías de seguridad de aplicaciones.
En Málaga o en Nueva York: Cómo ‘hackear’ tu carrera en ciberseguridadIsmael Valenzuela
Si hace 20 años, cuando trabajaba como desarrollador web para una pequeña ‘.com’ en Málaga, me hubiesen dicho que tendría la oportunidad de diseñar, construir y gestionar el programa de ciberseguridad de la red hospitalaria de la ciudad de Nueva York, el de un Banco en Dubai o el de una empresa de software con sede en Sydney, presentar mis proyectos en BlackHat, diseñar productos de seguridad para McAfee, liderar iniciativas de seguridad en Intel y formar a profesionales de Microsoft, Amazon, NASA o FBI, ¿qué crees que habría pensado? Obviamente… ¡que era imposible!
Pero, ¿no es en eso en lo que consiste la filosofía ‘hacker’? Hacer posible, lo imposible. Y todo empieza por ‘hackearte’ a ti mismo, crear tus oportunidades y sacar el máximo provecho de aquellas que se presentan. ¿Quieres saber cómo? En esta sesión compartiré recomendaciones y experiencias útiles, tanto para aquellos que quieren desarrollar su carrera en ciberseguridad, como aquellos que quieren impulsarla y desarrollar todo su potencial.
Quick Heal Technologies: Cura la seguridad del Internet al protege sus computadoras portátiles y tableros del escritorio y proporciona la protección contra todas las clases de Internet o de amenazas red-basadas. Tras la instalación, que actúa como un escudo contra los virus, gusanos, troyanos, spyware y otras amenazas maliciosas. También proporciona seguridad contra amenazas nuevas y desconocidas con tecnología Quick Heal renombrado DNAScan. Su mejor Anti-Phishing característica asegura que no aterrizan en los sitios de phishing mientras navega por la red. El Control Parental permite programar el acceso a Internet para sus hijos y su pre-configurada de navegación restringida asegura que los niños no visitan sitios para adultos. Utiliza recursos mínimos del sistema, dando así una protección completa para su sistema sin ralentizarlo.
SecDevOps - La seguridad en el desarrolloGlobe Testing
En esta presentación Globe Testing explica el modelo SecDevOps y los retos que existen para implementarlo. En base a nuestra experiencia en clientes, ofrecemos una visión de como la seguridad y la calidad deben ir de la mano, y los SDET deben aportar mucho en lo que a seguridad se refiere.
DevSecOps ya no es una estrategia de nicho que pasa a segundo plano en DevOps, ahora es un movimiento de masas.
El año 2020 ha estado marcado por el rápido progreso de los paradigmas de DevOps transformadores, tales como: codesarrollo en comunidades globales, agnosticismo de plataforma, computación sin servidor, infraestructura como código, espacio de trabajo de extremo a extremo con experiencia unificada en todo el software. ciclo vital. Esa transformación de DevOps ha ofrecido una oportunidad única para la seguridad de las aplicaciones. Por primera vez en una década, es realista crear e integrar seguridad en un DevOps completo, convirtiéndolo así en DevSecOps. La ausencia de DevOps unificado, junto con la ausencia de herramientas nativas, fue un obstáculo para Sec. Ahora, el obstáculo se ha ido. DevOps ha dado un paso crítico hacia DevSecOps, que comenzó a ofrecer sus propias tecnologías de seguridad de aplicaciones.
Muchas vulnerabilidades en software provienen de la ignorancia de los desarrolladores en conceptos de seguridad. En esta presentación revisamos los principales indicadores de esta ignorancia y cómo afectan al software y sus usuarios.
Presentación para B-Sides Chile 2015.
Las practicas de despliega continua (CD) y DevOps están revolucionando el proceso de desarrollo y de negocio. Las practicas de seguridad, y sobre todo las pruebas de seguridad tendrán que adaptarse a este nuevo mundo.
Durante este charla propongo unos métodos para automatizar las pruebas de seguridad para que encajan en un proceso de despliega continua sin interrumpir el proceso. El formato incluirá los siguientes asuntos:
1. Introduccion breve a DevOps y Despliega Continua
2. Los retos para automatizar pruebas de seguridad
3. El marco de pruebas BDD-Security en tres pasos
4. Integracion con Jenkins
Las infraestructuras y los servicios críticos afrontan un gran reto en materia de ciberseguridad, por ello pensar en su protección requiere el rediseño de métodos técnicos y principalmente de gestión, para una administración segura en nuestro nuevo mundo cibernético y sus amenazas. Transporte, energía, salud, telecomunicaciones son algunas de las infraestructuras críticas altamente susceptibles a los ciberataques, que principalmente se ven amenazadas por las nuevas problemáticas que nos depara la innovación en la Industria 4.0.
Las prácticas de integración continua e implementación/entrega continua (CI/CD) y DevOps ya están establecidas, no solo como buenas costumbres en todas las empresas, sino también como un diferencial clave a la hora de marcar una diferencia con nuestra competencia. En esta charla, veremos una breve introducción y las novedades de estas prácticas con foco en las herramientas que nos brinda Google Cloud.
Charla impartida por Héctor Sánchez Montenegro el día 27 de Octubre de 2008 en Getafe (Madrid), dentro de la conferencia Asegúr@IT IV sobre los avances y preocupaciones de Microsoft en temas de seguridad informática.
En la última parte de esta trilogía desmitificaremos la suposición de que las aplicaciones son inherentemente más seguras por el simple hecho de correr en contenedores sin agregar capas adicionales de seguridad y como esa afirmación es un concepto erróneo y muchas veces peligroso.
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
=> Agenda:
-> Introducción al Sistema de Detección de Intrusos SNORT.
-> Arquitectura de un IDS.
-> Escenarios de Monitoreo de Seguridad.
-> Pruebas de Conceptos.
-> Detección de Ataques por Backdoor > (Katana-Framework & Empire Bypass AV).
-> Detección de Ataques por SQLi > (Burp Suite & SQLiPy Scan & SQLMapper).
Actualmente, las compañías más innovadoras, tienen despliegues de software medido en términos de días, en vez de meses. Esta agilidad es permitida gracias al uso de Continuous Delivery, habilitando la automatización de procesos de Built, Test y Entrega de cambios de códigos, usando DevOps. Estas automatizaciones ayudan a identificar bugs mucho antes en el proceso, para así incrementar la productividad de los desarrolladores.
En este webinar, vamos a compartirles el proceso que los ingenieros de Amazon usan para la práctica de DevOps, también discutiremos cómo usted puede traer estos procesos a su compañía usando un nuevo grupo de herramientas disponibles en AWS (AWS CodeCommit, AWS CodePipeline and AWS CodeDeploy). Estos servicios fueron inspirados por las mismas herramientas internas y cultura de DevOps en Amazon.
Objetivo de aprendizaje:
- Aprender qué es Continuous Delivery, sus beneficios y cómo implementarlos.
- Aprender cómo aumentar la frecuencia y confiabilidad de las actualizaciones de su aplicación.
- Aprender a crear un flujo de despliegue de software automatizado en AWS.
- Entender los aspectos básicos de AWS CodePipeline y AWS CodeDeploy
Este curso diseñado para ayudar a los desarrolladores a realizar código de software seguro, utilizando SDL y OWASP 2013. Se analizan modelos de riesgo para analizar si el código es o no seguro. Si desea recibir este curso puede contactarse en www.puntonetsoluciones.com.ar.
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
Expositor: Pablo Alzuri
Resumen:
Desarrollar con una herramienta basada en modelos tiene varias ventajas. La generación de código a partir de una especificación, transfiere la responsabilidad de la codificación segura en el lenguaje de generación a la herramienta. Esto trae una pregunta… ¿GeneXus hace todo para que mi sistema sea seguro? ¿Tengo que preocuparme en algo?
En esta charla haré una breve introducción al OWASP Top Ten, y contaré qué hace la herramienta y qué aspectos tiene que tener en cuenta cada actor en la construcción del sistema, teniendo foco en las actividades de testing que forman parte del ciclo de desarrollo seguro.
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
#Webinar #CISObeat 06/12/2018
Puedes ver el video en nuestro canal de YouTube:
https://www.youtube.com/watch?v=id-i-6FgJJc
Ponente: José Antonio Gonzáles Jurado
Security Analyst, BSidesPE 2018 Speaker
Únete a la comunidad: https://tiny.cc/RegistroCISObeat
Muchas vulnerabilidades en software provienen de la ignorancia de los desarrolladores en conceptos de seguridad. En esta presentación revisamos los principales indicadores de esta ignorancia y cómo afectan al software y sus usuarios.
Presentación para B-Sides Chile 2015.
Las practicas de despliega continua (CD) y DevOps están revolucionando el proceso de desarrollo y de negocio. Las practicas de seguridad, y sobre todo las pruebas de seguridad tendrán que adaptarse a este nuevo mundo.
Durante este charla propongo unos métodos para automatizar las pruebas de seguridad para que encajan en un proceso de despliega continua sin interrumpir el proceso. El formato incluirá los siguientes asuntos:
1. Introduccion breve a DevOps y Despliega Continua
2. Los retos para automatizar pruebas de seguridad
3. El marco de pruebas BDD-Security en tres pasos
4. Integracion con Jenkins
Las infraestructuras y los servicios críticos afrontan un gran reto en materia de ciberseguridad, por ello pensar en su protección requiere el rediseño de métodos técnicos y principalmente de gestión, para una administración segura en nuestro nuevo mundo cibernético y sus amenazas. Transporte, energía, salud, telecomunicaciones son algunas de las infraestructuras críticas altamente susceptibles a los ciberataques, que principalmente se ven amenazadas por las nuevas problemáticas que nos depara la innovación en la Industria 4.0.
Las prácticas de integración continua e implementación/entrega continua (CI/CD) y DevOps ya están establecidas, no solo como buenas costumbres en todas las empresas, sino también como un diferencial clave a la hora de marcar una diferencia con nuestra competencia. En esta charla, veremos una breve introducción y las novedades de estas prácticas con foco en las herramientas que nos brinda Google Cloud.
Charla impartida por Héctor Sánchez Montenegro el día 27 de Octubre de 2008 en Getafe (Madrid), dentro de la conferencia Asegúr@IT IV sobre los avances y preocupaciones de Microsoft en temas de seguridad informática.
En la última parte de esta trilogía desmitificaremos la suposición de que las aplicaciones son inherentemente más seguras por el simple hecho de correr en contenedores sin agregar capas adicionales de seguridad y como esa afirmación es un concepto erróneo y muchas veces peligroso.
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
=> Agenda:
-> Introducción al Sistema de Detección de Intrusos SNORT.
-> Arquitectura de un IDS.
-> Escenarios de Monitoreo de Seguridad.
-> Pruebas de Conceptos.
-> Detección de Ataques por Backdoor > (Katana-Framework & Empire Bypass AV).
-> Detección de Ataques por SQLi > (Burp Suite & SQLiPy Scan & SQLMapper).
Actualmente, las compañías más innovadoras, tienen despliegues de software medido en términos de días, en vez de meses. Esta agilidad es permitida gracias al uso de Continuous Delivery, habilitando la automatización de procesos de Built, Test y Entrega de cambios de códigos, usando DevOps. Estas automatizaciones ayudan a identificar bugs mucho antes en el proceso, para así incrementar la productividad de los desarrolladores.
En este webinar, vamos a compartirles el proceso que los ingenieros de Amazon usan para la práctica de DevOps, también discutiremos cómo usted puede traer estos procesos a su compañía usando un nuevo grupo de herramientas disponibles en AWS (AWS CodeCommit, AWS CodePipeline and AWS CodeDeploy). Estos servicios fueron inspirados por las mismas herramientas internas y cultura de DevOps en Amazon.
Objetivo de aprendizaje:
- Aprender qué es Continuous Delivery, sus beneficios y cómo implementarlos.
- Aprender cómo aumentar la frecuencia y confiabilidad de las actualizaciones de su aplicación.
- Aprender a crear un flujo de despliegue de software automatizado en AWS.
- Entender los aspectos básicos de AWS CodePipeline y AWS CodeDeploy
Este curso diseñado para ayudar a los desarrolladores a realizar código de software seguro, utilizando SDL y OWASP 2013. Se analizan modelos de riesgo para analizar si el código es o no seguro. Si desea recibir este curso puede contactarse en www.puntonetsoluciones.com.ar.
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
Expositor: Pablo Alzuri
Resumen:
Desarrollar con una herramienta basada en modelos tiene varias ventajas. La generación de código a partir de una especificación, transfiere la responsabilidad de la codificación segura en el lenguaje de generación a la herramienta. Esto trae una pregunta… ¿GeneXus hace todo para que mi sistema sea seguro? ¿Tengo que preocuparme en algo?
En esta charla haré una breve introducción al OWASP Top Ten, y contaré qué hace la herramienta y qué aspectos tiene que tener en cuenta cada actor en la construcción del sistema, teniendo foco en las actividades de testing que forman parte del ciclo de desarrollo seguro.
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
#Webinar #CISObeat 06/12/2018
Puedes ver el video en nuestro canal de YouTube:
https://www.youtube.com/watch?v=id-i-6FgJJc
Ponente: José Antonio Gonzáles Jurado
Security Analyst, BSidesPE 2018 Speaker
Únete a la comunidad: https://tiny.cc/RegistroCISObeat
3. De dónde venimos? (Histórico)
Waterfall
3
Análisis
Diseño
Desarrollo
Testing
Implementación
Despliegue
Hacking
ético
Previsiones a X años vista
Añadimos X tiempo a la previsión fallida
4. De dónde venimos? (I4S)
Agile + Hacking ético
4
Análisis y diseño
Desarrollo
Testing
Implementación
Análisis y diseño
Desarrollo
Testing
Implementación
Análisis y diseño
Desarrollo
Testing
Implementación
Deploy
Deploy
Deploy
Iteración 1/Release 1
ESO NO ES
AGILE!!!!
Hacking
ético
Hacking
ético
TiempoIteración 2/Release 2 Iteración 3/Release 3
DÓNDE HE VISTO ESTO
ANTES?
5. A dónde vamos?
Agile con seguridad integrada
5
Deploy
Deploy
Deploy
Iteración 1 Iteración 2 Iteración N
Análisis y diseño
Desarrollo
Testing
Implementación
Análisis y diseño
Desarrollo
Testing
Implementación
Análisis y diseño
Desarrollo
Testing
Implementación
Desarrollo +
Seguridad
Desarrollo +
Seguridad
Desarrollo +
Seguridad
6. Cómo integrar la seguridad en el desarrollo? (I)
Agile con seguridad integrada (I4S)
6
Equipo
de
trabajo
scrum 1
Sec Dev
Ops
Escenario seguridad
Feature
Seguridad
Product Owner
Scrum
Feature 1
Feature 2
Feature 3
Feature n
Backlog Scrum
DoRDoD
7. Cómo integrar la seguridad en el desarrollo? (II)
Agile con seguridad integrada (Alternativa)
7
Product Owner
Scrum1
Product Owner
Scrum2
Product Owner
Seguridad
Feature 1
Feature 2
Feature
Seguridad 1
Feature n
Feature 1
Feature 2
Feature 3
Feature
Seguridad 1
Feature 1
Feature 2
…
Feature n
Equipo
de
trabajo
scrum 1
Equipo
de
trabajo
scrum 1
Equipo de
trabajo de
seguridad
Integración,
despliegue o entrega
continua.
Backlog Scrum 1 Backlog Scrum 2
Backlog
Seguridad
8. Cómo funciona BDD
Behaviour Driven Development
8
Historia de usuario
Gherkin -> .feature
Feature
@tag
Scenario
Given 1
When 2
Then 3
Traducción
Sacar todos los
comportamientos
esperados
STEPS -> .py
@given(‘1')
def step_impl(context):
assert False
@when(‘2')
def step_impl(context):
assert False
@then(‘3')
def step_impl(context):
assert False
~
TDD
+
Product Owner
UX
QA
Dev Team
….
9. Unión con varios estándares del MITRE como:
– CAPEC: Common Attack Pattern Enumeration and Classification
– CWE: Common Weakness Enumeration
– CVE: Common Vulnerabilities and Exposures
Historias de seguridad en BDD
Historias de seguridad desarrolladas en base a:
– OWASP
– SAFEcode
– Expertise propio
– Patrones de seguridad definidos
9
Tipos de historias:
– SQLi
– XSS
– HTTPfuzzing
– SSL/TLS configuration
– DoS
– Technical Compliance (VATS)
– …
13. Conclusiones
Cualquier dev team puede contar con las features de seguridad para
pasarlas desde el día 1.
Reaprovechamiento de escenarios ya desarrollados.
Seguridad no entra el último en el ciclo de desarrollo ágil.
Se reducen las vuelta atrás en el desarrollo por lo que realmente si se
desarrolla de manera ágil.
Automatización de un alto % de historias de seguridad porque las
vulnerabilidades son heredadas del software.
Equipos de hacking reducidos para issues específicos.
Comunidad para las features de seguridad en el future. (Our wish)
Otros frameworks: BDD Security (Irius Risk), Gauntlt, mittn (F-Secure).
13
Quién soy y Qué hago
Hablar de la trayectoria y de que hacemos productos de seguridad, tengo experiencia en productos similares (de la competencia) y creo que con eso, suficiente.
Comunidad “Agile Experiences”
Metodología clásica mala vuelta atrás
Anécdota de Project de VATS inicial a 2 años vista. Tras 3 años veo ese Project y se parece como un huevo a una castaña
En casa del herrero cuchillo de palo
En el agile “puro” cada deploy es a producción, en este caso el hacking puede hacer que esa iteración se pierda
En el agile donde los deploys a producción se hacen con las releases, te puede hacer que varias interaciones se pierdan
Suponiendo que se hiciera el deploy después de cada iteración a producción, cuando se realiza el hacking podría mandar atrás el desarrollo en cada iteración.
Agile hacking
BDD security integrado en los desarrollos
Proceso análisis inicial (C104 amenazas, riesgos, contramedidas…)
En el desarrollo historias abusivas de hacking
DoR Historias de usuario siempre tienen que estar en gherkin para poder empezar con BDD
DoD Punto en el cual se tienen que pasar todos los test de seguridad asociados a las historias
Hacer una explicación de la diferencia que hay entre hacer un desarrollo de un producto de seguridad y un producto seguro, cómo no hay necesariamente una relación entre los dos temas y cómo los perfiles necesarios (y los conocimientos) son distintos.
Reutilización de historias
Esquema desde historia de usuario a Gherkin (scenarios y tags) y como behave pasa los test
Prerequisitos: logueado en la herramienta, que la herramienta esté arriba, que tengas la base de datos cargada…
Ejemplo de gherkin con sus tags
Esquema desde historia de usuario a Gherkin (scenarios y tags) y como behave pasa los test
*Explicar flujo de trabajo entre PO y equipo de desarrollo con git
Docker con behave por scenario
Herramientas: Accunetix, Arachni…
Explicación archive configuración
Ejemplo login “básico”
(Ejemplo con tags)
(Ejemplo paralelización)
Ejemplo parámetro configuración para cualquier herramienta (cifrado con Chameleon)
Login con VATS
Explicación funcionamiento (Jenkins, archive configuracion, Behave, Selenium, herramientas seguridad…)