![Page 1: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/1.jpg)
https://cybercamp.es
Pruebas de Seguridad Continuas
para DevOps
Stephen de Vries
@stephendv
![Page 2: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/2.jpg)
Sobre mi
▪ CTO Continuum Security
▪ www.continuumsecurity.net
▪ 70% Programador / 30% Consultor
▪ 17 años en seguridad
▪ Contributor OWASP
2
![Page 3: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/3.jpg)
3
Pruebas de Seguridad
• Realizados después del desarrollo• Subcontratados a empresas
especializadas externas• Proceso opaco a desarrolladores
Unit/Integración/Tests funcionales
• Realización durante construcción• Responsabilidad de desarrolladores y
testers• Tests visibles para todo el equipo
![Page 4: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/4.jpg)
4
Design BuildUnit Tests
Integration Tests
AcceptanceTests
Deploy
Development Pre-prod Production
Agile
• Ciclos cortos repetidos• Pruebas automatizadas exhaustivas• Bajo/nulo coste de ejecutar las pruebas• Pruebas que sustituyen documentación
![Page 5: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/5.jpg)
5
Design BuildUnit Tests
Integration Tests
AcceptanceTests
Deploy
Development Pre-prod Production
Suministro Continuo con DevOps
• Suministro a pre-producción automatizado
• Pruebas de aceptación automatizadas
![Page 6: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/6.jpg)
6
Design BuildUnit Tests
Integration Tests
AcceptanceTests
Deploy
Development Pre-prod Production
Despliegue Continuo con DevOps
• Etsy: 50+ deploys per day• Gov.uk: 10+ deploys per day• Amazon: 300+ per hour
![Page 7: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/7.jpg)
7
• Los desarrolladores son responsables de calidad
• Desplazar las pruebas de calidad hacia el código
• Pruebas continuas automatizadas
• Pruebas visibles para todo el equipo
![Page 8: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/8.jpg)
8
• Los desarrolladores son responsables de
• Desplazar las pruebas de hacia el código
• Pruebas continuas automatizadas
• Pruebas visibles para todo el equipo
seguridad
seguridad
^
![Page 9: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/9.jpg)
9
Design BuildIntegration TestsUnit
TestsAcceptance
TestsDeploy
Development Pre-prod Production
Opcion A: Suministro Continuo con SecDevOps: Pruebas de bloqueo
![Page 10: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/10.jpg)
10
Design Build Integration TestsUnit Tests
AcceptanceTests
Deploy
Development Pre-prod Production
Opcion B: Suministro Continuo con Semi-SecDevOps: Pruebas en paralelo
![Page 11: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/11.jpg)
11
¿De quién son las pruebas de seguridad?
A) del Equipo de Seguridad• Se efectúan pruebas de bajo coste• Lento feedback a los desarrolladores• Poca colaboración• El equipo DevOps se desentiende
![Page 12: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/12.jpg)
12
B) del equipo DevOps con supervisación del de Seguridad
• Mejor colaboración• Se pueden efectuar pruebas de bloqueo• Más sentido de responsabilidad sobre la seguridad• Es un buen trampolín hacia…
¿De quién son las pruebas de seguridad?
![Page 13: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/13.jpg)
13
C) Sec + Dev + Ops en un solo equipo funcional multidisciplinario
• Aprobar en seguridad es nuestraresponsabilidad
• Nosotros poseemos las herramientas y los conocimientos para gestionarla
¿De quién son las pruebas de seguridad?
![Page 14: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/14.jpg)
14
¿Automatizar el qué?
1. Herramientas de escaneo existentes: atar a un test de “superado/fallido”
2. Exigencias de seguridad conocidas para infraestructura/aplicación
3. Funcionalidad de la seguridad, p.e. Login, Password Reset, SSL4. Casos de abuso creados por:
• el equipo de Seguridad y Desarrollo (SecDev) durante el diseño• el feedback del equipo de seguridad durante las pruebas manuales
![Page 15: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/15.jpg)
15
BDD-Security Testing Framework
https://github.com/continuumsecurity/bdd-security
BDD-Security = JBehave +
OWASP ZAP +
Nessus +
Internal security tools +
Pre-written baseline security specifications
Selenium +
![Page 16: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/16.jpg)
16
Ejemplos
![Page 17: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/17.jpg)
17
• Es una prueba de seguridad ejecutable• Es una especificación de seguridad• Es una especificación auto-verificable
![Page 18: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/18.jpg)
18
![Page 19: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/19.jpg)
19
Pruebas de Seguridad para Aplicaciones
![Page 20: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/20.jpg)
20
HTTP/S Proxy
Pruebas de Seguridad Manuales para Aplicaciones con OWASP ZAP
![Page 21: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/21.jpg)
21
HTTP/S Proxy
Pruebas de Seguridad Manuales ^ para Aplicaciones con OWASP ZAP
BDD-Security
![Page 22: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/22.jpg)
22
![Page 23: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/23.jpg)
23
![Page 24: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/24.jpg)
24
Demo
![Page 25: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/25.jpg)
25
Otras herramientas relacionadas
• Mittn (Python + Burp Intruder) https://github.com/F-Secure/mittn
• ZAP-JUnit (Java) https://github.com/continuumsecurity/zap-webdriver
• Guantlet (Ruby) http://gauntlt.org/
• OWASP ZAP Jenkins plugin https://wiki.jenkins-ci.org/display/JENKINS/Zapper+Plugin
![Page 26: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/26.jpg)
Diapositivas: Pruebas de Seguridad
Continuas para DevOps
26@stephendv
![Page 27: Pruebas de Seguridad Continuas para DevOps · para DevOps Stephen de Vries @stephendv. Sobre mi ... • Nosotros poseemos las herramientas y los conocimientos para gestionarla ¿De](https://reader034.vdocumento.com/reader034/viewer/2022050719/5ed63ced0c1f140c715b4e59/html5/thumbnails/27.jpg)
https://cybercamp.es @CyberCampEs#CyberCamp15