SlideShare ist ein Scribd-Unternehmen logo

Testes de Segurança Orientados a Valor para Aplicações Ágeis

Als PPT, PDF herunterladen
Kleitor Franklint Correa Araujo
Kleitor Franklint Correa Araujo

O documento discute testes de segurança orientados ao valor no contexto ágil. Apresenta a importância de se testar aplicações para segurança e como abordagens como user-centered security testing podem agregar valor ao produto sob a dimensão da segurança. Também discute como modelar requisitos e cenários de risco considerando necessidades do usuário e como encontrar equilíbrio entre diferentes técnicas de teste para entregar resultados úteis ao time de desenvolvimento.

Technologie
1 von 47
http://groups.google.com/group/gut-amKleitor Franklint Testes de Segurança Orientados a valor Para fazer parte do grupo de teste:
KLEITOR Entusiasta da Vida, Qualidade, Colaborativos, Ágil, Teste e Testes Ágeis. kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873
3 AGENDA Um olhar sobre testes de segurança em aplicações... Aplicados ao Ágil e metodologias Mistas. Com o desenho e análise de resultados orientados a User- centered...
4 Testes de Segurança Orientados a valor
Um pouco de contexto
6 Mobile Application Security Study, 2013 report http://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-1057ENW.pdf Por que precisamos de aplicações seguras? Mobile apps HP Research testou mais de 2,000 mobile apps em mais de 600 companhias. 97% Deram acesso a pelo menos uma fonte de informação privada. 86% Falharam no uso de simples proteções contra ataques modernos. 75% Não usam técnicas de encriptação adequada ao armazenar dados no dispositivo.
7 Por que precisamos de aplicações seguras? 1.9 million files over the past 12 months Web Application Vulnerability Report 2015 http://www.acunetix.com/acunetix-web-application-vulnerability-report-2015/ Web apps A cada 5 apps, 4 foram afetadas por vulnerabilidades médias >80% > 49% Quase metade continha vulnerabilidades graves
Percepção das Ameaças E sim, precisamos testá-las
Vale à pena Pentest? Vale à pena Pentest? E o Ágil com Pentest? E o Ágil com Pentest? Média de vulnerabilidades se reduziu em 45% com feedback pro time Pentest reduziu a média de vulnerabilidades em 65%. Pentest reduziu a média de vulnerabilidades em 65%. Software perfeito e outrasSoftware perfeito e outras ilusõesilusões Uau!! Imagina usando Ágil Uau!! Imagina usando Ágil Website Security Statistics Report 2015 https://info.whitehatsec.com/rs/whitehatsecurity/images/2015-Stats-Report.pdf = Agile Security Testing = Security Agile Testing
Alguns conceitos
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt Teste de segurança é HACKING PENTES T AUDITORI A Agregar valor ao produto sob a dimensão da... E o objetivo é...? segurança orientada a valor
12 User-Centered Foco em usabilidade, user experience (UX), workflow (...) User-centered security... Tem usabilidade como motivação primária (Zurko,1996) http://www.computing.dcu.ie/~dfitzpat/content/what-user-centered-design
13 -Modelar e priorizar cenários de riscos orientados às necessidades do cliente -Utilizar técnicas de teste que validem e enriqueçam esses cenários -Análise de resultado orientado a user-centered. -O objetivo é segurança utilizável User-centered security testing.
14 Como? Antes do Teste Modelar e priorizar cenários de riscos orientados às necessidades do cliente Durante o Teste Utilizar técnicas de teste que validem e enriqueçam esses cenários Depois do Teste Análise de resultado orientado a user-centered.
15 Um Road Map 1 Como modelar requisitos e cenários? Testar o quê? Testar como? Quais requisitos e riscos? Entregar o quê?
16 Quais requisitos e riscos? UC Test Design
17 Quais requisitos e riscos? - Workflow: abusos (vertical / horizontal), válidos e rotas alternativas - Riscos toleráveis: críticos, incidentais - Funcionalidades críticas: segurança do produto, importância pro cliente. - Presença do usuário: validação ( autenticação + token), duração, No. de tentativas UC Test Design
18 Quais requisitos e riscos? -Localização: onde, quando, quem -Personas: confiança, padrões: local, horários, workflow, frequência de acesso, publico alvo. -Comportamento: horário, local, frequência, outros -Memorização: duração e renovação da session -Escopo de segurança: o que o usuário não quer proteger UC Test Design
19 Como modelar requisitos e cenários? Como modelar requisitos e cenários?
20 Como modelar requisitos e cenários? User Security Stories
Abuse Stories Evil User Stories 21 Security Stories Como modelar requisitos e cenários?
22 Como modelar requisitos e cenários? Como um agente ( tester, dev, eng) de segurança quero garantir produto entregue só após pagamento válido. Security Stories Story maps
23 Como modelar requisitos e cenários? Se existirem... são base para: -Evil e Abuse Stories - Recomendações do report Security Stories
Como um evil user quero adquirir um produto sem pagar. 24 Como modelar requisitos e cenários? Evil User Stories Explorar pontos de entrada, engenharia social, workflows de risco
Como um evil user quero adquirir um produto sem pagar. 25 Como modelar requisitos e cenários? Realizar processo de negócio sem as RNs Explorar interações maliciosas entre um ator e o sistema. Abuse Stories
26 Testar o quê?
Web app Top Ten – 2013 http://pt.slideshare.net/bilcorry/bil-owasp-top-102013-presentation Web: Testar o quê?
28 Mobile: Testar o quê? Mobile app Top Ten – 2014 https://www.arxan.com/what-we-do/industry-and-analyst-perspectives/
29 Testar o quê? -Interações de risco entre as partes: webservices, canal inseguro; -Critérios de aceitação: críticos x incidentais; -Privacidade utilizável: personalização, impersonificação, privilégios e workflow desnecessários ou inseguros, interfaces complexas, etc. -Vulnerabilidades permitidas pela UI e seus parâmetros: XSS, phishing, SQL Injection, etc
30 Testar o quê? -Explorar potencialidades e fraquezas do usuário -Vulnerabilidades que possibilitam afetar a UI: XSS, phishing -Autenticação e autorização: ser quem é, e só fazer o que esse "ser" é. O que deixa indisponível: DOS, consultas complexas time based, etc
31 Testar como? Como o Teste é realizado?
Como o Tester participa? Scanner automatizado de vulnerabilidades Análise automatizada de código Teste Manual de invasão ( Pen Test ) Revisão manual de código Falsos Positivos, Falsos Negativos, Camadas indetectáveis. RISCOS
Scanner: A solução de tudo?
Teste de segurança em app mobile Pentest: Pra quê?
Como encontrar equilíbrio? Valor x Produtividade E a eficácia para o cliente e time?
36 Varredura Quão rápido e amplamente posso analisar a superfície? Exploratório ( Pentest ) -Que tipos de ataques são relevantes? -Qual a parte mais importante a ser protegida: mais impacto, maior risco ao negócio? Como encontrar equilíbrio?
Teste continuo+Sprint pequeno + Restropectivas+ muito feedback+ envolva o timetime 37 Explorar pentest + varredura = done Como encontrar equilíbrio? Valor x Produtividade
Adeque à sua realidade... Teste continuo+ Tamanho do Sprint + Uso de restropectivas+ feedback 38 Explorar pentest + varredura = done Como encontrar equilíbrio? ... E para metodologias Mistas?
Report: Análise de resultado, prazo, valor Time to market Usabilidade, Disponibilidade e Desempenho Resultados dos Testes Implicações de Regras de Negócio, outros APP MOBILE RISCOS CRITICIDADE, IMPACTO, PROBABILIDADE IMPLICAÇÕES RECOMENDAÇÕES
40 Entregar o quê? Imagem: http://www.123rf.com/photo_25072963_business-hand-writing-product-and-service-evaluation-on-quality- delivery-and-service.html
41 Report balanço entre segurança e user-centered = Valor
42 Report - Reporte diário com o time e envolvidos várias vezes ao dia (ou no tempo possível); - Pergunte a opinião dos envolvidos sobre os resultados; - Em pontos de decisão crítica interroge os decisores-chave; - Se prepare para responder perguntas difíceis e multidimensionais; - Seja breve e objetivo: se só tivesse 1 minuto que pergunta faria.
43 Report Descreva e gere evidências: narrativas, vídeos, screnshots, etc. Meça o termômetro de aceitação ( satisfação) do cliente: -Há algo que eu possa melhorar no seu relatório? -Há alguma sugestão a que o relatório possa ser mais útil e agradável de ler?
44 Report Descreva as vulnerabilidades encontradas e riscos identificados.
45 Report - Recomendações -Mecanismos para espantar bad boys; -Mecanismos discretos para manter goodboys; - Solução produtiva para o time de desenvolvimento; -Análise de falso positivos e negativos que possam influenciar na UX; -Indicar pontos seguros da app que podem melhorar a UX;
46 -Efeitos da Acessibilidade e disponibilidade de informações x politica de privacidade -Integrar segurança às tarefas do usuário -Transparência da segurança dentro da tarefa -Dependência de autoridade confiável -Identificação de workflow inseguro -Uso de mensagens apropriadas: alerta, informação, desinformação Report - Recomendações ( cont.)
47 POSSO COLABORAR COM MAIS RESPOSTAS? kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873

Empfohlen

Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Mobile App Security Test
Mobile App Security TestMobile App Security Test
Mobile App Security TestKleitor Franklint Correa Araujo
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
Análise e gestão do risco
Análise e gestão do riscoAnálise e gestão do risco
Análise e gestão do riscoXikkoRibeiro
 

Empfohlen

Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Mobile App Security Test
Mobile App Security TestMobile App Security Test
Mobile App Security TestKleitor Franklint Correa Araujo
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
Análise e gestão do risco
Análise e gestão do riscoAnálise e gestão do risco
Análise e gestão do riscoXikkoRibeiro
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Fundamentos de Testes de Software - Qualidad
Fundamentos de Testes de Software - QualidadFundamentos de Testes de Software - Qualidad
Fundamentos de Testes de Software - QualidadTargettrust Treinamentos Tecnologia
 
Aula10 TEES UFS Analise e Gestao do Risco
Aula10 TEES UFS Analise e Gestao do RiscoAula10 TEES UFS Analise e Gestao do Risco
Aula10 TEES UFS Analise e Gestao do Riscoguest8ae21d
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Papéis em teste e qualidade de software
Papéis em teste e qualidade de softwarePapéis em teste e qualidade de software
Papéis em teste e qualidade de softwareFelipe de Oliveira, CSM, CSPO
 
Aula 9. Técnicas de avaliação de interface
Aula 9. Técnicas de avaliação de interfaceAula 9. Técnicas de avaliação de interface
Aula 9. Técnicas de avaliação de interfaceSilvia Dotta
 
Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?Rafael Burity
 
Dss 3
Dss 3Dss 3
Dss 3Jean Carlos da Silva
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swJunior Gomes
 
Artigo - OS FUNDAMENTOS DE TESTE DE SOFTWARE E SUA IMPORTÂNCIA NA QUALIDADE D...
Artigo - OS FUNDAMENTOS DE TESTE DE SOFTWARE E SUA IMPORTÂNCIA NA QUALIDADE D...Artigo - OS FUNDAMENTOS DE TESTE DE SOFTWARE E SUA IMPORTÂNCIA NA QUALIDADE D...
Artigo - OS FUNDAMENTOS DE TESTE DE SOFTWARE E SUA IMPORTÂNCIA NA QUALIDADE D...Luiz Ladeira
 
Conceitos de Usabilidade
Conceitos de UsabilidadeConceitos de Usabilidade
Conceitos de UsabilidadeOdair Cavichioli
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
Como empoderar a qualidade rumo a transformacao digital
Como empoderar a qualidade rumo a transformacao digitalComo empoderar a qualidade rumo a transformacao digital
Como empoderar a qualidade rumo a transformacao digitalJoyce Bastos
 
Testes de Software - Fundamentos
Testes de Software - FundamentosTestes de Software - Fundamentos
Testes de Software - FundamentosLucas Amaral
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
MTA1 Aula-01. Introdução
MTA1 Aula-01. IntroduçãoMTA1 Aula-01. Introdução
MTA1 Aula-01. IntroduçãoAlan Vasconcelos
 
Desenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon GasparDesenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon GasparRio Info
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 

Weitere ähnliche Inhalte

Was ist angesagt?

(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Aula10 TEES UFS Analise e Gestao do Risco
Aula10 TEES UFS Analise e Gestao do RiscoAula10 TEES UFS Analise e Gestao do Risco
Aula10 TEES UFS Analise e Gestao do Riscoguest8ae21d
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Aula 9. Técnicas de avaliação de interface
Aula 9. Técnicas de avaliação de interfaceAula 9. Técnicas de avaliação de interface
Aula 9. Técnicas de avaliação de interfaceSilvia Dotta
 
Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?Rafael Burity
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swJunior Gomes
 
Artigo - OS FUNDAMENTOS DE TESTE DE SOFTWARE E SUA IMPORTÂNCIA NA QUALIDADE D...
Artigo - OS FUNDAMENTOS DE TESTE DE SOFTWARE E SUA IMPORTÂNCIA NA QUALIDADE D...Artigo - OS FUNDAMENTOS DE TESTE DE SOFTWARE E SUA IMPORTÂNCIA NA QUALIDADE D...
Artigo - OS FUNDAMENTOS DE TESTE DE SOFTWARE E SUA IMPORTÂNCIA NA QUALIDADE D...Luiz Ladeira
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
Como empoderar a qualidade rumo a transformacao digital
Como empoderar a qualidade rumo a transformacao digitalComo empoderar a qualidade rumo a transformacao digital
Como empoderar a qualidade rumo a transformacao digitalJoyce Bastos
 
Testes de Software - Fundamentos
Testes de Software - FundamentosTestes de Software - Fundamentos
Testes de Software - FundamentosLucas Amaral
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 

Was ist angesagt? (18)

(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
 
Fundamentos de Testes de Software - Qualidad
Fundamentos de Testes de Software - QualidadFundamentos de Testes de Software - Qualidad
Fundamentos de Testes de Software - Qualidad
 
Aula10 TEES UFS Analise e Gestao do Risco
Aula10 TEES UFS Analise e Gestao do RiscoAula10 TEES UFS Analise e Gestao do Risco
Aula10 TEES UFS Analise e Gestao do Risco
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
 
Papéis em teste e qualidade de software
Papéis em teste e qualidade de softwarePapéis em teste e qualidade de software
Papéis em teste e qualidade de software
 
Aula 9. Técnicas de avaliação de interface
Aula 9. Técnicas de avaliação de interfaceAula 9. Técnicas de avaliação de interface
Aula 9. Técnicas de avaliação de interface
 
Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?
 
Dss 3
Dss 3Dss 3
Dss 3
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de sw
 
Artigo - OS FUNDAMENTOS DE TESTE DE SOFTWARE E SUA IMPORTÂNCIA NA QUALIDADE D...
Artigo - OS FUNDAMENTOS DE TESTE DE SOFTWARE E SUA IMPORTÂNCIA NA QUALIDADE D...Artigo - OS FUNDAMENTOS DE TESTE DE SOFTWARE E SUA IMPORTÂNCIA NA QUALIDADE D...
Artigo - OS FUNDAMENTOS DE TESTE DE SOFTWARE E SUA IMPORTÂNCIA NA QUALIDADE D...
 
Conceitos de Usabilidade
Conceitos de UsabilidadeConceitos de Usabilidade
Conceitos de Usabilidade
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
 
Como empoderar a qualidade rumo a transformacao digital
Como empoderar a qualidade rumo a transformacao digitalComo empoderar a qualidade rumo a transformacao digital
Como empoderar a qualidade rumo a transformacao digital
 
Testes de Software - Fundamentos
Testes de Software - FundamentosTestes de Software - Fundamentos
Testes de Software - Fundamentos
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 

Ähnlich wie Testes de Segurança Orientados a Valor para Aplicações Ágeis

MTA1 Aula-01. Introdução
MTA1 Aula-01. IntroduçãoMTA1 Aula-01. Introdução
MTA1 Aula-01. IntroduçãoAlan Vasconcelos
 
Desenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon GasparDesenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon GasparRio Info
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
Conceitos e fundamentos sobre testes de software e garantia da qualidade
Conceitos e fundamentos sobre testes de software e garantia da qualidadeConceitos e fundamentos sobre testes de software e garantia da qualidade
Conceitos e fundamentos sobre testes de software e garantia da qualidaderzauza
 
Usabilidade aula-01 Introdução
Usabilidade aula-01 IntroduçãoUsabilidade aula-01 Introdução
Usabilidade aula-01 IntroduçãoAlan Vasconcelos
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar OliveiraTI Safe
 
Automação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasAutomação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasKleitor Franklint Correa Araujo
 
Teste de Usabilidade
Teste de UsabilidadeTeste de Usabilidade
Teste de Usabilidaderenancavichi
 
MPP-III - Aula 08 - Usabilidade
MPP-III - Aula 08 - UsabilidadeMPP-III - Aula 08 - Usabilidade
MPP-III - Aula 08 - UsabilidadeAlan Vasconcelos
 
Fases do desenvolvimento de software baseado no código de ética.
Fases do desenvolvimento de software baseado no código de ética.Fases do desenvolvimento de software baseado no código de ética.
Fases do desenvolvimento de software baseado no código de ética.Ronildo Oliveira
 
Avaliação de maturidade das organizaç
Avaliação de maturidade das organizaçAvaliação de maturidade das organizaç
Avaliação de maturidade das organizaçBernardo Mattos
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 

Ähnlich wie Testes de Segurança Orientados a Valor para Aplicações Ágeis (20)

MTA1 Aula-01. Introdução
MTA1 Aula-01. IntroduçãoMTA1 Aula-01. Introdução
MTA1 Aula-01. Introdução
 
Desenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon GasparDesenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
Conceitos e fundamentos sobre testes de software e garantia da qualidade
Conceitos e fundamentos sobre testes de software e garantia da qualidadeConceitos e fundamentos sobre testes de software e garantia da qualidade
Conceitos e fundamentos sobre testes de software e garantia da qualidade
 
Analise de Requisitos Software
Analise de Requisitos SoftwareAnalise de Requisitos Software
Analise de Requisitos Software
 
Usabilidade aula-01 Introdução
Usabilidade aula-01 IntroduçãoUsabilidade aula-01 Introdução
Usabilidade aula-01 Introdução
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
 
Automação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasAutomação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégias
 
Teste de Usabilidade
Teste de UsabilidadeTeste de Usabilidade
Teste de Usabilidade
 
MPP-III - Aula 08 - Usabilidade
MPP-III - Aula 08 - UsabilidadeMPP-III - Aula 08 - Usabilidade
MPP-III - Aula 08 - Usabilidade
 
Apresentação
ApresentaçãoApresentação
Apresentação
 
Teste de software
Teste de softwareTeste de software
Teste de software
 
Teste de software
Teste de software Teste de software
Teste de software
 
Defesa Becker
Defesa BeckerDefesa Becker
Defesa Becker
 
Fases do desenvolvimento de software baseado no código de ética.
Fases do desenvolvimento de software baseado no código de ética.Fases do desenvolvimento de software baseado no código de ética.
Fases do desenvolvimento de software baseado no código de ética.
 
Estimativa de Teste sem medo - parte 2
Estimativa de Teste sem medo - parte 2Estimativa de Teste sem medo - parte 2
Estimativa de Teste sem medo - parte 2
 
Avaliação de maturidade das organizaç
Avaliação de maturidade das organizaçAvaliação de maturidade das organizaç
Avaliação de maturidade das organizaç
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 

Mehr von Kleitor Franklint Correa Araujo

Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentosGestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentosKleitor Franklint Correa Araujo
 

Mehr von Kleitor Franklint Correa Araujo (20)

Metricas (e previsões) acionáveis de projeto
Metricas (e previsões) acionáveis de projetoMetricas (e previsões) acionáveis de projeto
Metricas (e previsões) acionáveis de projeto
 
Modelagem com historias bem além dos requisitos
Modelagem com historias bem além dos requisitosModelagem com historias bem além dos requisitos
Modelagem com historias bem além dos requisitos
 
Engenharia de software Lean Kanban
Engenharia de software Lean KanbanEngenharia de software Lean Kanban
Engenharia de software Lean Kanban
 
Fundamentos Gestão de Escopo e Qualidade
Fundamentos Gestão de Escopo e QualidadeFundamentos Gestão de Escopo e Qualidade
Fundamentos Gestão de Escopo e Qualidade
 
MBA em projetos - Gestao Ágil
MBA em projetos - Gestao ÁgilMBA em projetos - Gestao Ágil
MBA em projetos - Gestao Ágil
 
Papeis Ágeis - uma proposta operacional Scrum
Papeis Ágeis - uma proposta operacional ScrumPapeis Ágeis - uma proposta operacional Scrum
Papeis Ágeis - uma proposta operacional Scrum
 
Teste de software gestao e kaizen
Teste de software gestao e kaizenTeste de software gestao e kaizen
Teste de software gestao e kaizen
 
Introdução ao design de teste de software
Introdução ao design de teste de softwareIntrodução ao design de teste de software
Introdução ao design de teste de software
 
Gestao de Projeto com gráfico burndown
Gestao de Projeto com gráfico burndownGestao de Projeto com gráfico burndown
Gestao de Projeto com gráfico burndown
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1
 
Gestão Agil de tudo - Retrospectivas
Gestão Agil de tudo - RetrospectivasGestão Agil de tudo - Retrospectivas
Gestão Agil de tudo - Retrospectivas
 
Gestao Ágil do Backlog - Taskboards
Gestao Ágil do Backlog - TaskboardsGestao Ágil do Backlog - Taskboards
Gestao Ágil do Backlog - Taskboards
 
Gestão Ágil de tudo: Planejamento backlog
Gestão Ágil de tudo: Planejamento backlogGestão Ágil de tudo: Planejamento backlog
Gestão Ágil de tudo: Planejamento backlog
 
Gestao Ágil de Projeto - Reunião Diária
Gestao Ágil de Projeto - Reunião DiáriaGestao Ágil de Projeto - Reunião Diária
Gestao Ágil de Projeto - Reunião Diária
 
Agil - coisas essenciais de sempre
Agil - coisas essenciais de sempreAgil - coisas essenciais de sempre
Agil - coisas essenciais de sempre
 
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentosGestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
 
Gestão de projeto- conceitos essenciais
Gestão de projeto- conceitos essenciaisGestão de projeto- conceitos essenciais
Gestão de projeto- conceitos essenciais
 
Test First, TDD e outros Bichos
Test First, TDD e outros BichosTest First, TDD e outros Bichos
Test First, TDD e outros Bichos
 
Teste Ágeis para todo o time
Teste Ágeis para todo o timeTeste Ágeis para todo o time
Teste Ágeis para todo o time
 
Estrategias Ágeis para testes sob pressão
Estrategias Ágeis para testes sob pressãoEstrategias Ágeis para testes sob pressão
Estrategias Ágeis para testes sob pressão
 

Testes de Segurança Orientados a Valor para Aplicações Ágeis

  • 1. http://groups.google.com/group/gut-amKleitor Franklint Testes de Segurança Orientados a valor Para fazer parte do grupo de teste:
  • 2. KLEITOR Entusiasta da Vida, Qualidade, Colaborativos, Ágil, Teste e Testes Ágeis. kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873
  • 3. 3 AGENDA Um olhar sobre testes de segurança em aplicações... Aplicados ao Ágil e metodologias Mistas. Com o desenho e análise de resultados orientados a User- centered...
  • 5. Um pouco de contexto
  • 6. 6 Mobile Application Security Study, 2013 report http://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-1057ENW.pdf Por que precisamos de aplicações seguras? Mobile apps HP Research testou mais de 2,000 mobile apps em mais de 600 companhias. 97% Deram acesso a pelo menos uma fonte de informação privada. 86% Falharam no uso de simples proteções contra ataques modernos. 75% Não usam técnicas de encriptação adequada ao armazenar dados no dispositivo.
  • 7. 7 Por que precisamos de aplicações seguras? 1.9 million files over the past 12 months Web Application Vulnerability Report 2015 http://www.acunetix.com/acunetix-web-application-vulnerability-report-2015/ Web apps A cada 5 apps, 4 foram afetadas por vulnerabilidades médias >80% > 49% Quase metade continha vulnerabilidades graves
  • 8. Percepção das Ameaças E sim, precisamos testá-las
  • 9. Vale à pena Pentest? Vale à pena Pentest? E o Ágil com Pentest? E o Ágil com Pentest? Média de vulnerabilidades se reduziu em 45% com feedback pro time Pentest reduziu a média de vulnerabilidades em 65%. Pentest reduziu a média de vulnerabilidades em 65%. Software perfeito e outrasSoftware perfeito e outras ilusõesilusões Uau!! Imagina usando Ágil Uau!! Imagina usando Ágil Website Security Statistics Report 2015 https://info.whitehatsec.com/rs/whitehatsecurity/images/2015-Stats-Report.pdf = Agile Security Testing = Security Agile Testing
  • 11. "Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt Teste de segurança é HACKING PENTES T AUDITORI A Agregar valor ao produto sob a dimensão da... E o objetivo é...? segurança orientada a valor
  • 12. 12 User-Centered Foco em usabilidade, user experience (UX), workflow (...) User-centered security... Tem usabilidade como motivação primária (Zurko,1996) http://www.computing.dcu.ie/~dfitzpat/content/what-user-centered-design
  • 13. 13 -Modelar e priorizar cenários de riscos orientados às necessidades do cliente -Utilizar técnicas de teste que validem e enriqueçam esses cenários -Análise de resultado orientado a user-centered. -O objetivo é segurança utilizável User-centered security testing.
  • 14. 14 Como? Antes do Teste Modelar e priorizar cenários de riscos orientados às necessidades do cliente Durante o Teste Utilizar técnicas de teste que validem e enriqueçam esses cenários Depois do Teste Análise de resultado orientado a user-centered.
  • 15. 15 Um Road Map 1 Como modelar requisitos e cenários? Testar o quê? Testar como? Quais requisitos e riscos? Entregar o quê?
  • 17. 17 Quais requisitos e riscos? - Workflow: abusos (vertical / horizontal), válidos e rotas alternativas - Riscos toleráveis: críticos, incidentais - Funcionalidades críticas: segurança do produto, importância pro cliente. - Presença do usuário: validação ( autenticação + token), duração, No. de tentativas UC Test Design
  • 18. 18 Quais requisitos e riscos? -Localização: onde, quando, quem -Personas: confiança, padrões: local, horários, workflow, frequência de acesso, publico alvo. -Comportamento: horário, local, frequência, outros -Memorização: duração e renovação da session -Escopo de segurança: o que o usuário não quer proteger UC Test Design
  • 19. 19 Como modelar requisitos e cenários? Como modelar requisitos e cenários?
  • 20. 20 Como modelar requisitos e cenários? User Security Stories
  • 22. 22 Como modelar requisitos e cenários? Como um agente ( tester, dev, eng) de segurança quero garantir produto entregue só após pagamento válido. Security Stories Story maps
  • 23. 23 Como modelar requisitos e cenários? Se existirem... são base para: -Evil e Abuse Stories - Recomendações do report Security Stories
  • 24. Como um evil user quero adquirir um produto sem pagar. 24 Como modelar requisitos e cenários? Evil User Stories Explorar pontos de entrada, engenharia social, workflows de risco
  • 25. Como um evil user quero adquirir um produto sem pagar. 25 Como modelar requisitos e cenários? Realizar processo de negócio sem as RNs Explorar interações maliciosas entre um ator e o sistema. Abuse Stories
  • 27. Web app Top Ten – 2013 http://pt.slideshare.net/bilcorry/bil-owasp-top-102013-presentation Web: Testar o quê?
  • 28. 28 Mobile: Testar o quê? Mobile app Top Ten – 2014 https://www.arxan.com/what-we-do/industry-and-analyst-perspectives/
  • 29. 29 Testar o quê? -Interações de risco entre as partes: webservices, canal inseguro; -Critérios de aceitação: críticos x incidentais; -Privacidade utilizável: personalização, impersonificação, privilégios e workflow desnecessários ou inseguros, interfaces complexas, etc. -Vulnerabilidades permitidas pela UI e seus parâmetros: XSS, phishing, SQL Injection, etc
  • 30. 30 Testar o quê? -Explorar potencialidades e fraquezas do usuário -Vulnerabilidades que possibilitam afetar a UI: XSS, phishing -Autenticação e autorização: ser quem é, e só fazer o que esse "ser" é. O que deixa indisponível: DOS, consultas complexas time based, etc
  • 32. Como o Tester participa? Scanner automatizado de vulnerabilidades Análise automatizada de código Teste Manual de invasão ( Pen Test ) Revisão manual de código Falsos Positivos, Falsos Negativos, Camadas indetectáveis. RISCOS
  • 34. Teste de segurança em app mobile Pentest: Pra quê?
  • 35. Como encontrar equilíbrio? Valor x Produtividade E a eficácia para o cliente e time?
  • 36. 36 Varredura Quão rápido e amplamente posso analisar a superfície? Exploratório ( Pentest ) -Que tipos de ataques são relevantes? -Qual a parte mais importante a ser protegida: mais impacto, maior risco ao negócio? Como encontrar equilíbrio?
  • 37. Teste continuo+Sprint pequeno + Restropectivas+ muito feedback+ envolva o timetime 37 Explorar pentest + varredura = done Como encontrar equilíbrio? Valor x Produtividade
  • 38. Adeque à sua realidade... Teste continuo+ Tamanho do Sprint + Uso de restropectivas+ feedback 38 Explorar pentest + varredura = done Como encontrar equilíbrio? ... E para metodologias Mistas?
  • 39. Report: Análise de resultado, prazo, valor Time to market Usabilidade, Disponibilidade e Desempenho Resultados dos Testes Implicações de Regras de Negócio, outros APP MOBILE RISCOS CRITICIDADE, IMPACTO, PROBABILIDADE IMPLICAÇÕES RECOMENDAÇÕES
  • 40. 40 Entregar o quê? Imagem: http://www.123rf.com/photo_25072963_business-hand-writing-product-and-service-evaluation-on-quality- delivery-and-service.html
  • 41. 41 Report balanço entre segurança e user-centered = Valor
  • 42. 42 Report - Reporte diário com o time e envolvidos várias vezes ao dia (ou no tempo possível); - Pergunte a opinião dos envolvidos sobre os resultados; - Em pontos de decisão crítica interroge os decisores-chave; - Se prepare para responder perguntas difíceis e multidimensionais; - Seja breve e objetivo: se só tivesse 1 minuto que pergunta faria.
  • 43. 43 Report Descreva e gere evidências: narrativas, vídeos, screnshots, etc. Meça o termômetro de aceitação ( satisfação) do cliente: -Há algo que eu possa melhorar no seu relatório? -Há alguma sugestão a que o relatório possa ser mais útil e agradável de ler?
  • 44. 44 Report Descreva as vulnerabilidades encontradas e riscos identificados.
  • 45. 45 Report - Recomendações -Mecanismos para espantar bad boys; -Mecanismos discretos para manter goodboys; - Solução produtiva para o time de desenvolvimento; -Análise de falso positivos e negativos que possam influenciar na UX; -Indicar pontos seguros da app que podem melhorar a UX;
  • 46. 46 -Efeitos da Acessibilidade e disponibilidade de informações x politica de privacidade -Integrar segurança às tarefas do usuário -Transparência da segurança dentro da tarefa -Dependência de autoridade confiável -Identificação de workflow inseguro -Uso de mensagens apropriadas: alerta, informação, desinformação Report - Recomendações ( cont.)
  • 47. 47 POSSO COLABORAR COM MAIS RESPOSTAS? kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873