SlideShare una empresa de Scribd logo

Presentacion DevSecOps Argentina

Descargar como PPTX, PDF
CSA Argentina
CSA Argentina

Presentacion DevSecOps Argentina

Tecnología
1 de 30
“BIG BROTHER IS WATCHING YOU”“BIG BROTHER IS WATCHING
“BIG BROTHER IS WATCHING YOU” Christian Ibiri CEO Cloud Legión Leonardo Devia
“BIG BROTHER IS WATCHING YOU” ¿Motores Encendidos? ¿Preparados? ¿Listos?
“BIG BROTHER IS WATCHING YOU”
“BIG BROTHER IS WATCHING YOU” Personajes típicos DEV SYSADMIN / OPS SEC :) = BufónQA / TEST FUNCIONAL
“BIG BROTHER IS WATCHING YOU” DevOps = Nitro El termino fue creado en el 2009 en la conferencia “Velocity” de O’Reilly en donde se presento la charla 10+ Deploys Per Day. En el 2008 ya se empieza a hablar de infraestructura agil en foros de debate con foco en la metodologia Agile. En el mismo 2008 se genera un foro debate llamado “Agile Sysadmin” que empezo a abordar el tema con propiedad. Uno de los participantes fue Patrick Debois quien Luego creo el evento “DevOps Days”. 10+ Deploys Per Day: Dev and Ops Cooperation at Flickr from John Allspaw
“BIG BROTHER IS WATCHING YOU” Está claro por qué las empresas se están moviendo a DevOps ... pero ¿cómo puede la seguridad mantenerse al día con esto? DEVOPS
“BIG BROTHER IS WATCHING YOU” Seguridad Tradicional Situación habitual en el desarrollo de aplicaciones Vemos que el enfoque actual es que la seguridad se contempla fuera del ciclo de desarrollo de una aplicación. Inicialmente con pruebas que dependerán de la experiencia del equipo de desarrollo. Posteriormente mediante tests de penetración o hacking ético, tratando de detectar vulnerabilidades de manera interna o algunas veces externas Se que les encanta el KALI Pero no solo de Pentest vive la seguridad 
“BIG BROTHER IS WATCHING YOU” ¿Por qué? DevSecOps no es necesario, ¡es inevitable!
“BIG BROTHER IS WATCHING YOU” ¿Por qué?
“BIG BROTHER IS WATCHING YOU” Postura común Esto es DevOps… Normalmente los equipos de seguridad tradicional dice NO a casi todo Descubre las vulnerabilidades tarde (En Producción) Les cuesta mucho acercarse al equipo de DEV / DEVOPS
“BIG BROTHER IS WATCHING YOU” Como resolvemos eso? Un chistesito, por que seguro por el horario tienen hambre  Prueba y errores Mucho Café y errores Sudor, lagrimas y errores Mucho Dolor a los que no tengan errores
“BIG BROTHER IS WATCHING YOU” Como resolvemos eso? • SecDevOps • Agile sSDLC • Agile Security • Rugged DevOps • DevOps Security Varios nombre para lo mismo: “DevSecOps”
“BIG BROTHER IS WATCHING YOU” ¿Qué es DevSecOps? "El propósito e intención de DevSecOps es construir sobre la base de que 'todos son responsables de la seguridad' Nueva filosofía generada por la fusión de DevOps y SecOps. Integra el enfoque de la seguridad en el ciclo de desarrollo y explotación de aplicaciones de una manera sistemática. Al igual que las DevOps, operaciones de soporte al desarrollo, la seguridad se debe poder automatizar o sistematizar en gran medida. El objetivo final es poder pasar a producción de manera automática una aplicación razonablemente segura en cuestión de minutos. Considerando siempre que la seguridad total no existe, lo que se minimiza es el riesgo
“BIG BROTHER IS WATCHING YOU” Manifesto Leaning in over Always Saying “No” Data & Security Science over Fear, Uncertainty and Doubt Open Contribution & Collaboration over Security-Only Requirements Consumable Security Services with APIs over Mandated Security Controls & Paperwork Business Driven Security Scores over Rubber Stamp Security Red & Blue Team Exploit Testing over Relying on Scans & Theoretical Vulnerabilities 24x7 Proactive Security Monitoring over Reacting after being Informed of an Incident Shared Threat Intelligence over Keeping Info to Ourselves Compliance Operations over Clipboards & Checklists http://www.devsecops.org/
“BIG BROTHER IS WATCHING YOU” • No son ideas nuevas, simplemente es una reformulación de una necesidad. • Se compone de varias ideas, una de ellas es la consideración de la seguridad integrada en el proceso de desarrollo. • Elementos claves: Personas • Cultura • Roles Procesos • Tecnicas • Practicas Herramientas • SEC tools • Dev Tools
“BIG BROTHER IS WATCHING YOU” Personas
“BIG BROTHER IS WATCHING YOU” Cultura • Comunicación y transparencia • Ambiente de alta confianza "postmortem sin culpa" • Mejora continua • Todos son responsables de la seguridad • Automatice tanto como sea posible • Todo como código
“BIG BROTHER IS WATCHING YOU” Practicas y técnicas • Static/IAST analysis • Abuse case tests • Code review • Break the build code analysis • Threat modeling  backlog items • Analyze/Predict  backlog items • Design complies with policy? • Test security features • Common abuse cases • Pen testing (Vuls found  Test scripts) • Compliance validation (PCI, etc.) • Fuzzing • If we do X will it mitigate Y? • Capacity forecasting • Learning  Update playbooks and Training • Configuration validation • Feature toggles/Traffic shaping configuration • Secrets management • Log information for after-incident analysis • Intrusion detection • App attack detection • Restore/maintain service for non-attack usage • RASP auto respond • Roll-back or toggle off • Block attacker • Shut down services • Analysis  Learning • Defect/Incident 3-step • New attack surface? Plan to update threat model
“BIG BROTHER IS WATCHING YOU” DevSecOps Tools landscape Static Analysis (aka SAST) • Looks at source code • Data/control flow analysis • Prone to false positives • Rapid feedback for developers • Code fix suggestions Dynamic • Instruments app (to varying degrees) • Exercises app via UI/API • Zero? false positives • Hard to instrument? • High false negatives • Report is an exploit • Sometimes hard to find code to remediate IAST • Combine dynamic/static • Good false positives/negatives • Immature but getting there Runtime Application Security Protection (RASP) • Reports on “bad” behavior • Can abort transaction or kill process to protect Fuzzing • Instruments app (to varying degrees) • Sends unexpected input at API • Looks at response and instrumentation output • Great for testing protocols like SIP • Good for REST APIs • Potentially long run times • Hard to find code to remediate Software Composition Analysis (SCA) • Identifies dependency and version • Checks CVE/NVD + … for reported vulnerabilities • Proposes version/patch to remediate • Checks license vs policy • Runs fast • Some have firewall mode
“BIG BROTHER IS WATCHING YOU” Problemas • Procesos manuales y cultura de la reunión (Reunion de reuniones) • Fricción por el amor a la fricción • Malentendidos contextuales • Decisiones tomadas fuera de la creación de valor • Restricciones y requisitos tardíos • Grandes compromisos, grandes equipos y grandes fracasos • Miedo al fracaso, falta de aprendizaje • Falta de inspiración • Gestión e interferencia política (aprobaciones, excepciones) Desafios • DevOps requiere implementaciones continuas • La toma de decisiones rápida es crítica para el éxito de DevOps • La seguridad tradicional simplemente no escala ni se mueve lo suficientemente rápido ... • Las Organizaciones grandes y reguladas son las que mas necesita DevSecOps • Esto no significa que estén LISTOS para DevSecOps • Las estructuras Organizativas típicas hacen que DevSecOps sea muy difícil de lograr • Es tan difícil como vender Agile, DevOps o justificar una inversión en seguridad  Beneficios • La reducción de costos (detección y la reparación temprana) • Mayor velocidad de entrega (no mas cuellos de botella) • Velocidad de recuperation • Mejor monitoreo y la auditoría • Reduce los vectores de ataque • Asegura el principio de "seguridad por diseño" mediante el uso revisión automatizada • Crea valor e innovación con Seguridad iterativa a velocidad y escala. • La seguridad está federada y se convierte en responsabilidad de todos. • DevSecOps fomenta una cultura de apertura y transparencia desde las primeras etapas de desarrollo.
“BIG BROTHER IS WATCHING YOU” De DevOps a DevSecOps en 12 semanas
“BIG BROTHER IS WATCHING YOU” Objetivos Generales • Equipo y Cultura • Inculcar el concepto de “Todos son responsables de la seguridad”. • Embeber seguridad lo antes posible (Shift Left) • Herramientas DevOps • Incorporar Análisis Dinámico (y Estático si se puede). • Comenzar con la automatización de las herramientas de “Sec”.
“BIG BROTHER IS WATCHING YOU” Prerrequisitos• DevSecOps no existe ni se implementan en un vacío! • Esto es, Sec suele entrar al equipo de DevOps cuando ya esta relativamente integrado… lástima! • Equipo y Cultura • El equipo de DevOps utilizan (o al menos intentan llevar) los proyectos con características “Agile”. • Herramientas DevOps • El equipo tiene, sino un pipeline completo, al menos IDEs coherentes, integración continua, y repositorios de código fuente y binarios. • Infraestructura • La Virtualización es la forma corriente para la arquitectura de despliegue. • El equipo DevOps ya puso un pie (y a veces mas) en los servers.
“BIG BROTHER IS WATCHING YOU” • Semana 1 – La Familia • Escuchar al equipo actual. • Incluir en las ceremonias la referencia a la seguridad (en el desarrollo, el entorno, el método y el producto). • Semana 2 – El Equipamiento • Comenzar a incorporar las herramientas de análisis dinámico • OWASP Zed Attack Proxy • https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project • OWASP OWTF • https://www.owasp.org/index.php/OWASP_OWTF • OWASP Dependency Check  SonarQube Plugin!!! • https://www.owasp.org/index.php/OWASP_Dependency_Check • Semana 3 – El Trabajo • Retrospectiva: Pwned! (Prueba de Seguridad en Vivo)
“BIG BROTHER IS WATCHING YOU” • Semana 4 – La Familia • Incorporar la lógica de modelado de amenazas en las ceremonias • OWASP Cornucopia https://www.owasp.org/index.php/OWASP_Cornucopia • Semana 5 – El Equipamiento • Comenzar a automatizar las herramientas de análisis dinámico • StackStorm https://github.com/StackStorm • Semana 6 – El Trabajo • Retrospectiva: Hack yourself!
“BIG BROTHER IS WATCHING YOU” • Semana 7 – La Familia • Identificar el lugar y alcance de “Ops” • Incorporar la gestión de configuración, menor privilegio, y de gestión de Claves, y Secretos • Semana 8 – El Equipamiento • Implementar herramientas de gestión de contraseñas (particularmente en repositorios) • BlackBox • https://github.com/StackExchange/blackbox • Git-Secrets • https://github.com/awslabs/git-secrets • Semana 9 – El Trabajo • Retrospectiva: Hack Yourself!(Ejercicio de Red Team / Blue Team)
“BIG BROTHER IS WATCHING YOU” • Semana 10 – La Familia • Profundizar e integrar los resultados de las actividades anteriores como input • Organizar Registro, Monitoreo y Alertas • Semana 11 – El equipamiento • Comenzar la integración de alertas • Nagios • https://www.nagios.com/ • Alerta • http://alerta.io/ • Semana 12 – El Trabajo • Retrospectiva: Hack Yourself!(Ejercicio de Red Team / Blue Team)
“BIG BROTHER IS WATCHING YOU” Conclusiones • DevSecOps es la consecuencia indiscutible de la necesidad de tener mayor agilidad en los equipos y velocidad en la entrega de software (DevOps) AL MISMO TIEMPO que se incorpora seguridad desde el principio (i.e. Rugged) • La tecnología no tiene problemas, las personas si tienen problemas, para lograr un cultura de DevSecOps efectiva debemos pensar como Toreto (yo no tengo amigos si tengo familia). “BIG BROTHER IS WATCHING YOU”
“BIG BROTHER IS WATCHING YOU” GRACIAS

Recomendados

Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOpsSetu Parimi
 
DevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -SecurityDevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -Securityn|u - The Open Security Community
 
Coffee Break NeuVector
Coffee Break NeuVectorCoffee Break NeuVector
Coffee Break NeuVectorSUSE
 
Demystifying DevSecOps
Demystifying DevSecOpsDemystifying DevSecOps
Demystifying DevSecOpsArchana Joshi
 
DevSecOps Beginners Guide : How to secure process in DevOps with OpenSource
DevSecOps Beginners Guide : How to secure process in DevOps with OpenSourceDevSecOps Beginners Guide : How to secure process in DevOps with OpenSource
DevSecOps Beginners Guide : How to secure process in DevOps with OpenSourceDevOps Indonesia
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Mohammed A. Imran
 
DevSecOps in Baby Steps
DevSecOps in Baby StepsDevSecOps in Baby Steps
DevSecOps in Baby StepsPriyanka Aash
 
Introduction to DevOps
Introduction to DevOpsIntroduction to DevOps
Introduction to DevOpsMatthew David
 

Recomendados

Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOpsSetu Parimi
 
DevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -SecurityDevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -Securityn|u - The Open Security Community
 
Coffee Break NeuVector
Coffee Break NeuVectorCoffee Break NeuVector
Coffee Break NeuVectorSUSE
 
Demystifying DevSecOps
Demystifying DevSecOpsDemystifying DevSecOps
Demystifying DevSecOpsArchana Joshi
 
DevSecOps Beginners Guide : How to secure process in DevOps with OpenSource
DevSecOps Beginners Guide : How to secure process in DevOps with OpenSourceDevSecOps Beginners Guide : How to secure process in DevOps with OpenSource
DevSecOps Beginners Guide : How to secure process in DevOps with OpenSourceDevOps Indonesia
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Mohammed A. Imran
 
DevSecOps in Baby Steps
DevSecOps in Baby StepsDevSecOps in Baby Steps
DevSecOps in Baby StepsPriyanka Aash
 
Introduction to DevOps
Introduction to DevOpsIntroduction to DevOps
Introduction to DevOpsMatthew David
 
DevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to SecurityDevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to SecurityAlert Logic
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation JourneyDevOps Indonesia
 
2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures2019 DevSecOps Reference Architectures
2019 DevSecOps Reference ArchitecturesSonatype
 
DevSecOps
DevSecOpsDevSecOps
DevSecOpsJoel Divekar
 
SDLC & DevOps Transformation with Agile
SDLC & DevOps Transformation with AgileSDLC & DevOps Transformation with Agile
SDLC & DevOps Transformation with AgileAbdel Moneim Emad
 
Taylor Wicksell and Tom Gianos at SpringOne Platform 2019
Taylor Wicksell and Tom Gianos at SpringOne Platform 2019Taylor Wicksell and Tom Gianos at SpringOne Platform 2019
Taylor Wicksell and Tom Gianos at SpringOne Platform 2019VMware Tanzu
 
Implementing DevSecOps
Implementing DevSecOpsImplementing DevSecOps
Implementing DevSecOpsAmazon Web Services
 
DevSecOps Training Bootcamp - A Practical DevSecOps Course
DevSecOps Training Bootcamp - A Practical DevSecOps CourseDevSecOps Training Bootcamp - A Practical DevSecOps Course
DevSecOps Training Bootcamp - A Practical DevSecOps CourseTonex
 
Elastic-Engineering
Elastic-EngineeringElastic-Engineering
Elastic-EngineeringAraf Karsh Hamid
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and OpportunitiesMohammed A. Imran
 
DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..Siddharth Joshi
 
Introduction to DevOps
Introduction to DevOpsIntroduction to DevOps
Introduction to DevOpsHawkman Academy
 
DevSecOps Singapore introduction
DevSecOps Singapore introductionDevSecOps Singapore introduction
DevSecOps Singapore introductionStefan Streichsbier
 
Snyk Intro - Developer Security Essentials 2022
Snyk Intro - Developer Security Essentials 2022Snyk Intro - Developer Security Essentials 2022
Snyk Intro - Developer Security Essentials 2022Liran Tal
 
Benefits of DevSecOps
Benefits of DevSecOpsBenefits of DevSecOps
Benefits of DevSecOpsFinto Thomas , CISSP, TOGAF, CCSP, ITIL. JNCIS
 
DEVSECOPS.pptx
DEVSECOPS.pptxDEVSECOPS.pptx
DEVSECOPS.pptxMohammadSaif904342
 
Power of Azure Devops
Power of Azure DevopsPower of Azure Devops
Power of Azure DevopsAzure Riyadh User Group
 
DevSecOps
DevSecOpsDevSecOps
DevSecOpsTomas Honzak
 
SCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOpsSCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOpsStefan Streichsbier
 
Observability
ObservabilityObservability
ObservabilityMaganathin Veeraragaloo
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
¿DEVSECOPS puede desaparecer?
¿DEVSECOPS puede desaparecer?¿DEVSECOPS puede desaparecer?
¿DEVSECOPS puede desaparecer?Luciano Moreira da Cruz
 

Más contenido relacionado

La actualidad más candente

DevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to SecurityDevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to SecurityAlert Logic
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation JourneyDevOps Indonesia
 
2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures2019 DevSecOps Reference Architectures
2019 DevSecOps Reference ArchitecturesSonatype
 
SDLC & DevOps Transformation with Agile
SDLC & DevOps Transformation with AgileSDLC & DevOps Transformation with Agile
SDLC & DevOps Transformation with AgileAbdel Moneim Emad
 
Taylor Wicksell and Tom Gianos at SpringOne Platform 2019
Taylor Wicksell and Tom Gianos at SpringOne Platform 2019Taylor Wicksell and Tom Gianos at SpringOne Platform 2019
Taylor Wicksell and Tom Gianos at SpringOne Platform 2019VMware Tanzu
 
DevSecOps Training Bootcamp - A Practical DevSecOps Course
DevSecOps Training Bootcamp - A Practical DevSecOps CourseDevSecOps Training Bootcamp - A Practical DevSecOps Course
DevSecOps Training Bootcamp - A Practical DevSecOps CourseTonex
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and OpportunitiesMohammed A. Imran
 
DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..Siddharth Joshi
 
DevSecOps Singapore introduction
DevSecOps Singapore introductionDevSecOps Singapore introduction
DevSecOps Singapore introductionStefan Streichsbier
 
Snyk Intro - Developer Security Essentials 2022
Snyk Intro - Developer Security Essentials 2022Snyk Intro - Developer Security Essentials 2022
Snyk Intro - Developer Security Essentials 2022Liran Tal
 
SCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOpsSCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOpsStefan Streichsbier
 

La actualidad más candente (20)

DevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to SecurityDevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to Security
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation Journey
 
2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures
 
DevSecOps
DevSecOpsDevSecOps
DevSecOps
 
SDLC & DevOps Transformation with Agile
SDLC & DevOps Transformation with AgileSDLC & DevOps Transformation with Agile
SDLC & DevOps Transformation with Agile
 
Taylor Wicksell and Tom Gianos at SpringOne Platform 2019
Taylor Wicksell and Tom Gianos at SpringOne Platform 2019Taylor Wicksell and Tom Gianos at SpringOne Platform 2019
Taylor Wicksell and Tom Gianos at SpringOne Platform 2019
 
Implementing DevSecOps
Implementing DevSecOpsImplementing DevSecOps
Implementing DevSecOps
 
DevSecOps Training Bootcamp - A Practical DevSecOps Course
DevSecOps Training Bootcamp - A Practical DevSecOps CourseDevSecOps Training Bootcamp - A Practical DevSecOps Course
DevSecOps Training Bootcamp - A Practical DevSecOps Course
 
Elastic-Engineering
Elastic-EngineeringElastic-Engineering
Elastic-Engineering
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities
 
DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..
 
Introduction to DevOps
Introduction to DevOpsIntroduction to DevOps
Introduction to DevOps
 
DevSecOps Singapore introduction
DevSecOps Singapore introductionDevSecOps Singapore introduction
DevSecOps Singapore introduction
 
Snyk Intro - Developer Security Essentials 2022
Snyk Intro - Developer Security Essentials 2022Snyk Intro - Developer Security Essentials 2022
Snyk Intro - Developer Security Essentials 2022
 
Benefits of DevSecOps
Benefits of DevSecOpsBenefits of DevSecOps
Benefits of DevSecOps
 
DEVSECOPS.pptx
DEVSECOPS.pptxDEVSECOPS.pptx
DEVSECOPS.pptx
 
Power of Azure Devops
Power of Azure DevopsPower of Azure Devops
Power of Azure Devops
 
DevSecOps
DevSecOpsDevSecOps
DevSecOps
 
SCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOpsSCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOps
 
Observability
ObservabilityObservability
Observability
 

Similar a Presentacion DevSecOps Argentina

Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Azure Dev(Sec)Ops EPIDATA completa
Azure Dev(Sec)Ops EPIDATA completaAzure Dev(Sec)Ops EPIDATA completa
Azure Dev(Sec)Ops EPIDATA completaTravis Alford
 
Workshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft ArgentinaWorkshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft ArgentinaLuciano Moreira da Cruz
 
Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Luciano Moreira da Cruz
 
Devsecooops Los Caso de no éxito en DevSecOps
Devsecooops Los Caso de no éxito en DevSecOpsDevsecooops Los Caso de no éxito en DevSecOps
Devsecooops Los Caso de no éxito en DevSecOpsLuciano Moreira da Cruz
 
Pruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsPruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsStephen de Vries
 
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...CSA Argentina
 
DevOps, por donde comenzar? - DrupalCon Latin America 2015
DevOps, por donde comenzar? - DrupalCon Latin America 2015DevOps, por donde comenzar? - DrupalCon Latin America 2015
DevOps, por donde comenzar? - DrupalCon Latin America 2015Taller Negócio Digitais
 
DevOps & Infraestructura como código: Promesas Rotas
DevOps & Infraestructura como código: Promesas RotasDevOps & Infraestructura como código: Promesas Rotas
DevOps & Infraestructura como código: Promesas RotasRicard Clau
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020Devops Adoption Roadmap v 2.7 Agiles Colombia 2020
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020Javier Dominguez
 

Similar a Presentacion DevSecOps Argentina (20)

Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
¿DEVSECOPS puede desaparecer?
¿DEVSECOPS puede desaparecer?¿DEVSECOPS puede desaparecer?
¿DEVSECOPS puede desaparecer?
 
Azure Dev(Sec)Ops EPIDATA completa
Azure Dev(Sec)Ops EPIDATA completaAzure Dev(Sec)Ops EPIDATA completa
Azure Dev(Sec)Ops EPIDATA completa
 
Workshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft ArgentinaWorkshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft Argentina
 
Keep CALMS and DevSecOps
Keep CALMS and DevSecOps Keep CALMS and DevSecOps
Keep CALMS and DevSecOps
 
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOpsMeetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
 
Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019
 
Devsecooops Los Caso de no éxito en DevSecOps
Devsecooops Los Caso de no éxito en DevSecOpsDevsecooops Los Caso de no éxito en DevSecOps
Devsecooops Los Caso de no éxito en DevSecOps
 
Pruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsPruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev ops
 
"Al rico" PHP
"Al rico" PHP"Al rico" PHP
"Al rico" PHP
 
ISACA DevOps LATAM
ISACA DevOps LATAMISACA DevOps LATAM
ISACA DevOps LATAM
 
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
 
DevOps, automatización y... ¿cultura?
DevOps, automatización y... ¿cultura?DevOps, automatización y... ¿cultura?
DevOps, automatización y... ¿cultura?
 
Data Ops
Data OpsData Ops
Data Ops
 
DevOps, por donde comenzar? - DrupalCon Latin America 2015
DevOps, por donde comenzar? - DrupalCon Latin America 2015DevOps, por donde comenzar? - DrupalCon Latin America 2015
DevOps, por donde comenzar? - DrupalCon Latin America 2015
 
DevOps & Infraestructura como código: Promesas Rotas
DevOps & Infraestructura como código: Promesas RotasDevOps & Infraestructura como código: Promesas Rotas
DevOps & Infraestructura como código: Promesas Rotas
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUM
 
Comenzando a usar el Continuous Delivery
Comenzando a usar el Continuous Delivery Comenzando a usar el Continuous Delivery
Comenzando a usar el Continuous Delivery
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
 
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020Devops Adoption Roadmap v 2.7 Agiles Colombia 2020
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020
 

Más de CSA Argentina

7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v27o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2CSA Argentina
 
Cloud native y donde esta el piloto
Cloud native y donde esta el pilotoCloud native y donde esta el piloto
Cloud native y donde esta el pilotoCSA Argentina
 
Iam dev secops the infinity loop saga
Iam dev secops the infinity loop sagaIam dev secops the infinity loop saga
Iam dev secops the infinity loop sagaCSA Argentina
 
Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019CSA Argentina
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophosCSA Argentina
 
CSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPECSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPECSA Argentina
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfenseCSA Argentina
 
Segurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantecSegurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantecCSA Argentina
 
Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0CSA Argentina
 
2018 cyberark evento cloud
2018 cyberark evento cloud2018 cyberark evento cloud
2018 cyberark evento cloudCSA Argentina
 
Csa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nubeCsa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nubeCSA Argentina
 
Csa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environmentsCsa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environmentsCSA Argentina
 
Csa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos CloudCsa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos CloudCSA Argentina
 
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...CSA Argentina
 
Csa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCsa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCSA Argentina
 
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTEUNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTECSA Argentina
 
SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015CSA Argentina
 
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud CSA Argentina
 
Csa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del cisoCsa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del cisoCSA Argentina
 
Csa summit presentacion crozono
Csa summit presentacion crozonoCsa summit presentacion crozono
Csa summit presentacion crozonoCSA Argentina
 

Más de CSA Argentina (20)

7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v27o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
 
Cloud native y donde esta el piloto
Cloud native y donde esta el pilotoCloud native y donde esta el piloto
Cloud native y donde esta el piloto
 
Iam dev secops the infinity loop saga
Iam dev secops the infinity loop sagaIam dev secops the infinity loop saga
Iam dev secops the infinity loop saga
 
Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophos
 
CSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPECSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPE
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfense
 
Segurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantecSegurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantec
 
Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0
 
2018 cyberark evento cloud
2018 cyberark evento cloud2018 cyberark evento cloud
2018 cyberark evento cloud
 
Csa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nubeCsa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nube
 
Csa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environmentsCsa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environments
 
Csa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos CloudCsa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos Cloud
 
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
 
Csa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCsa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummies
 
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTEUNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
 
SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015
 
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
 
Csa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del cisoCsa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del ciso
 
Csa summit presentacion crozono
Csa summit presentacion crozonoCsa summit presentacion crozono
Csa summit presentacion crozono
 

Último

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Último (10)

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

Presentacion DevSecOps Argentina

  • 1. “BIG BROTHER IS WATCHING YOU”“BIG BROTHER IS WATCHING
  • 2. “BIG BROTHER IS WATCHING YOU” Christian Ibiri CEO Cloud Legión Leonardo Devia
  • 3. “BIG BROTHER IS WATCHING YOU” ¿Motores Encendidos? ¿Preparados? ¿Listos?
  • 4. “BIG BROTHER IS WATCHING YOU”
  • 5. “BIG BROTHER IS WATCHING YOU” Personajes típicos DEV SYSADMIN / OPS SEC :) = BufónQA / TEST FUNCIONAL
  • 6. “BIG BROTHER IS WATCHING YOU” DevOps = Nitro El termino fue creado en el 2009 en la conferencia “Velocity” de O’Reilly en donde se presento la charla 10+ Deploys Per Day. En el 2008 ya se empieza a hablar de infraestructura agil en foros de debate con foco en la metodologia Agile. En el mismo 2008 se genera un foro debate llamado “Agile Sysadmin” que empezo a abordar el tema con propiedad. Uno de los participantes fue Patrick Debois quien Luego creo el evento “DevOps Days”. 10+ Deploys Per Day: Dev and Ops Cooperation at Flickr from John Allspaw
  • 7. “BIG BROTHER IS WATCHING YOU” Está claro por qué las empresas se están moviendo a DevOps ... pero ¿cómo puede la seguridad mantenerse al día con esto? DEVOPS
  • 8. “BIG BROTHER IS WATCHING YOU” Seguridad Tradicional Situación habitual en el desarrollo de aplicaciones Vemos que el enfoque actual es que la seguridad se contempla fuera del ciclo de desarrollo de una aplicación. Inicialmente con pruebas que dependerán de la experiencia del equipo de desarrollo. Posteriormente mediante tests de penetración o hacking ético, tratando de detectar vulnerabilidades de manera interna o algunas veces externas Se que les encanta el KALI Pero no solo de Pentest vive la seguridad 
  • 9. “BIG BROTHER IS WATCHING YOU” ¿Por qué? DevSecOps no es necesario, ¡es inevitable!
  • 10. “BIG BROTHER IS WATCHING YOU” ¿Por qué?
  • 11. “BIG BROTHER IS WATCHING YOU” Postura común Esto es DevOps… Normalmente los equipos de seguridad tradicional dice NO a casi todo Descubre las vulnerabilidades tarde (En Producción) Les cuesta mucho acercarse al equipo de DEV / DEVOPS
  • 12. “BIG BROTHER IS WATCHING YOU” Como resolvemos eso? Un chistesito, por que seguro por el horario tienen hambre  Prueba y errores Mucho Café y errores Sudor, lagrimas y errores Mucho Dolor a los que no tengan errores
  • 13. “BIG BROTHER IS WATCHING YOU” Como resolvemos eso? • SecDevOps • Agile sSDLC • Agile Security • Rugged DevOps • DevOps Security Varios nombre para lo mismo: “DevSecOps”
  • 14. “BIG BROTHER IS WATCHING YOU” ¿Qué es DevSecOps? "El propósito e intención de DevSecOps es construir sobre la base de que 'todos son responsables de la seguridad' Nueva filosofía generada por la fusión de DevOps y SecOps. Integra el enfoque de la seguridad en el ciclo de desarrollo y explotación de aplicaciones de una manera sistemática. Al igual que las DevOps, operaciones de soporte al desarrollo, la seguridad se debe poder automatizar o sistematizar en gran medida. El objetivo final es poder pasar a producción de manera automática una aplicación razonablemente segura en cuestión de minutos. Considerando siempre que la seguridad total no existe, lo que se minimiza es el riesgo
  • 15. “BIG BROTHER IS WATCHING YOU” Manifesto Leaning in over Always Saying “No” Data & Security Science over Fear, Uncertainty and Doubt Open Contribution & Collaboration over Security-Only Requirements Consumable Security Services with APIs over Mandated Security Controls & Paperwork Business Driven Security Scores over Rubber Stamp Security Red & Blue Team Exploit Testing over Relying on Scans & Theoretical Vulnerabilities 24x7 Proactive Security Monitoring over Reacting after being Informed of an Incident Shared Threat Intelligence over Keeping Info to Ourselves Compliance Operations over Clipboards & Checklists http://www.devsecops.org/
  • 16. “BIG BROTHER IS WATCHING YOU” • No son ideas nuevas, simplemente es una reformulación de una necesidad. • Se compone de varias ideas, una de ellas es la consideración de la seguridad integrada en el proceso de desarrollo. • Elementos claves: Personas • Cultura • Roles Procesos • Tecnicas • Practicas Herramientas • SEC tools • Dev Tools
  • 17. “BIG BROTHER IS WATCHING YOU” Personas
  • 18. “BIG BROTHER IS WATCHING YOU” Cultura • Comunicación y transparencia • Ambiente de alta confianza "postmortem sin culpa" • Mejora continua • Todos son responsables de la seguridad • Automatice tanto como sea posible • Todo como código
  • 19. “BIG BROTHER IS WATCHING YOU” Practicas y técnicas • Static/IAST analysis • Abuse case tests • Code review • Break the build code analysis • Threat modeling  backlog items • Analyze/Predict  backlog items • Design complies with policy? • Test security features • Common abuse cases • Pen testing (Vuls found  Test scripts) • Compliance validation (PCI, etc.) • Fuzzing • If we do X will it mitigate Y? • Capacity forecasting • Learning  Update playbooks and Training • Configuration validation • Feature toggles/Traffic shaping configuration • Secrets management • Log information for after-incident analysis • Intrusion detection • App attack detection • Restore/maintain service for non-attack usage • RASP auto respond • Roll-back or toggle off • Block attacker • Shut down services • Analysis  Learning • Defect/Incident 3-step • New attack surface? Plan to update threat model
  • 20. “BIG BROTHER IS WATCHING YOU” DevSecOps Tools landscape Static Analysis (aka SAST) • Looks at source code • Data/control flow analysis • Prone to false positives • Rapid feedback for developers • Code fix suggestions Dynamic • Instruments app (to varying degrees) • Exercises app via UI/API • Zero? false positives • Hard to instrument? • High false negatives • Report is an exploit • Sometimes hard to find code to remediate IAST • Combine dynamic/static • Good false positives/negatives • Immature but getting there Runtime Application Security Protection (RASP) • Reports on “bad” behavior • Can abort transaction or kill process to protect Fuzzing • Instruments app (to varying degrees) • Sends unexpected input at API • Looks at response and instrumentation output • Great for testing protocols like SIP • Good for REST APIs • Potentially long run times • Hard to find code to remediate Software Composition Analysis (SCA) • Identifies dependency and version • Checks CVE/NVD + … for reported vulnerabilities • Proposes version/patch to remediate • Checks license vs policy • Runs fast • Some have firewall mode
  • 21. “BIG BROTHER IS WATCHING YOU” Problemas • Procesos manuales y cultura de la reunión (Reunion de reuniones) • Fricción por el amor a la fricción • Malentendidos contextuales • Decisiones tomadas fuera de la creación de valor • Restricciones y requisitos tardíos • Grandes compromisos, grandes equipos y grandes fracasos • Miedo al fracaso, falta de aprendizaje • Falta de inspiración • Gestión e interferencia política (aprobaciones, excepciones) Desafios • DevOps requiere implementaciones continuas • La toma de decisiones rápida es crítica para el éxito de DevOps • La seguridad tradicional simplemente no escala ni se mueve lo suficientemente rápido ... • Las Organizaciones grandes y reguladas son las que mas necesita DevSecOps • Esto no significa que estén LISTOS para DevSecOps • Las estructuras Organizativas típicas hacen que DevSecOps sea muy difícil de lograr • Es tan difícil como vender Agile, DevOps o justificar una inversión en seguridad  Beneficios • La reducción de costos (detección y la reparación temprana) • Mayor velocidad de entrega (no mas cuellos de botella) • Velocidad de recuperation • Mejor monitoreo y la auditoría • Reduce los vectores de ataque • Asegura el principio de "seguridad por diseño" mediante el uso revisión automatizada • Crea valor e innovación con Seguridad iterativa a velocidad y escala. • La seguridad está federada y se convierte en responsabilidad de todos. • DevSecOps fomenta una cultura de apertura y transparencia desde las primeras etapas de desarrollo.
  • 22. “BIG BROTHER IS WATCHING YOU” De DevOps a DevSecOps en 12 semanas
  • 23. “BIG BROTHER IS WATCHING YOU” Objetivos Generales • Equipo y Cultura • Inculcar el concepto de “Todos son responsables de la seguridad”. • Embeber seguridad lo antes posible (Shift Left) • Herramientas DevOps • Incorporar Análisis Dinámico (y Estático si se puede). • Comenzar con la automatización de las herramientas de “Sec”.
  • 24. “BIG BROTHER IS WATCHING YOU” Prerrequisitos• DevSecOps no existe ni se implementan en un vacío! • Esto es, Sec suele entrar al equipo de DevOps cuando ya esta relativamente integrado… lástima! • Equipo y Cultura • El equipo de DevOps utilizan (o al menos intentan llevar) los proyectos con características “Agile”. • Herramientas DevOps • El equipo tiene, sino un pipeline completo, al menos IDEs coherentes, integración continua, y repositorios de código fuente y binarios. • Infraestructura • La Virtualización es la forma corriente para la arquitectura de despliegue. • El equipo DevOps ya puso un pie (y a veces mas) en los servers.
  • 25. “BIG BROTHER IS WATCHING YOU” • Semana 1 – La Familia • Escuchar al equipo actual. • Incluir en las ceremonias la referencia a la seguridad (en el desarrollo, el entorno, el método y el producto). • Semana 2 – El Equipamiento • Comenzar a incorporar las herramientas de análisis dinámico • OWASP Zed Attack Proxy • https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project • OWASP OWTF • https://www.owasp.org/index.php/OWASP_OWTF • OWASP Dependency Check  SonarQube Plugin!!! • https://www.owasp.org/index.php/OWASP_Dependency_Check • Semana 3 – El Trabajo • Retrospectiva: Pwned! (Prueba de Seguridad en Vivo)
  • 26. “BIG BROTHER IS WATCHING YOU” • Semana 4 – La Familia • Incorporar la lógica de modelado de amenazas en las ceremonias • OWASP Cornucopia https://www.owasp.org/index.php/OWASP_Cornucopia • Semana 5 – El Equipamiento • Comenzar a automatizar las herramientas de análisis dinámico • StackStorm https://github.com/StackStorm • Semana 6 – El Trabajo • Retrospectiva: Hack yourself!
  • 27. “BIG BROTHER IS WATCHING YOU” • Semana 7 – La Familia • Identificar el lugar y alcance de “Ops” • Incorporar la gestión de configuración, menor privilegio, y de gestión de Claves, y Secretos • Semana 8 – El Equipamiento • Implementar herramientas de gestión de contraseñas (particularmente en repositorios) • BlackBox • https://github.com/StackExchange/blackbox • Git-Secrets • https://github.com/awslabs/git-secrets • Semana 9 – El Trabajo • Retrospectiva: Hack Yourself!(Ejercicio de Red Team / Blue Team)
  • 28. “BIG BROTHER IS WATCHING YOU” • Semana 10 – La Familia • Profundizar e integrar los resultados de las actividades anteriores como input • Organizar Registro, Monitoreo y Alertas • Semana 11 – El equipamiento • Comenzar la integración de alertas • Nagios • https://www.nagios.com/ • Alerta • http://alerta.io/ • Semana 12 – El Trabajo • Retrospectiva: Hack Yourself!(Ejercicio de Red Team / Blue Team)
  • 29. “BIG BROTHER IS WATCHING YOU” Conclusiones • DevSecOps es la consecuencia indiscutible de la necesidad de tener mayor agilidad en los equipos y velocidad en la entrega de software (DevOps) AL MISMO TIEMPO que se incorpora seguridad desde el principio (i.e. Rugged) • La tecnología no tiene problemas, las personas si tienen problemas, para lograr un cultura de DevSecOps efectiva debemos pensar como Toreto (yo no tengo amigos si tengo familia). “BIG BROTHER IS WATCHING YOU”
  • 30. “BIG BROTHER IS WATCHING YOU” GRACIAS

Notas del editor

  1. Nueva filosofía generada por la fusión de DevOps y SecOps. Integra el enfoque de la seguridad en el ciclo de desarrollo y explotación de aplicaciones de una manera sistemática. Al igual que las DevOps, operaciones de soporte al desarrollo, la seguridad se debe poder automatizar o sistematizar en gran medida. El objetivo final es poder pasar a producción de manera automática una aplicación razonablemente segura en cuestión de minutos. Considerando siempre que la seguridad total no existe, lo que se minimiza es el riesgo
  2. Product Manager • Secure SDLC • Security Requirements QA • Security Testing • Dynamic Testing Tools Architects • Secure Design Principles • Threat Modeling Operation • Security Configurations • Secure Deployments Developer • Secure Coding • SAST Tools
  3. 1. Secure SDLC 2. Security Pipelines