Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DevSecOps: Criando uma Cultura shift left

Evandro Mohr
December 12, 2020

DevSecOps: Criando uma Cultura shift left

Evandro Mohr

December 12, 2020
Tweet

More Decks by Evandro Mohr

Other Decks in Technology

Transcript

  1. DevSecOps
    Criando uma cultura shift left

    View full-size slide

  2. Evandro Mohr
    2
    Desenvolvedor
    Piloto
    Professor
    Fotógrafo

    View full-size slide



  3. Segurança e Velocidade de entrega são
    situações completamente diferentes.
    Enquanto velocidade é visível, segurança não
    .... até que ela falhe.

    View full-size slide

  4. 4
    The road so far...

    View full-size slide

  5. Modelo
    Caótico
    Modelo
    Cascata
    Modelo
    Ágil
    SDLC Evolution

    View full-size slide

  6. Monitoring
    Production
    Staging / QA
    Binary
    Repository
    CI/CD Server
    Source Code
    Repository
    Development
    Processo típico DevOps

    View full-size slide

  7. Monitoring
    Production
    Staging / QA
    Binary
    Repository
    CI/CD Server
    Source Code
    Repository
    Development
    Processo típico DevOps
    E quanto à segurança?

    View full-size slide

  8. Monitoring
    Production
    Staging / QA
    Binary
    Repository
    CI/CD Server
    Source Code
    Repository
    Development Pentesting
    Processo típico DevOps

    View full-size slide

  9. Cultura
    Princípios e práticas que
    guiam o trabalho do time
    Processo
    Políticas e procedimentos
    que organizam o
    trabalho
    Tecnologias
    Conjunto de ferramentas
    que suportam o
    desenvolvimento

    View full-size slide

  10. Mas, o que é shift left?

    View full-size slide

  11. Custo para corrigir uma falha de segurança

    View full-size slide

  12. Monitoring
    Production
    Staging / QA
    Binary
    Repository
    CI/CD Server
    Source Code
    Repository
    Development Pentesting
    Shift left

    View full-size slide

  13. ● Análise
    Dinâmica (DAST)
    ● Gerenciamento
    de
    vulnerabilidade
    ● Compliance as
    Code
    ● Segurança de
    IaaC
    ● Levantamento e
    identificação de
    vulnerabilidade
    ● Pentesting
    Manual
    ● Business Logic
    Flaws
    ● Alerta e
    monitoramento
    dos deploys (Top
    10 OWASP)
    ● Scan de
    artefatos
    ● Análise estática
    de código (SAST)
    ● Análise da
    Composição do
    Software (SCA)
    ● Gerenciamento
    de senhas
    baseados em
    tokens
    ● Hooks
    Pre-commit
    ● IDE Plugins
    ● Linters
    Monitoring
    Production
    Staging / QA
    Binary
    Repository
    CI/CD Server
    Source Code
    Repository
    Development Pentesting
    Shift left

    View full-size slide

  14. Nem o melhor processo ou as melhores
    ferramentas são capazes de
    desempenhar seu papel na segurança se
    a cultura não os apoiar.

    View full-size slide

  15. Cultura
    Princípios e práticas que
    guiam o trabalho do time
    Processo
    Políticas e procedimentos
    que organizam o
    trabalho
    Tecnologias
    Conjunto de ferramentas
    que suportam o
    desenvolvimento

    View full-size slide

  16. Segurança é
    importante!
    Mas...
    … por enquanto está bom assim.
    … esses riscos não são relevantes.
    … é só um projeto piloto. Nem precisa.
    … mudamos rápido demais. Não dá tempo.
    … dependemos de solução de terceiros.
    … não queremos formalidades.
    … somos seguros, nunca nos invadiram.
    … < insira aqui a sua resposta >

    View full-size slide

  17. Quem é responsável pela segurança?

    View full-size slide

  18. todos.
    Quem é responsável pela segurança?

    View full-size slide

  19. Não existe um único modelo
    Cada empresa é única. Processos, tecnologias,
    quantidade de times e, inclusive, orçamento. Ao
    implantar uma cultura DevSecOps, descubra o que faz
    sentido para sua empresa.
    Transparência e
    honestidade
    Melhoria
    contínua

    View full-size slide

  20. Transparência e honestidade
    Faça com que a segurança seja um esforço conjunto e
    responsabilidade de todos. E, para que isso ocorra, é
    necessário que as pessoas confiem umas nas outras.
    Não há DevSecOps sem colaboração.
    Não existe um
    único modelo
    Melhoria
    contínua

    View full-size slide

  21. Melhoria contínua
    Aprendemos mais com erros do que com acertos,
    portanto, estimule um ambiente de não culpabilidade.
    Não existe um
    único modelo
    Transparência e
    honestidade

    View full-size slide

  22. Descubra o
    DevSecOps que
    faz sentido para
    sua empresa.
    Não crie novos silos
    Treinamento e capacitação
    Engajamento dos executivos
    Engajamento dos devs
    Tenha um plano

    View full-size slide

  23. Responder a mudanças mais do que
    seguir um plano

    View full-size slide

  24. Segurança é
    responsabilidade
    de todos.
    Construa afinidades
    Empodere o time, dê autonomia
    Clareza de comunicação
    Compartilhamento de histórias
    Valores e Objetivos explícitos e
    comuns entre todos

    View full-size slide

  25. Pessoas só são o elo mais fraco quando a
    cultura e os mecanismos de segurança
    trabalham contra elas, em vez de para elas.

    View full-size slide

  26. Melhoria contínua
    Erre cedo e aprenda rápido
    Faça pequenos incrementos
    Evolução técnica
    Automatize sempre que possível
    Prepare Security Champions

    View full-size slide

  27. Por onde começo?

    View full-size slide

  28. Manter o
    interesse
    Base de
    conhecimento
    Canais de
    Comunicação
    Nomear
    champions
    Definir
    o papel
    Identificar
    times
    Security Champions Playbook

    View full-size slide

  29. ● Workshops
    periódicos
    ● Estimule
    participação em
    eventos de
    segurança
    ● Crie newsletter com
    conteúdos atuais e
    refinados
    ● Forneça materiais
    de estudo
    ● Construir uma sólida
    base de
    conhecimento
    ● Papéis, melhores
    práticas, riscos,
    vulnerabilidades e
    outras informações
    relevantes
    ● Crie checklists e
    documente também
    com código :)
    ● Garantir uma forma
    fácil de
    comunicação e
    obter feedback.
    ● Ferramentas de
    chat e/ou lista de
    emails
    ● Definir cadências
    regulares de
    sincronização.
    (weekly é um bom
    começo)
    ● Conseguir
    aprovação.
    ● Identificar possíveis
    candidatos junto com
    os líderes de cada
    time.
    ● Nomeá-los
    oficialmente como
    parte do meta-time
    de segurança.
    (SPoC)
    ● Não imponha,
    busque entusiastas
    ● Medir o estado
    atual da segurança
    com os times e
    definir metas
    ● Identificar pontos
    onde o champion
    pode atuar
    ● Definir com clareza
    a atuação e o papel
    ● Enumerar
    produtos e serviços
    ● Listar times por
    produto
    ● Identificar
    responsáveis pelo
    produto e pelo
    desenvolvimento
    ● Elencar
    tecnologias usadas
    por cada time
    Manter o
    interesse
    Base de
    conhecimento
    Canais de
    Comunicação
    Nomear
    champions
    Definir
    o papel
    Identificar
    times
    Security Champions Playbook

    View full-size slide



  30. Não tem problema errar.
    Você só não pode ser
    comprometido com o erro.
    Gabriel Takeuchi

    View full-size slide

  31. Muito obrigado pelo
    seu tempo
    36
    Onde você pode me encontrar:
    ▪ /evandromohr
    ▪ t.me/phpcomrapadura
    ▪ @evandro.mohr

    View full-size slide