Seguridad en el ciclo de vida del software

Transcript

1. Seguridad del ciclo de vida del software Juan Carlos Carrillo

   @juan_carrillo Julio 2020

2. @juan_carrillo

3. IBM Security / © 2020 IBM Corporation 3 COVID-19 esta

   cambiando la perspectiva de ciberseguridad 14,000% incremento de spam and phishing relacionado COVID-19 84% incremento en trabajo remoto desde el inicio de la crisis, en Febrero @juan_carrillo de los ciberataques se inician con la campaña de phishing 91%
4. None
5. None
6. None

7. Los ciber ataques como probabilidad de riesgo

8. La Ciberseguridad es un 5 billones registros de datos personales

   robados 20.8 billones de cosas que necesitamos para asegurar $6 trillones Perdidos en delitos informáticos en los próximos 2 años. Lo que está en juego… Las organizaciones están utilizando demasiadas herramientas de muchos proveedores Exceso de herramientas Multas por GDPR, CCPA, CNBV, LFPDPPP Compliance updates Para 2022, los CISOs se encontraran con 3 millones de trabajos de seguridad cibernética no cumplidos Falta de talento Que nos encontramos… @juan_carrillo

9. ¿Puedes confiar en lo que “ ”?

10. ¿Puedes confiar en lo que “ ”?

11. Las ilusiones son nuevas La ilusión de lo que vemos

    es nueva

12. Ni la ilusión es nueva, ni los actores maliciosos

13. ¿Qué es lo que estas “ ”? @juan_carrillo

14. Es hora de dar un gran salto en seguridad facebook.com/Formula1

    @juan_carrillo

15. Es hora de dar un gran salto en seguridad Nuevas

    reglas de seguridad Salto evolutivo Seguridad mínima para la era de la nube Tiempo e inversiones Eficacia TI Legado Era de la nube @juan_carrillo

16. Debemos revisar nuestra ... Cultura Caos Controles @juan_carrillo

17. Debemos revisar nuestra ... Caos Controles @juan_carrillo

18. empieza con una conversación Cultura La @juan_carrillo

19. Hablemos el lenguaje de negocio Manejo de riesgos Lealtad de

    los Clientes Reputación de la marca Agenda de Innovación Productividad de los empleados Liderazgo en el mercado Gastos Operativos Valor estratégico Riesgo de terceros Nosotros hablamos el lenguaje de seguridad Panorama de Amenazas Malware avanzado Vulnerabilidades de día Cero Análisis de comportamiento del usuario Falsos Positivos Indicadores de Compromiso Modelo Zero Trust Evaluación de vulnerabilidad Cyber Kill Chain @juan_carrillo

20. Debemos revisar nuestros ... Cultura Caos

21. None
22. None

23. wallpaperflare.com

24. IBM Security / © 2019 IBM Corporation 24

25. Debemos revisar nuestro entendimiento del ... Cultura Controles

26. None

27. La vision de seguridad esta fragmentada, desconectada

28. None

29. Venimos de un mundo donde la era un gasto IBM

    Security / © 2019 IBM Corporation 29 Salimos del mundo del cumplimiento Para pasar a un mundo de estrategia y riesgos
30. None

31. ¿Dónde esta la complejidad?

32. Un Ford GT tiene más de 10 millones de líneas

    de código, es mucho más de lo que un avión necesita para volar. Y menos que lo que requiere un sistema operativo

33. Una prueba de Apps l Objetivos seleccionados: el Top 25

    Aplicaciones móviles (mercado de USA) En cada uno de los 3 sectores industriales importantes. l Fintech l Healthcare l Retail l Descarga de las aplicaciones actuales de la Play Store oficial de Android. l Limitado a los Ingenieros a máximo 15 minutos. (Porque cualquier objetivo puede ser comprometido dada una cantidad ilimitada de esfuerzo.) https://bit.ly/2VTxce6

34. Resultados del estudio l 63 de las 75 aplicaciones móviles

    probadas fueron exitosamente comprometidas en menos de 15 minutos. l Compromiso total: Ingeniería inversa del código ejecutable, inyección de nuevo código malicioso que roba las credenciales del usuario y las almacenó para enviarlas al sitio de un hacker. l Las 63 aplicaciones comprometidas fueron exitosamente desplegado y corre en un dispositivo móvil actualizado. l Todas las protecciones integradas del sistema operativo, 5 soluciones antivirus y todas las implementaciones de RASP: runtime application self-protection, fallaron en prevenir los ataques, produciendo 63 ataques exitosos en última instancia (una tasa de éxito del 84% en menos de 15 minutos). Survived 15 Min. Compromised

35. Pregunta: ¿Son seguras sus aplicaciones? Pista: ¡probablemente no! of tested

    applications have one or more serious security vulnerabilities 86% White Hat Security Application Report 2015

36. Ponemon 2016 Application Security Risk Study Applications Networks Human Data

    Physical 32% 25% 17% 12% 9% OS 5% La mayoría de los compromisos de seguridad ocurren en la capa de aplicación, pero la mayoría de las organizaciones aún no han desarrollado programas de seguridad de aplicaciones exitosos

37. Los 4 principales desafíos en la implementación de seguridad de

    aplicaciones 38% say lack of skills, tools, methods 37% say lack of funding & buy-in from management 33% say silos: security, dev, business units 1 2 3 ¿Cuáles son sus principales desafíos para implementar la seguridad de las aplicaciones? “ ” 32% say identifying all applications in portfolio 4 2 SANS Institute 2016 State of Application Security Report

38. ¡Mejorar la seguridad de las aplicaciones y encontrar vulnerabilidades lo

    antes posible, ahorra dinero! El costo para corregir un error encontrado después del lanzamiento del producto es de 4 a 5 veces mayor que uno descubierto durante el diseño, y hasta 100 veces más que uno identificado en la fase de mantenimiento. 1The Systems Sciences Institute at IBM “ ” Coding Descubierto durante el desarrollo $80/ vulnerabilidad Building Descubierto durante la construcción $240/ vulnerabilidad Quality Assurance Security Production Descubierto durante QA/Test $960/ vulnerabilidad Descubierto en producción $7,600/ vulnerabilidad Ciclo de vida del desarrollo de aplicaciones

39. Hechos y cifras notables

40. Hechos y cifras notables 2 SANS Institute 2016 State of

    Application Security Reportc Solo el 25% de los profesionales de seguridad dicen que sus organizaciones tienen programas AppSec "maduros" o "muy maduros". Y casi 35% dicen que sus programas son "inmaduros" o "inexistentes".2 1 Ponemon 2016 Application Security Risk Study Where do most security compromises occur?

41. DevOps

42. DevOps Stakeholders 42

43. Deployment Pipeline – DevOps is enabled through pipeline 43

44. 44

45. 45

46. Security & Privacy By Design: Donde necesitamos estar Code Scan

    Threat Model Penetration Test Security Tests Revisiones de seguridad y privacidad - Arquitectura de ciclo temprano, la revisión SPbD debe incluir la revisión del modelo de amenazas - Informa los requisitos para los entregables del "ciclo de desarrollo" - Puede identificar elementos imprescindibles (incluso diferidos de revisiones / lanzamientos anteriores) Defines Informs Informs Informs Proceso de revisión de lanzamiento - Asegúrese de completar todas las tareas pendientes de revisión de Seguridad & Privacidad - Validar el alcance del escaneo, las pruebas - Garantizar una gestión adecuada de las vulnerabilidades - Parte de "Lanzamiento seguro" SPbD Assessment Vulnerability Management Proceso de liberación segura: Todas las servicios cumplen con los estándares mínimos; Los estándares se elevan con el tiempo

47. Security & Privacy by Design actions (en waterfall) Threat Model

    SPbD Assessment Code Static Code Vuln Scans - IBM Developed Code - Open Source Software Incorporate Privacy Requirements Test Static Code Vuln Scans - IBM Developed Code - Open Source Software Dynamic App Vuln Scans - All Interfaces (GUI, UI, CLI/API) Explicit Security Test Cases - Driven by Threat Model, Defined Cases Pre GA Independent Penetration Test GA BISO Reviews Threat Model SPbD Reviews BISO Secure Release Review - Code/App Scan Results - Test Results - Threat Model actions - SPbD actions

48. CISO, Citigroup No fracasa el que sufre un ataque de

    seguridad, es parte del juego, fracasas si no tienes CHARLES BLAUNER 48

49. Sully y la respuesta a incidentes Sully, al momento del

    incidente tenia 58 años, 19,663 horas de vuelo Su copiloto tenia 49 años, 15,643 horas de vuelo Las 3 azafatas tenían 38, 28 y 26 años de experiencia Todos recibían su capacitación anual para emergencias @juan_carrillo

50. Juan Carlos Carrillo Cybersecurity & Privacy T:+52 55 9195 5437

    @juan_carrillo https://www.linkedin.com/in/juancarloscarrillo IBM seguridad / © 2019 IBM Corporation 50