Seguridad en Startups: 7 cosas que tenés que saber

2 Hola Ekoparty! Agus Celano ● DevSecOps enthusiast ● Exp. Security Engineer ● Community builder /celagus @agustincelano /in/agustincelano

Motivación de esta charla 3 Ayudarte a configurar un mindset adecuado Evitarte errores que vi repetidas veces en diferentes compañías Ayudarte a empatizar: Con la organización Con el equipo de seguridad Señalarte algunas cosas que (IMO) deberían ser prioridad en el roadmap

Contexto Entendamos de qué estamos hablando

Compañía emergente que buscar desarrollar un producto o servicio innovador, frecuentemente basado en tecnología, que intenta resolver un problema en el mercado. Necesita moverse rápido para: 5 ¿Qué es una “startup”? ● Validar su tesis en el mercado lo antes posible con un MVP ● Desarrollar ventajas competitivas frente a sus competidores ● Conseguir ser autosustentables antes de agotar su capital

6 Expectativa 👍

90% de las startups fracasan 💔 10-20% de los fracasos suceden durante el primer año (otra gran parte no supera sus primeros 5 años y casi ninguno supera los 10 años) 7 Realidad 👎 (*) https://findstack.com/resources/startup-statistics/

Apetito por el riesgo Au$teridad Velocidad 8

A lo que vinimo’... 7 cosas que deberías saber

10 1.Arrancar por un buen diagnóstico Sugerencia: Ponete del lado del atacante. ¿Qué buscarías explotar primero?

Misconfigurations - Misconfig en infra / apps - Privilegios / Accesos - MFA / 2FA 11 Qué buscar primero?

Supply-chain - Dependencias vulnerables - Imágenes de contenedor - Falta de parches en SO - Falta de parches en software de terceros 12 Qué buscar primero?

Secretos ◦ Git commits ◦ En configs ◦ En parametros ◦ En states de terraform 13 Qué buscar primero?

14 2.Observabilidad Sugerencia 2: Recolectá logs/métricas en una instancia separada del resto de la infraestrutura Si tenés algo de presupuesto, invertilo en un buen SIEM Sugerencia 1: Recolectar y analizar logs/métricas te permite saber qué es lo que está pasando y actuar en consecuencia. “lo que no se puede medir no se puede gestionar”

15 Cloud Service Provider User Network Instance / VM Kubernetes / Orquestador Container App Computer Email Collaboration ● Qué estoy observando? ● Qué tipo de controles tengo? (P / D / R) ● Cuáles es el gap de observabilidad? Data Capas de observabilidad

16 3.Evitar el overkill y la super customización Sugerencia: Buscar un ecosistema de herramientas equilibrado entre lo custom y lo adquirido Keep it simple.

Como regla general 17 Costo I+D+infra desarrollo propio Si > TCO producto o servicio externo O Calidad I+D desarrollo propio Calidad I+D producto o servicio externo < Conviene adquirir =

18 4.Apoyarse en el cloud provider Sugerencia: Aprovechar las ventajas del modelo pay-as-you-go y la escalabilidad a demanda

19 Un ejemplo…

20 5.Shifting-left Security Sugerencia 2: Integrarse con los procesos y plataformas existentes mejora la adopción de la seguridad y reduce la fricción Sugerencia 1: Pensar la seguridad como un producto/servicio consumible por el resto de los equipos.

21 Algunos ejemplos self-service seguridad proactiva

22 6.Cultura de seguridad Sugerencia: Militar la seguridad desde todos los espacios posibles. “Security is everyone’s job”

23 Algunas ideas para llegar a toda la compañía Aprovechar las reuniones tipo all-hands para comunicar novedades y lo que pasa en la industria Aprovechar canales de comunicación diarios (Ej.: Slack) Trainings cortos con incentivos (reconocimientos, vouchers, etc)

24 7.Convencer con datos Sugerencia: Las recomendaciones tienen más fuerza cuando se las acompaña de información fehaciente y contundente. “dato mata relato”

25 Fuentes de información Reportes de vendors / organizaciones de la industria https://github.com/jacobdjwilson/awesome-annual-security-reports ( recomiendo ) Feeds y portales de noticias especializadas Twitter, Linkedin, Telegram, The Hacker News, SC Magazine, Techworm, etc Servicios de threat intelligence 💸

¡GRACIAS! /celagus @agustincelano /in/agustincelano