Slide 1

Slide 1 text

Seguridad en Startups: 7 cosas que tenés que saber

Slide 2

Slide 2 text

2 Hola Ekoparty! Agus Celano ● DevSecOps enthusiast ● Exp. Security Engineer ● Community builder /celagus @agustincelano /in/agustincelano

Slide 3

Slide 3 text

Motivación de esta charla 3 Ayudarte a configurar un mindset adecuado Evitarte errores que vi repetidas veces en diferentes compañías Ayudarte a empatizar: Con la organización Con el equipo de seguridad Señalarte algunas cosas que (IMO) deberían ser prioridad en el roadmap

Slide 4

Slide 4 text

Contexto Entendamos de qué estamos hablando

Slide 5

Slide 5 text

Compañía emergente que buscar desarrollar un producto o servicio innovador, frecuentemente basado en tecnología, que intenta resolver un problema en el mercado. Necesita moverse rápido para: 5 ¿Qué es una “startup”? ● Validar su tesis en el mercado lo antes posible con un MVP ● Desarrollar ventajas competitivas frente a sus competidores ● Conseguir ser autosustentables antes de agotar su capital

Slide 6

Slide 6 text

6 Expectativa 👍

Slide 7

Slide 7 text

90% de las startups fracasan 💔 10-20% de los fracasos suceden durante el primer año (otra gran parte no supera sus primeros 5 años y casi ninguno supera los 10 años) 7 Realidad 👎 (*) https://findstack.com/resources/startup-statistics/

Slide 8

Slide 8 text

Apetito por el riesgo Au$teridad Velocidad 8

Slide 9

Slide 9 text

A lo que vinimo’... 7 cosas que deberías saber

Slide 10

Slide 10 text

10 1.Arrancar por un buen diagnóstico Sugerencia: Ponete del lado del atacante. ¿Qué buscarías explotar primero?

Slide 11

Slide 11 text

Misconfigurations - Misconfig en infra / apps - Privilegios / Accesos - MFA / 2FA 11 Qué buscar primero?

Slide 12

Slide 12 text

Supply-chain - Dependencias vulnerables - Imágenes de contenedor - Falta de parches en SO - Falta de parches en software de terceros 12 Qué buscar primero?

Slide 13

Slide 13 text

Secretos ◦ Git commits ◦ En configs ◦ En parametros ◦ En states de terraform 13 Qué buscar primero?

Slide 14

Slide 14 text

14 2.Observabilidad Sugerencia 2: Recolectá logs/métricas en una instancia separada del resto de la infraestrutura Si tenés algo de presupuesto, invertilo en un buen SIEM Sugerencia 1: Recolectar y analizar logs/métricas te permite saber qué es lo que está pasando y actuar en consecuencia. “lo que no se puede medir no se puede gestionar”

Slide 15

Slide 15 text

15 Cloud Service Provider User Network Instance / VM Kubernetes / Orquestador Container App Computer Email Collaboration ● Qué estoy observando? ● Qué tipo de controles tengo? (P / D / R) ● Cuáles es el gap de observabilidad? Data Capas de observabilidad

Slide 16

Slide 16 text

16 3.Evitar el overkill y la super customización Sugerencia: Buscar un ecosistema de herramientas equilibrado entre lo custom y lo adquirido Keep it simple.

Slide 17

Slide 17 text

Como regla general 17 Costo I+D+infra desarrollo propio Si > TCO producto o servicio externo O Calidad I+D desarrollo propio Calidad I+D producto o servicio externo < Conviene adquirir =

Slide 18

Slide 18 text

18 4.Apoyarse en el cloud provider Sugerencia: Aprovechar las ventajas del modelo pay-as-you-go y la escalabilidad a demanda

Slide 19

Slide 19 text

19 Un ejemplo…

Slide 20

Slide 20 text

20 5.Shifting-left Security Sugerencia 2: Integrarse con los procesos y plataformas existentes mejora la adopción de la seguridad y reduce la fricción Sugerencia 1: Pensar la seguridad como un producto/servicio consumible por el resto de los equipos.

Slide 21

Slide 21 text

21 Algunos ejemplos self-service seguridad proactiva

Slide 22

Slide 22 text

22 6.Cultura de seguridad Sugerencia: Militar la seguridad desde todos los espacios posibles. “Security is everyone’s job”

Slide 23

Slide 23 text

23 Algunas ideas para llegar a toda la compañía Aprovechar las reuniones tipo all-hands para comunicar novedades y lo que pasa en la industria Aprovechar canales de comunicación diarios (Ej.: Slack) Trainings cortos con incentivos (reconocimientos, vouchers, etc)

Slide 24

Slide 24 text

24 7.Convencer con datos Sugerencia: Las recomendaciones tienen más fuerza cuando se las acompaña de información fehaciente y contundente. “dato mata relato”

Slide 25

Slide 25 text

25 Fuentes de información Reportes de vendors / organizaciones de la industria https://github.com/jacobdjwilson/awesome-annual-security-reports ( recomiendo ) Feeds y portales de noticias especializadas Twitter, Linkedin, Telegram, The Hacker News, SC Magazine, Techworm, etc Servicios de threat intelligence 💸

Slide 26

Slide 26 text

¡GRACIAS! /celagus @agustincelano /in/agustincelano