Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
La capacitación efectiva complementará y reforzará las políticas de seguridad, las prácticas de SDL, los
estándares y los requisitos de seguridad del software, y se guiará por los conocimientos derivados de los datos o
las nuevas capacidades técnicas disponibles.
Si bien la seguridad es tarea de todos, es importante recordar que no todos deben ser expertos en seguridad ni
esforzarse para convertirse en un probador de penetración competente. Sin embargo, asegurarse de que todos
entiendan la perspectiva del atacante, sus objetivos y el arte de lo posible ayudará a captar la atención de todos
y elevar la barra de conocimiento colectiva.
Enlaces utiles :
DevOps Azure / Azure Boards
Para realizar un seguimiento de los indicadores clave de rendimiento (KPI) y garantizar que se completen las
tareas de seguridad, el seguimiento de errores y / o los mecanismos de seguimiento de trabajo utilizados por
una organización (como Azure DevOps) deben permitir que los defectos de seguridad y los elementos de trabajo
de seguridad se etiqueten claramente como Seguridad y marcado con su severidad de seguridad adecuada. Esto
permite un seguimiento preciso y el informe del trabajo de seguridad.
Enlaces utiles :
SDL Privacy Bug Bar muestra
Agregar o modificar un campo para rastrear los requisitos de datos en los Devops de Azure
Agregue una barra de errores de seguridad a Microsoft Team Foundation Server 2010 (recurso heredado)
Muestra de la barra de errores de seguridad de SDL
La aplicación de un enfoque estructurado a los escenarios de amenazas ayuda a un equipo a identificar las
vulnerabilidades de seguridad de manera más efectiva y económica, a determinar los riesgos de esas amenazas
y luego a hacer selecciones de funciones de seguridad y establecer las mitigaciones adecuadas.
Enlaces utiles :
Modelado de amenazas
Enlaces utiles :
Recomendaciones criptográficas de Microsoft SDL
Enlaces utiles :
La gestión de riesgos de seguridad inherente al uso de componentes de terceros
Gestión de riesgos de seguridad inherentes al uso de software de código abierto
Enlaces utiles :
Herramientas, compiladores y opciones recomendadas para x86, x64 y ARM (herramientas heredadas)
Herramientas SDL
Enlaces utiles :
Microsoft DevSkim
Reglas de Roslyn
Mercado de seguridad VSTS
Análisis de código para C / C ++
BinSkim
FxCop (herramienta heredada)
Lista de herramientas para el análisis de código estático (Wikipedia)
Enlaces utiles :
Mercado de seguridad VSTS
Pruebas automatizadas de penetración con difusor de caja blanca
Práctica # 11 - Realizar pruebas de penetración
Las pruebas de penetración son un análisis de seguridad de un sistema de software realizado por profesionales
de seguridad capacitados que simulan las acciones de un pirata informático. El objetivo de una prueba de
penetración es descubrir posibles vulnerabilidades resultantes de errores de codificación, fallas en la
configuración del sistema u otras debilidades de implementación operativa, y como tal, la prueba generalmente
encuentra la variedad más amplia de vulnerabilidades. Las pruebas de penetración a menudo se realizan junto
con revisiones de código manuales y automatizadas para proporcionar un mayor nivel de análisis de lo que
normalmente sería posible.
Enlaces utiles :
Analizador de superficie de ataque
Muestra de la barra de errores de seguridad de SDL
Enlaces utiles :
Guía de referencia de respuesta a incidentes de Microsoft
Uso del Centro de seguridad de Azure para una respuesta a un incidente
Gestión de incidentes de seguridad de Office 365
Respuesta a incidentes de Microsoft y responsabilidad compartida por la computación en la nube
Centro de respuesta de seguridad de Microsoft
Así, la Seguridad Operacional debe ser básicamente proactiva y, más aún, predictiva, con el fin de identificar y
prevenir, con la suficiente antelación, y a partir de incidentes menores, las posibles amenazas sobre el sistema
para evitarlas o, en caso de ocurrir, mitigar sus efectos de forma que sean lo menos severos posibles.
Es importante no confundir la Seguridad Operacional (Safety) con la Seguridad Física (Security). Mientras la
primera trata de identificar y minimizar el riesgo de ocurrencia de accidentes e incidentes graves (prevención), la
segunda se centra en vigilar posibles incidentes derivados, no de la operación, sino de ataques producidos
intencionadamente por humanos contra bienes, infraestructuras y personas, como pueden ser actos de
terrorismo, secuestros o a actos de interferencia ilícitos, etc (protección).
La capacitación efectiva complementará y reforzará las políticas de seguridad, las prácticas de OSA, los
estándares y los requisitos de seguridad, y se guiará por los conocimientos derivados de los datos o las
nuevas capacidades técnicas disponibles.
Enlaces utiles :
Autenticación multifactorial de Azure
El uso de estaciones de trabajo de acceso privilegiado (PAW, por sus siglas en inglés) también ayuda a
proteger a los usuarios privilegiados de los ataques de Internet y los vectores de amenazas al
proporcionar una máquina dedicada para tacks sensibles y separar estas tareas y cuentas confidenciales
de las estaciones de trabajo de uso diario.
Enlaces utiles :
Gestión de identidad privilegiada de Azure AD
Control de acceso basado en roles
Estaciones de trabajo de cuenta privilegiada
Sólo suficiente administración
Enlaces utiles :
Bóveda de clave de Azure
Almacenamiento seguro de secretos de aplicaciones en desarrollo
Identidades gestionadas para Azure
Herramientas de entrega continua para Visual Studio (incluye vista previa del escáner de
credenciales)
Enlaces utiles :
Applocker
Asegurando SQL Server
Líneas base de seguridad de Windows
Guía de seguridad de Windows Server 2016
Dispositivo de protección
Enlaces utiles :
Microsoft SDL Recomendaciones criptográficas
Qualys SSL Labs
Enlaces utiles :
Centro de seguridad de Azure
Enlaces utiles :
Cómo mantener tu computadora Windows al día.
Enterprise Mobility + Documentación de seguridad
Enlaces utiles :
Descripción general de Azure DDoS Protection Standard
Enlaces utiles :
Escáneres de seguridad de aplicaciones web (Wikipedia)
Enlaces utiles :
Analizador de superficie de ataque
Muestra de la barra de errores de seguridad de SDL
Aprenda más sobre las pruebas de penetración en el sitio en vivo
Rojo contra azul: pruebas internas de penetración de seguridad de Microsoft Azure
Por definición, riesgo operacional es la suma de fallas o errores en los procesos, de las personas que los
ejecutan o de las tecnologías que los soportan, que pueden presentarse tanto desde un entorno externo
como interno y estar ocasionadas por actividades intencionales, procedimientos inadecuados o
defectuosos o por agentes contingentes como desastres naturales.
En la búsqueda de cómo resolver nuestra problemática sobre los riesgos operativos, observamos que
existe una relación lógica entre la definición del alcance del riesgo operacional y los factores de
producción determinados para el gobierno de la información (procesos–tecnologías–personas), lo cual
afirma la necesidad de establecer procesos adecuados para el cumplimiento de los objetivos de negocio,
operados por personal con las capacidades y conocimientos necesarios y acorde a sus funciones dentro
de los servicios, y el soporte de recursos tecnológicos e infraestructura de servicios a la medida de las
necesidades del negocio.
Por ello, es natural el empleo de estándares relacionados con el gobierno de TI y gobierno corporativo
(como ISO 20000 y 27001, ITIL, COBIT5, Normas NIST, etc.) para normalizar nuestros procesos y
ayudar a ordenar todas las actividades asociadas a la continuidad operativa, así como a la seguridad de la
información.
Desde el principio, el SDL de Microsoft identificó que la seguridad debía ser un trabajo de todos e incluyó
prácticas en el SDL para gerentes de programas, desarrolladores y evaluadores, todo orientado a mejorar la
seguridad. Además, al reconocer que un solo tamaño no se ajusta a todos los enfoques de desarrollo, describió
las prácticas flexibles y las actividades probadas para mejorar la seguridad de las aplicaciones de software en
cada etapa del desarrollo, ya sea utilizando la clásica metodología ágil o la más nueva. Sin embargo, aparte de
considerar el entorno de producción, el SDL no incluyó actividades para ingenieros de operaciones.
El enfoque de DevOps cambia eso. Ahora, el desarrollo y las operaciones están estrechamente integradas para
permitir la entrega rápida y continua de valor a los usuarios finales. DevOps ha reemplazado el desarrollo y las
operaciones aisladas para crear equipos multidisciplinarios que trabajan en conjunto con prácticas,
herramientas y KPI compartidos y eficientes. Para ofrecer software y servicios altamente seguros en este
entorno de rápido movimiento, es fundamental para la seguridad moverse a la misma velocidad. Una forma de
lograrlo es crear seguridad en los procesos de desarrollo (SDL) y operaciones (OSA).
Enlaces utiles :
Fuente Blanca
Práctica # 5: Realizar el modelado de amenazas
Aunque el modelado de amenazas puede ser desafiante en DevOps debido a su lentitud percibida, es un
componente crítico de cualquier proceso de desarrollo seguro. En la mayoría de las situaciones, la aplicación de
un enfoque estructurado a los escenarios de amenazas ayuda a un equipo a identificar las vulnerabilidades de
seguridad de manera más efectiva y económica, a determinar los riesgos de esas amenazas y luego a hacer
selecciones de características de seguridad y establecer las mitigaciones adecuadas. Como mínimo, el modelado
de amenazas debe utilizarse en entornos donde exista un riesgo de seguridad significativo.
Práctica # 6 — Usar herramientas y automatización
Use herramientas cuidadosamente seleccionadas y una automatización inteligente que esté integrada en el
mundo del ingeniero (como un entorno de desarrollo integrado). En el mundo de la ingeniería moderna, es fácil
suponer que la automatización es la solución y es correcto que la automatización es crítica, pero es importante
ser selectivo al elegir herramientas y tener cuidado al implementarlas. El objetivo es solucionar los problemas y
no sobrecargar a los ingenieros con demasiadas herramientas o procesos ajenos a la experiencia diaria de
ingeniería. Las herramientas utilizadas como parte de un flujo de trabajo seguro de DevOps deben cumplir con
los siguientes principios:
Las herramientas deben estar integradas en la tubería de CI / CD.
Las herramientas no deben requerir experiencia en seguridad.
Las herramientas deben evitar una alta tasa de falsos positivos de problemas de informes.
La integración de las Pruebas de seguridad de análisis estático (SAST) en su IDE (entorno de desarrollo integrado)
puede proporcionar una visión analítica profunda de la sintaxis, la semántica y proporcionar un aprendizaje justo
a tiempo, evitando la introducción de vulnerabilidades de seguridad antes de que el código de la aplicación se
comprometa con su repositorio de código. De manera similar, la integración de las herramientas de Pruebas de
seguridad de análisis dinámico (DAST) en el proceso de integración continua / entrega continua ayudará a
descubrir rápidamente los problemas que solo aparecen cuando todos los componentes están integrados y en
ejecución.
Enlaces utiles :
Detección de riesgos de seguridad de Microsoft (MSRD)
Microsoft DevSkim
Mercado de seguridad VSTS
Escaneo de codigo de seguridad
Analizadores de seguridad Roslyn Diagnostics
Microsoft BinSkim
Pruebas automatizadas de penetración con difusor de caja blanca
Análisis de código de seguridad de Microsoft (en vista previa privada)
Si está utilizando Azure, el Kit de DevOps seguro se puede descargar desde Visual Studio Marketplace .
Práctica # 7: mantener las credenciales seguras
La búsqueda de credenciales y otro contenido confidencial en los archivos de origen es necesario durante la
confirmación previa, ya que reduce el riesgo de propagar la información confidencial al proceso de CI / CD de su
equipo. En lugar de almacenar claves confidenciales en el código, considere usar una solución de traer su propia
clave (BYOK) que genere claves con un módulo de seguridad de hardware (HSM).
Enlaces utiles :
Analizador de Código CredScan
Utilice el servicio conectado de Key Vault
Práctica # 8 — Usar aprendizaje y monitoreo continuo
La supervisión de sus aplicaciones, infraestructura y red con análisis avanzados puede ayudar a descubrir
problemas de seguridad y rendimiento. Al utilizar prácticas de integración continua / implementación continua
(CI / CD) combinadas con herramientas de monitoreo, podrá obtener una mejor visibilidad del estado de su
aplicación e identificar y mitigar los riesgos para reducir la exposición a los ataques. El monitoreo también es una
parte esencial de apoyar una estrategia de defensa en profundidad y puede reducir el tiempo promedio de su
organización para identificar (MTTI) y el tiempo promedio para contener (MTTC) las métricas.
Enlaces utiles :
Monitor azul
Detección avanzada de amenazas