Taller Prácticas de análisis de código estático
Contará con interpretación simultánea al español, solo debes:
1. Registrarte dando clic aquí
2. El día del 2 de julio a las 08:00 AM ingresar dando clic aquí y seleccionar Inscreva-se, teclea tu usuario y contraseña y da clic en entrar.
3. Selecciona el idioma español.
Episodio 3: Oficina - Contratando tu primer (o no) Pentest - 02/07
En esta sesión contaremos con la participación de Rodrigo Facio de RNP y Wendel Henrique de Pride Security. El evento cubrirá temas relacionados con el primer contacto con pentest y todo lo que necesitas saber antes de contratar los servicios.
Tópicos:
- ¿Qué investigar sobre un proveedor antes de contratar servicios?
- La importancia de la NDA.
- ¿Cómo debe ser un contrato pentest?
- ¿Cómo definir el alcance y los límites de acción?
- Alinear expectativas con el proveedor.
- Minimizar los impactos en la producción durante la ejecución de los servicios.
- Seguimiento de la ejecución de servicios.
- Validar los resultados presentados.
- Verificación de la adherencia del servicio al contrato.
- Identificación de lagunas en la evaluación.
- Obtuve resultados de un pentetest no autorizado, ¿y ahora qué?
- Validación de resultados con segunda prueba, ¿merece la pena?
Moderadores:
Rodrigo Facio, RNP: Especialista en seguridad de la información en la RNP, donde trabaja en proyectos de soluciones en Seguridad de la Información y Privacidad para los clientes del sistema RNP.
Wendel Henrique, Pride Security. Wendel cuenta con más de 25 años de experiencia en el área de TI, y más de 18 de ellos los dedicó a la seguridad ofensiva, enfocado en la revisión de códigos, entrenamiento en desarrollo seguro, análisis forense y asesoramiento en seguridad de la información. Condujo incontables pruebas de intrusiones de red y aplicación en organizaciones a nivel mundial, incluyendo a Fortune 500, instituciones gubernamentales, de los sectores financiero, comercial y de pagos con tarjeta.
Desarrolló una herramienta para detectar y remover el infame virus BugBear antes que la mayoría de las compañías de antivirus mundiales, en 2002. A lo largo de su carrera, identificó vulnerabilidades en diversas tecnologías, entre ellas en servicios de webmail, wireless access points, sistemas de acceso remoto, WAFs, cámaras IP, aplicaciones VOIP, además de ser coautor de una patente (seguridad ofensiva) en Estados Unidos. Wendel hizo presentaciones en las siguientes conferencias: RSA Conference (EE. UU.), ToorCon (EE. UU.), Defcon (EE. UU.), Black Hat Arsenal (EE. UU.), OWASP AppSec Research (Suecia), Black Hat Europe (España); así como anteriormente en: Troopers (Alemania), OWASP AppSecEU09 (Polonia), YSTS 3.0 (Brasil), Defcon 16 (EE. UU.) y H2HC (Brasil).
Nicole Rieckmann, RNP (Moderadora). Analista de Seguridad del Centro de Atención de Incidentes de Seguridad (CAIS) desde 2019, donde trabaja en las áreas de Análisis y Operaciones de Seguridad, Gestión de Vulnerabilidades e Incidentes, además de ocuparse de organizar y participar en eventos de concientización y capacitación en SI. Graduada como Ingeniera en Computación por la UFRN (Universidad Federal del Estado de Río Grande del Norte), cuenta con posgrado en Gestión de Tecnología de la Información por la UnP. Trabajó en el PoP-RN y en la Superintendencia de Informática de la UFRN en las áreas de infraestructura, conectividad y administración de servicios y activos de red.
Episodio 2: Oficina - Chat - Pentest y la acumulación de desarrollo - 11/06
Será una charla con Fernando Amatte, director de inteligencia cibernética y RedTeam de Cipher, y Fausto Filho, del Centro de Asistencia a Incidentes de Seguridad - CAIS / RNP. El evento abordará los beneficios de una prueba de aplicación realizada en un producto funcional listo para usar, y discutirá cómo los resultados se pueden convertir en una acumulación de desarrollo para mejorar los controles de seguridad del producto.
Qué es Red Team;
- ¿Qué es una aplicación pentest?
- En qué se diferencia un pentest de aplicación de un pentest de infraestructura;
- Tipos de pentests y calidad de los resultados de cada uno;
- Cómo prepararse para un pentest;
- Definición de alcance, ventana de operación y condiciones de ejecución;
- Interpretar los resultados de un informe pentest;
- Solucionar problemas;
- Identificación de nuevos controles;
- Implementar controles en productos existentes sin comprometer el producto;
- Validación de efectividad; y
- Gestión de la acumulación de seguridad.
Episodio 1: Oficina - Práticas de Análise Estática de Código - 28/05
- Presentación del concepto de análisis de código estático;
- Presentación de herramientas de código abierto;
- Sugerencias de configuración y personalización;
- Demostración del funcionamiento del análisis estático;
- Interpretación de resultados y corrección de errores;
- Identificación de falsos positivos;
- Comprender la importancia de las alertas con respecto al alcance de su producto;
- Sugerencia de integración en canalizaciones automáticas; y
- Discusión sobre costos de problemas de seguridad en proyectos de software.
Próximos episodios:
Episodio 1: Oficina - Práticas de Análise Estática de Código - 28/05
Episodio 2: Chat - Pentest y la acumulación de desarrollo - 11/06
Episodio 3: Contratando tu primer (o no) Pentest - 7/2
Episodio 4: Workshop - Generación de seguridad con eventos de registro - 07/09
Episodio 5: Construyendo una arquitectura de nube robusta - 23/07
Episodio 6: Creación de una infraestructura en la nube mínimamente segura - 13/08
Episodio 7: Taller: Gestión de claves, contraseñas y secretos en la nube - 27/08