T12 ¡ Security ¡Testing ¡ 2019-‑05-‑02 ¡11:15 ¡ Security ¡Partners ¡or ¡Security ¡Police? ¡ Presented ¡by: ¡ Janna ¡Loeffler , Carnival Corp. ¡ Yesenia Yser, Ultimate Software Brought ¡to ¡you ¡by: ¡ 888 -‑-‑-‑ 268 -‑-‑-‑ 8770 ¡ ·√·√ ¡904 -‑-‑-‑ 278 -‑-‑-‑ 0524 ¡-‑ ¡info@techwell.com ¡-‑ ¡ http://www.stareast.techwell.com/ ¡
Janna ¡Loeffler ¡ Janna ¡Loeffler ¡has ¡more ¡than ¡fifteen ¡years ¡of ¡software ¡quality ¡experience. ¡She ¡holds ¡a ¡ bachelor's ¡degree ¡in ¡computer ¡engineering ¡and ¡a ¡master's ¡degree ¡in ¡business ¡ administration. ¡Working ¡in ¡a ¡variety ¡of ¡software ¡engineering ¡roles, ¡including ¡ development, ¡testing, ¡quality ¡assurance, ¡and ¡DevOps, ¡has ¡provided ¡her ¡with ¡a ¡holistic ¡ view ¡of ¡software ¡engineering. ¡She ¡has ¡worked ¡on ¡a ¡wide ¡variety ¡of ¡products, ¡such ¡as ¡ industrial ¡controls, ¡embedded ¡medical ¡devices, ¡websites, ¡mobile ¡applications, ¡and ¡ theme ¡park ¡attractions. ¡Janna ¡has ¡a ¡passion ¡for ¡helping ¡people ¡build ¡high2 quality ¡ software ¡more ¡efficiently. ¡ Yesenia Yser Yesenia Yser has over eight years in Information Technology and Software Security. She holds a bachelor's degree in computer science and a master's degree in digital forensics. Her professional background is composed of security software development and incident response, with emphasis on customer support, communication, training, security, and leadership awareness. She has managed and worked on a wide range of tools, such as certificate authority, encryption service, detection and alerting, mobile applications, and risk evaluation tools on a global scale. Yesenia is also passionate learner who studies Brazilian jiu jitsu and yoga in her free time.
4/24/19 ¡ SECURITY POLICE OR SECURITY PARTNERS? REALITY CHECK T ESLA M ODEL S • U PGRADED A UTOPILOT , FULL • SELF - DRIVING CAPABILITY , AND THE WORKS (~10 K ) S PENT OVER 70 K • A RRIVED VERY LATE • YESTERDAY • Y OU DECIDE TO DRIVE IT TOMORROW 1 ¡
4/24/19 ¡ WATCH THIEVES STEAL YOUR CAR WITH ONLY A MOBILE PHONE AND A TABLET! HEALTH CHECK 2 ¡
4/24/19 ¡ WHAT ARE TOP CYBERSECURITY THREATS FACING THE ENTERPRISE? OWASP TOP TEN T OP T EN W EB V ULNERABILITIES 2017 T OP T EN M OBILE S ECURITIES 2018 ● ● I NJECTION I MPROPER P LATFORM U SAGE ○ ○ B ROKEN A UTHENTICATION I NSECURE D ATA S TORAGE ○ ○ S ENSITIVE D ATA E XPOSURE I NSECURE C OMMUNICATION ○ ○ XML E XTERNAL E NTITIES (XXE) I NSECURE A UTHENTICATION ○ ○ ○ B ROKEN A CCESS C ONTROL ○ I NSUFFICIENT C RYPTOGRAPHY S ECURITY M ISCONFIGURATION I NSECURE A UTHORIZATION ○ ○ C ROSS -S ITE S CRIPTING (XSS) C LIENT C ODE Q UALITY ○ ○ I NSECURE D ESERIALIZATION C ODE T AMPERING ○ ○ U SING C OMPONENTS WITH K NOWN R EVERSE E NGINEERING ○ ○ V ULNERABILITIES E XTRANEOUS F UNCTIONALITY ○ I NSUFFICIENT L OGGING & M ONITORING ○ 3 ¡
4/24/19 ¡ TOP THREATS 4 ¡
4/24/19 ¡ HTTPS://WWW.YOUTUBE.COM/WATCH?V=F78UDORLL-Q TOP COMPLAINTS ABOUT SECURITY 5 ¡
4/24/19 ¡ W HY DO I HAVE TO GET PERMISSION OR GO THROUGH ACTIVE DIRECTORY FOR ACCESS ? ● S ERVICE A CCOUNTS ○ U SER A CCOUNTS ○ U SER R OLES AND P ERMISSIONS ○ W HY CAN ’ T I JUST USE GOOGLE DRIVE TO SHARE MY DOCUMENTS ? ● C LOUD P ROVIDER BREACHES ○ ● W HY CAN ’ T I JUST USE THIS OPEN SOURCE TOOL I FOUND ON GITHUB ? ● W HY DO I HAVE TO DO TWO FACTOR ? I SN ’ T MY PASSWORD GOOD ENOUGH ? A TTACK L AYERS ○ S OCIAL E NGINEERING ○ 6 ¡
4/24/19 ¡ HOW CAN YOU BECOME A SECURITY PARTNER? • • TRAINING • • • • • HTTPS :// APP . CYBRARY . IT / BROWSE • • • • • 7 ¡
4/24/19 ¡ WHEN IS ENOUGH GOOD ENOUGH? • • • • • • • PASSWORD • • • • • • • • 8 ¡
4/24/19 ¡ • VIRTUAL • • PRIVATE • • NETWORK • • (VPN) 9 ¡
4/24/19 ¡ SSL / TLS CERTIFICATES 10 ¡
4/24/19 ¡ TWO-FACTOR AUTHENTICATION AND IAM SERVICES T WO -F ACTOR AUTHENTICATION IAM S ERVICES ● ● Y UBIKEY OR U2F S ERVICE A CCOUNTS ○ ○ P USH N OTIFICATION R OLE -B ASED A CCESS C ONTROL ○ ○ T IME - BASED O NE T IME P ASSWORD (TOTP) T HIRD P ARTY SAML A UTH ○ ○ SMS / E MAIL (N OT R ECOMMENDED ) A MAZON ○ ■ ● TOTP T OOLS G OOGLE ■ G OOGLE A UTHENTICATOR ○ F ACEBOOK ■ ○ A MAZON A UTHENTICATOR F ACEBOOK A UTHENTICATOR ○ TESTING F UZZY TESTING • R AINBOW TABLES FOR BRUTE FORCING • AUTHENTICATION S ANITIZE AND V ALIDATE YOUR INPUTS • I F A USER CAN WRITE TEXT , THEY CAN EXPLOIT IT • I NJECT SQL AND XSS DURING YOUR TESTING • E NCRYPTION IN TRANSITION AND AT REST • E NCRYPT PII D ATABASES • B USINESS DEFINE PII • P ROPER ENVIRONMENT CONFIGURATIONS , SUCH AS • T HRESHOLD • L OAD BALANCING • T HROTTLE • C ACHING • 11 ¡
4/24/19 ¡ SECURITY TOOLS VPN ● S TATIC C ODE A NALYSIS ● ○ E XPRESS VPN B ANDIT (P YTHON ) ○ ○ N ORD VPN B RAKEMAN (R UBY ON R AILS ) ○ ○ C YBER G HOST G RAUDIT ○ ● T ESTING T OOLS S ONAR Q UBE ○ W APITI ○ P ASSWORD M ANAGEMENT T OOLS ● ○ Z ED A TTACK P ROXY L AST P ASS ○ ○ W3 AF 1P ASSWORD ○ ○ S KIPFISH ○ P OST M AN SECURITY TOOLS CONT. V IRUS S CANNING / M ALWARE / A D W ARE N ETWORK A NALYSIS ● ● M ALWARE B YTES W IRESHARK ○ ○ P HYSICAL P ROTECTION ● B IT D EFENDER A NTI V IRUS ○ P RIVACY S CREEN P ROTECTOR ○ K ASPERSKY A NTI V IRUS ○ F ILE T RANSFER ● A LWAYS L OCK Y OUR M ACHINE !!! ○ ○ F ILE Z ILLA ○ S TAY A CTIVE ○ W IN S CP (W INDOWS ) ■ S ELF -D EFENSE W ORKSHOPS SCP COMMAND (U NIX T ERMINAL ) M ARITAL A RTS / MMA ○ ■ C ARDIO ■ 12 ¡
4/24/19 ¡ QUESTIONS? CONTACT US! Y ESENIA Y SER YSER @ ULTIMATESOFTWARE . COM @ DORKTUX U LTIMATE SOFTWARE D IGITAL F ORENSICS | I NCIDENT R ESPONSE | S ECURITY S OFTWARE E NGINEER | J IU J ITERIA /Y OGI R ESPONSIBLE FOR DEVELOPING AND MANAGING INTERNAL SECURITY TOOLS AND FRAMEWORKS FOR DETECTING , ALERTING , ENCRYPTION AND SECURITY STANDARDS AT U LTIMATE S OFTWARE F UN F ACT : F IRST PRESENTATION AND I GRADUATE TODAY !! J ANNA L OEFFLER J LOEFFLER @ CARNIVAL . COM @J ANNA L OEFFLER C ARNIVAL C ORP & PLC S OFTWARE T ESTING | T ESTING L EADERSHIP | S ITE R ELIABILITY E NGINEERING (I DO “ THE D EV O PS ”) R ESPONSIBLE FOR DEVELOPING AND MANAGING THE TESTING AND QUALITY STANDARDS OF THE OCEAN EXPERIENCE SOFTWARE AT C ARNIVAL C ORPORATION & PLC F UN F ACT : F IRST TIME PRESENTING AT S TAR E AST ! (B UT NOT MY FIRST TIME PRESENTING ) 13 ¡
Recommend
More recommend