Titulo Estágio
Security Testing for Security Critical Software
Local do Estágio
Coimbra
Enquadramento
About Feedzai:
Feedzai is a company that makes bleeding-edge machine learning software. The world’s mightiest payment networks, banks and retailers use us to prevent fraud when customers shop in store, online or via mobile devices. Backed by years of hardcore work and funding from amazing investors (Oak HC/FT, Sapphire Ventures, Data Collective) we’re at the inflection point of growth.
Context:
A Feedzai é uma empresa especializada no uso de técnicas avançadas de machine learning e big data para detecção e prevenção de fraude em comércio electrónico. Tendo sido fundada em 2009 como um spin-off da Universidade de Coimbra, conta hoje com mais de 300 colaboradores e clientes nos Estados Unidos, Europa, África e Ásia. Diariamente a Feedzai processa transações no valor de 5 mil milhões de euros nos vários clientes que usam a sua plataforma.
A plataforma da Feedzai é um sistema complexo e distribuído. São desenvolvidos diversos componentes internamente que permitem dotar os nossos clientes das melhores ferramentas de combate à fraude bancária numa escala global. Estes componentes desenvolvidos in-house integram também com diversos componentes de suporte como Zookeeper, RabbitMQ, Cassandra, Spark, Hadoop/YARN sendo que todos estes componentes e dependências associadas ao desenvolvimento dos nossos produtos contribuem para que o número de vectores de ataque seja bastante grande, e como tal é necessário definir um número de medidas para garantir que os nossos produtos são seguros e não apresentam falhas que possam ser exploradas por possíveis atacantes.
Para além da grande atenção que é dada aos testes a nível funcional, a Feedzai dá uma grande atenção a testes do nível não funcional, como Performance, Segurança, Reliability, entre outros.
A Feedzai é parceira de entidades bancárias de renome a nível mundial, entidades estas que exigem o cumprimento de certificações / normais relacionadas com a Segurança da Informação, como são exemplo o ISO27001, SOC2 Type-2 ou PCI-DSS. De forma a garantir que a Feedzai e o software desenvolvido pela Feedzai é seguro e cumpre as melhores normais a nível de segurança, por diversas vezes são realizadas auditorias de segurança, ao nível do software disponibilizado pela Feedzai, de forma a garantir que o cumpre com os requisitos base das certificações contra as quais é auditado.
Objetivo
Objectivos Globais:
O objectivo deste estágio passa por re-definir a estratégia atual da Feedzai ao nível dos testes de segurança realizados aos seus productos, de forma a garantir que todo o software desenvolvido cumpre os requisitos de confidencialidade, integridade, disponibilidade, autenticação e autorização.
Inicialmente deve ser feita uma análise ao processos actualmente em prática, de forma a ter um conhecimento generalizado da stack de desenvolvimento da Feedzai, com principal foco na área da segurança informática ao nível de desenvolvimento de software.
Em seguida deve ser feita uma análise ao state-of-the-art relativamente aos Testes de Segurança e às melhores práticas de desenvolvimento de software seguro.
A análise efectuada nos pontos anteriores deve servir como base de partida para a definição dos novos processos, que podem incluir:
→ definição de políticas de desenvolvimento de software seguro;
→ definição de um processo de assessments de segurança interno ao nível do produto;
→ implementação de suítes automáticas de testes de segurança, integradas no ambiente de
Continuous Integration da Feedzai de forma a detectar regressões ao nível de segurança.
As práticas acima mencionadas, devem preparar o produto da Feedzai para lidar com assessments de segurança para certificações como ISO 27001 e PCI DSS (Level 1), e para além de repetir o sucesso apresentado anteriormente, contribuir para melhorar o score final e o feedback recolhido pela empresa junto das entidades de certificação.
Plano de Trabalhos - Semestre 1
Durante este semestre existem três objetivos principais:
• Integrar o estagiário na stack de código da Feedzai de forma a conhecer os diversos
produtos e tecnologias usadas por cada um deles e identificar práticas de segurança
seguidas pelas equipas.
• Estudo do ‘state-of-the-art’ relativamente a ferramentas / normas e práticas de segurança
ao nível do desenvolvimento de software
• Identificação de requisitos juntamente com o CISO (Chief Information Security Officer) e definição de uma nova abordagem para os Testes e Assessments de Segurança a nível do desenvolvimento de produto na Feedzai.
Abordagem:
Será adoptada uma abordagem iterativa, baseada em Scrum, em que em cada ciclo (duas a três semanas) serão definidos objectivos a cumprir, assim como procedimentos de avaliação. Existirão reuniões semanais de acompanhamento do trabalho.
Atividades a desenvolver durante o semestre:
• Familiarização com os diversos produtos desenvolvidos pela Feedzai.
• Familiarização e estudo detalhado dos processos definidos ao nível da Segurança
Informática e aplicados pelas equipas de desenvolvimento da Feedzai.
• Identificação dos principais problemas do processo atual e definição de requisitos para o
novo processo, tendo como base requisitos de normas como ISO 27001, PCI-DSS e SOC2 Type II.
• Definição de processos e medidas a implementar com base na análise dos pontos
Anteriores.
• Escrita do relatório intermédio de estágio.
Plano de Trabalhos - Semestre 2
Durante este semestre o objectivo principal é:
• Definição de guião para assessment de segurança ao nível do software para os produtos
da Feedzai;
• Implementar suites automaticas de Testes de Segurança, utilizando técnicas de análise
estática, dinâmica ou híbrida) para os diversos produtos da Feedzai;
Abordagem:
Será adoptada uma abordagem iterativa de desenvolvimento, baseada em Scrum, em que em cada ciclo de desenvolvimento (duas a três semanas) serão definidas experiências ou funcionalidades a implementar, assim como procedimentos de avaliação. Existirão reuniões semanais de acompanhamento do trabalho.
Atividades a desenvolver durante o semestre:
• Implementação das ferramentas de segurança, juntamente com as suites de testes;
• Deploy das ferramentas em ambientes de Continuous Integration, para garantir que
alterações ao sistema não introduzem falhas de segurança já conhecidas;
• Avaliação e optimização de performance da ferramenta nos ambientes da Feedzai;
• Acompanhamento de um processo de certificação de segurança, ao nível da auditoria
efectuada aos produtos fornecidos pela Feedzai.
• Escrita do relatório de estágio
Condições
PC
Remote work
Flexible schedule
Orientador
Patricio Baptista
patricio.batista@feedzai.com 📩