SlideShare uma empresa Scribd logo

Sichere Webanwendungen mit OpenSAMM

O
OPTIMAbit GmbH

How to implement secure software development lifecycle (SDLC) using OpenSAMM.

Tecnologia
1 de 15
Baixar para ler offline
Secure Software Development Lifecycle für Webanwendungen
Hintergrund Der Sicherer SDLC OPTIMAbit GmbH arbeitet seit 2005 aktiv im Bereich sicherer SDLC. Das Ziel ist es, Unternehmen bei der Planung und Umsetzung zu unterstützen. In diesem Vortrag geht es darum, ein Überblick über die wichtigste Aspekte des sicheren SDLCs zu gewinnen Es wird hier das Model „OpenSAMM“ (Software Assurance Maturity Model) als Beispiel verwendet. Copyright OPTIMAbit GmbH, 2011
Komplexität erzeugt Unsicherheit Je komplexer eine Anwendung , desto schwieriger die Absicherung. Verglichen mit Anwendungen, sind Netzwerke relativ einfach. Schwachstellen entstehen aus Fehlern in: – Design / Architektur – Implementierung – Deployment & Konfiguration – Laufzeitumgebung Copyright OPTIMAbit GmbH, 2011
Strategische Lösung: Sicherer SDLC Überblick sicherer Software Development Lifecycle (SDLC) Das Open Software Assurance Maturity Model (SAMM) definiert strategische Maßnahmen für sichere Software. Ein OWASP Projekt Andere Modelle existieren auch, z.B. Microsoft, BSI-MM. Copyright OPTIMAbit GmbH, 2011
Wichtige Teile eines Secure SDLC Diese Aktivitäten sichern eine Basislinie für sichere Webapps Governance Construction Verification Deployment Appsec Sicherheits- Pentest Hardening Standard anforderungen Sichere Vulnerability Ausbildung Code Review Frameworks Mgmt Copyright OPTIMAbit GmbH, 2011
Anwendungssicherheit Standard Vorgaben für sicheres Design und Architektur Application Security Standards: definieren Standards für sichere Policies Anwendungen auf hohem Abstraktionsniveau unterstützen technische Mitarbeiter, Standards Architekten und Projektleiter (Inhouse und Outsourcing) sind hochstrukturiert --- keine Richtlinien desorganisierte Listen von „Best Practices“ Copyright OPTIMAbit GmbH, 2011
Anwendungssicherheit Standard (Inhalt) Beispielinhalt und Umfang Standards für: Eingabevalidierung Fehlerbehandling Allgemeine Anwendungen Session Management Webanwendungen HTML & HTTP Webservices Zugriff auf Datenbanken SAP Uvm… Copyright OPTIMAbit GmbH, 2011
Code Review Ihr Code wird auf Qualität und Sicherheit geprüft Code Reviews sorgen für sichere Code Anwendungen und erhöhte Code- Entwicklung Qualität. Developers Es ist sinnvoll, entweder ein Expertenteam auszubilden oder Tickets & Review & Feedback externe Unterstützung zu holen. Analyse Plus: schnell und wiederholbar Update, Filter, Management Analyse Minus: False Positives, False Negatives Tool OPTIMA Review Team Copyright OPTIMAbit GmbH, 2011
Penetrationstest einer Webanwendung Qualität ist entscheidend --- Gute Tests brauchen auch Zeit Ein hochwertiger Pentest: ist strukturiert nach OWASP Standards und BSI Kriterien. Kickoff Testing Analyse Reporting erkennt aktuelle Schwachstellen. baut primär auf manueller Expertentest (Tools auch wichtig) ausführlich dokumentiert mit nachvollziehbare Risikobewertungen. Copyright OPTIMAbit GmbH, 2011
Ausblick & Empfehlungen Ist-Aufnahme über den SDLC Wo steht man und was ist zu tun? Operational Strategy & Metrics 1 Policy & Enablement 0,8 Compliance Maßnahmen daraus ableiten Environment Hardening 0,6 Education & Guidance 0,4 0,2 Pentest und Code Review auf Vulnerability Management 0 Threat Assessment regulärer Basis setzen Security Security Testing Requirements Security Standards für Anwendungen Code Review Secure Architecture definieren Design Review Copyright OPTIMAbit GmbH, 2011
Zielsetzung (Jahresplan) Binnen 1 Jahr den Basisschutz erreichen 1 0,8 Eine ausgewogene Verteilung 0,6 der Sicherheit ist wichtig 0,4 0,2 2011: Basisschutz soll erreicht 0 werden 2012: fortgeschrittener Schutz soll erreicht werden Aktueller Stand Basisschutz (2011) Fortg. Schutz (2012) Copyright OPTIMAbit GmbH, 2011
Vielen Dank für Ihre Aufmerksamkeit
Über OPTIMbit GmbH Fokus Kunden Credo IT-Sicherheit für Unternehmen Herstellerneutrale Anwendungen ab ca. 500 Beratung von & Mitarbeitern höchster Qualität Infrastrukturen
Ein komplettes Angebot Secure Software Lifecycle • Pentest, Code Quality, Policies Zertifizierung & Compliance • ISO 2700X, PCI-DSS Enterprise Systeme • IBM, Oracle, SAP Lösungen • WAF, SSO, IdM, SmartCard Seminare & Awareness • Anwender, Entwickler, Manager Copyright OPTIMAbit GmbH, 2011
Kontakt OPTIMAbit GmbH Dr. Bruce Sams Marktplatz 2 85375 Neufahrn Tel.: +49 8165/65095 Fax +49 8165/65096 bruce.sams@optimabit.com www.optimabit.com Copyright OPTIMAbit GmbH, 2011

Recomendados

Microprofile.io - Cloud Native mit Java EE
Microprofile.io - Cloud Native mit Java EEMicroprofile.io - Cloud Native mit Java EE
Microprofile.io - Cloud Native mit Java EEMichael Hofmann
 
Microprofile.io
Microprofile.io Microprofile.io
Microprofile.io ARS Computer und Consulting GmbH
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
The Ultimate Guide to Quality Software Through Offshoring
The Ultimate Guide to Quality Software Through OffshoringThe Ultimate Guide to Quality Software Through Offshoring
The Ultimate Guide to Quality Software Through OffshoringcoMakeIT
 
Thoughtful theming
Thoughtful themingThoughtful theming
Thoughtful themingonefinejay
 
Offshoring frukostseminarium 20110831
Offshoring frukostseminarium 20110831Offshoring frukostseminarium 20110831
Offshoring frukostseminarium 20110831Daniel Palm
 
Offshoring in morocco
Offshoring in moroccoOffshoring in morocco
Offshoring in moroccoSara FARJANI
 
Agile Day Tunisia - ScrumShore 2.0 For Playful Offshoring Agile
Agile Day Tunisia - ScrumShore 2.0 For Playful Offshoring AgileAgile Day Tunisia - ScrumShore 2.0 For Playful Offshoring Agile
Agile Day Tunisia - ScrumShore 2.0 For Playful Offshoring AgileTunisia Scrum User Group
 

Recomendados

Microprofile.io - Cloud Native mit Java EE
Microprofile.io - Cloud Native mit Java EEMicroprofile.io - Cloud Native mit Java EE
Microprofile.io - Cloud Native mit Java EEMichael Hofmann
 
Microprofile.io
Microprofile.io Microprofile.io
Microprofile.io ARS Computer und Consulting GmbH
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
The Ultimate Guide to Quality Software Through Offshoring
The Ultimate Guide to Quality Software Through OffshoringThe Ultimate Guide to Quality Software Through Offshoring
The Ultimate Guide to Quality Software Through OffshoringcoMakeIT
 
Thoughtful theming
Thoughtful themingThoughtful theming
Thoughtful themingonefinejay
 
Offshoring frukostseminarium 20110831
Offshoring frukostseminarium 20110831Offshoring frukostseminarium 20110831
Offshoring frukostseminarium 20110831Daniel Palm
 
Offshoring in morocco
Offshoring in moroccoOffshoring in morocco
Offshoring in moroccoSara FARJANI
 
Agile Day Tunisia - ScrumShore 2.0 For Playful Offshoring Agile
Agile Day Tunisia - ScrumShore 2.0 For Playful Offshoring AgileAgile Day Tunisia - ScrumShore 2.0 For Playful Offshoring Agile
Agile Day Tunisia - ScrumShore 2.0 For Playful Offshoring AgileTunisia Scrum User Group
 
Testautomatisierung mit CodedUI für Fortgeschrittende
Testautomatisierung mit CodedUI für FortgeschrittendeTestautomatisierung mit CodedUI für Fortgeschrittende
Testautomatisierung mit CodedUI für FortgeschrittendeNico Orschel
 
Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand
Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand
Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand ELEKS
 
Faktoren für die erfolgreiche CRM-Einführung - Thomas Gabriel
Faktoren für die erfolgreiche CRM-Einführung - Thomas GabrielFaktoren für die erfolgreiche CRM-Einführung - Thomas Gabriel
Faktoren für die erfolgreiche CRM-Einführung - Thomas GabrielCRM Partners AG
 
C1 SetCon Cloud Performance
C1 SetCon Cloud PerformanceC1 SetCon Cloud Performance
C1 SetCon Cloud PerformanceMarc Rieger
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserDigicomp Academy AG
 
Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Ernest Wallmueller
 
Testmanagement mit Visual Studio 2013 / CodedUI / Neues aus der Produktgruppe...
Testmanagement mit Visual Studio 2013 / CodedUI / Neues aus der Produktgruppe...Testmanagement mit Visual Studio 2013 / CodedUI / Neues aus der Produktgruppe...
Testmanagement mit Visual Studio 2013 / CodedUI / Neues aus der Produktgruppe...Nico Orschel
 
Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter MittelstandDahamoo GmbH
 
Markus Schranner: "Das Lean Startup Prinzip - Potentiale für NGOs und soziale...
Markus Schranner: "Das Lean Startup Prinzip - Potentiale für NGOs und soziale...Markus Schranner: "Das Lean Startup Prinzip - Potentiale für NGOs und soziale...
Markus Schranner: "Das Lean Startup Prinzip - Potentiale für NGOs und soziale...Socialbar
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstCarsten Muetzlitz
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerMartin Obst
 
Heicon global engineering
Heicon global engineeringHeicon global engineering
Heicon global engineeringMartin Heininger
 
Trusted Shops und LeanIX Enterprise Architektur Management Success Story
Trusted Shops und LeanIX Enterprise Architektur Management Success StoryTrusted Shops und LeanIX Enterprise Architektur Management Success Story
Trusted Shops und LeanIX Enterprise Architektur Management Success StoryLeanIX GmbH
 
Bausteine für ein Enterprise 2.0 Vorgehensmodell
Bausteine für ein Enterprise 2.0 VorgehensmodellBausteine für ein Enterprise 2.0 Vorgehensmodell
Bausteine für ein Enterprise 2.0 VorgehensmodellJoachim Niemeier
 
CCPP
CCPPCCPP
CCPPNadineZ
 
CEC POWER Lizenztransfers DE
CEC POWER Lizenztransfers DECEC POWER Lizenztransfers DE
CEC POWER Lizenztransfers DECOMMON Europe
 
Cobit
CobitCobit
CobitMonica Carrion
 
Mehr Softwarequalität: TeamCleanCoding
Mehr Softwarequalität: TeamCleanCodingMehr Softwarequalität: TeamCleanCoding
Mehr Softwarequalität: TeamCleanCodingIKS Gesellschaft für Informations- und Kommunikationssysteme mbH
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Virtual Forge
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 

Mais conteúdo relacionado

Semelhante a Sichere Webanwendungen mit OpenSAMM

Testautomatisierung mit CodedUI für Fortgeschrittende
Testautomatisierung mit CodedUI für FortgeschrittendeTestautomatisierung mit CodedUI für Fortgeschrittende
Testautomatisierung mit CodedUI für FortgeschrittendeNico Orschel
 
Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand
Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand
Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand ELEKS
 
Faktoren für die erfolgreiche CRM-Einführung - Thomas Gabriel
Faktoren für die erfolgreiche CRM-Einführung - Thomas GabrielFaktoren für die erfolgreiche CRM-Einführung - Thomas Gabriel
Faktoren für die erfolgreiche CRM-Einführung - Thomas GabrielCRM Partners AG
 
C1 SetCon Cloud Performance
C1 SetCon Cloud PerformanceC1 SetCon Cloud Performance
C1 SetCon Cloud PerformanceMarc Rieger
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserDigicomp Academy AG
 
Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Ernest Wallmueller
 
Testmanagement mit Visual Studio 2013 / CodedUI / Neues aus der Produktgruppe...
Testmanagement mit Visual Studio 2013 / CodedUI / Neues aus der Produktgruppe...Testmanagement mit Visual Studio 2013 / CodedUI / Neues aus der Produktgruppe...
Testmanagement mit Visual Studio 2013 / CodedUI / Neues aus der Produktgruppe...Nico Orschel
 
Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter MittelstandDahamoo GmbH
 
Markus Schranner: "Das Lean Startup Prinzip - Potentiale für NGOs und soziale...
Markus Schranner: "Das Lean Startup Prinzip - Potentiale für NGOs und soziale...Markus Schranner: "Das Lean Startup Prinzip - Potentiale für NGOs und soziale...
Markus Schranner: "Das Lean Startup Prinzip - Potentiale für NGOs und soziale...Socialbar
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstCarsten Muetzlitz
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerMartin Obst
 
Trusted Shops und LeanIX Enterprise Architektur Management Success Story
Trusted Shops und LeanIX Enterprise Architektur Management Success StoryTrusted Shops und LeanIX Enterprise Architektur Management Success Story
Trusted Shops und LeanIX Enterprise Architektur Management Success StoryLeanIX GmbH
 
Bausteine für ein Enterprise 2.0 Vorgehensmodell
Bausteine für ein Enterprise 2.0 VorgehensmodellBausteine für ein Enterprise 2.0 Vorgehensmodell
Bausteine für ein Enterprise 2.0 VorgehensmodellJoachim Niemeier
 
CEC POWER Lizenztransfers DE
CEC POWER Lizenztransfers DECEC POWER Lizenztransfers DE
CEC POWER Lizenztransfers DECOMMON Europe
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Virtual Forge
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 

Semelhante a Sichere Webanwendungen mit OpenSAMM (20)

Testautomatisierung mit CodedUI für Fortgeschrittende
Testautomatisierung mit CodedUI für FortgeschrittendeTestautomatisierung mit CodedUI für Fortgeschrittende
Testautomatisierung mit CodedUI für Fortgeschrittende
 
Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand
Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand
Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand
 
Faktoren für die erfolgreiche CRM-Einführung - Thomas Gabriel
Faktoren für die erfolgreiche CRM-Einführung - Thomas GabrielFaktoren für die erfolgreiche CRM-Einführung - Thomas Gabriel
Faktoren für die erfolgreiche CRM-Einführung - Thomas Gabriel
 
C1 SetCon Cloud Performance
C1 SetCon Cloud PerformanceC1 SetCon Cloud Performance
C1 SetCon Cloud Performance
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer Wegweiser
 
Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?
 
Testmanagement mit Visual Studio 2013 / CodedUI / Neues aus der Produktgruppe...
Testmanagement mit Visual Studio 2013 / CodedUI / Neues aus der Produktgruppe...Testmanagement mit Visual Studio 2013 / CodedUI / Neues aus der Produktgruppe...
Testmanagement mit Visual Studio 2013 / CodedUI / Neues aus der Produktgruppe...
 
Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter Mittelstand
 
Markus Schranner: "Das Lean Startup Prinzip - Potentiale für NGOs und soziale...
Markus Schranner: "Das Lean Startup Prinzip - Potentiale für NGOs und soziale...Markus Schranner: "Das Lean Startup Prinzip - Potentiale für NGOs und soziale...
Markus Schranner: "Das Lean Startup Prinzip - Potentiale für NGOs und soziale...
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin Obst
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
 
Heicon global engineering
Heicon global engineeringHeicon global engineering
Heicon global engineering
 
Trusted Shops und LeanIX Enterprise Architektur Management Success Story
Trusted Shops und LeanIX Enterprise Architektur Management Success StoryTrusted Shops und LeanIX Enterprise Architektur Management Success Story
Trusted Shops und LeanIX Enterprise Architektur Management Success Story
 
Bausteine für ein Enterprise 2.0 Vorgehensmodell
Bausteine für ein Enterprise 2.0 VorgehensmodellBausteine für ein Enterprise 2.0 Vorgehensmodell
Bausteine für ein Enterprise 2.0 Vorgehensmodell
 
CCPP
CCPPCCPP
CCPP
 
CEC POWER Lizenztransfers DE
CEC POWER Lizenztransfers DECEC POWER Lizenztransfers DE
CEC POWER Lizenztransfers DE
 
Cobit
CobitCobit
Cobit
 
Mehr Softwarequalität: TeamCleanCoding
Mehr Softwarequalität: TeamCleanCodingMehr Softwarequalität: TeamCleanCoding
Mehr Softwarequalität: TeamCleanCoding
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
 

Sichere Webanwendungen mit OpenSAMM

  • 1. Secure Software Development Lifecycle für Webanwendungen
  • 2. Hintergrund Der Sicherer SDLC OPTIMAbit GmbH arbeitet seit 2005 aktiv im Bereich sicherer SDLC. Das Ziel ist es, Unternehmen bei der Planung und Umsetzung zu unterstützen. In diesem Vortrag geht es darum, ein Überblick über die wichtigste Aspekte des sicheren SDLCs zu gewinnen Es wird hier das Model „OpenSAMM“ (Software Assurance Maturity Model) als Beispiel verwendet. Copyright OPTIMAbit GmbH, 2011
  • 3. Komplexität erzeugt Unsicherheit Je komplexer eine Anwendung , desto schwieriger die Absicherung. Verglichen mit Anwendungen, sind Netzwerke relativ einfach. Schwachstellen entstehen aus Fehlern in: – Design / Architektur – Implementierung – Deployment & Konfiguration – Laufzeitumgebung Copyright OPTIMAbit GmbH, 2011
  • 4. Strategische Lösung: Sicherer SDLC Überblick sicherer Software Development Lifecycle (SDLC) Das Open Software Assurance Maturity Model (SAMM) definiert strategische Maßnahmen für sichere Software. Ein OWASP Projekt Andere Modelle existieren auch, z.B. Microsoft, BSI-MM. Copyright OPTIMAbit GmbH, 2011
  • 5. Wichtige Teile eines Secure SDLC Diese Aktivitäten sichern eine Basislinie für sichere Webapps Governance Construction Verification Deployment Appsec Sicherheits- Pentest Hardening Standard anforderungen Sichere Vulnerability Ausbildung Code Review Frameworks Mgmt Copyright OPTIMAbit GmbH, 2011
  • 6. Anwendungssicherheit Standard Vorgaben für sicheres Design und Architektur Application Security Standards: definieren Standards für sichere Policies Anwendungen auf hohem Abstraktionsniveau unterstützen technische Mitarbeiter, Standards Architekten und Projektleiter (Inhouse und Outsourcing) sind hochstrukturiert --- keine Richtlinien desorganisierte Listen von „Best Practices“ Copyright OPTIMAbit GmbH, 2011
  • 7. Anwendungssicherheit Standard (Inhalt) Beispielinhalt und Umfang Standards für: Eingabevalidierung Fehlerbehandling Allgemeine Anwendungen Session Management Webanwendungen HTML & HTTP Webservices Zugriff auf Datenbanken SAP Uvm… Copyright OPTIMAbit GmbH, 2011
  • 8. Code Review Ihr Code wird auf Qualität und Sicherheit geprüft Code Reviews sorgen für sichere Code Anwendungen und erhöhte Code- Entwicklung Qualität. Developers Es ist sinnvoll, entweder ein Expertenteam auszubilden oder Tickets & Review & Feedback externe Unterstützung zu holen. Analyse Plus: schnell und wiederholbar Update, Filter, Management Analyse Minus: False Positives, False Negatives Tool OPTIMA Review Team Copyright OPTIMAbit GmbH, 2011
  • 9. Penetrationstest einer Webanwendung Qualität ist entscheidend --- Gute Tests brauchen auch Zeit Ein hochwertiger Pentest: ist strukturiert nach OWASP Standards und BSI Kriterien. Kickoff Testing Analyse Reporting erkennt aktuelle Schwachstellen. baut primär auf manueller Expertentest (Tools auch wichtig) ausführlich dokumentiert mit nachvollziehbare Risikobewertungen. Copyright OPTIMAbit GmbH, 2011
  • 10. Ausblick & Empfehlungen Ist-Aufnahme über den SDLC Wo steht man und was ist zu tun? Operational Strategy & Metrics 1 Policy & Enablement 0,8 Compliance Maßnahmen daraus ableiten Environment Hardening 0,6 Education & Guidance 0,4 0,2 Pentest und Code Review auf Vulnerability Management 0 Threat Assessment regulärer Basis setzen Security Security Testing Requirements Security Standards für Anwendungen Code Review Secure Architecture definieren Design Review Copyright OPTIMAbit GmbH, 2011
  • 11. Zielsetzung (Jahresplan) Binnen 1 Jahr den Basisschutz erreichen 1 0,8 Eine ausgewogene Verteilung 0,6 der Sicherheit ist wichtig 0,4 0,2 2011: Basisschutz soll erreicht 0 werden 2012: fortgeschrittener Schutz soll erreicht werden Aktueller Stand Basisschutz (2011) Fortg. Schutz (2012) Copyright OPTIMAbit GmbH, 2011
  • 12. Vielen Dank für Ihre Aufmerksamkeit
  • 13. Über OPTIMbit GmbH Fokus Kunden Credo IT-Sicherheit für Unternehmen Herstellerneutrale Anwendungen ab ca. 500 Beratung von & Mitarbeitern höchster Qualität Infrastrukturen
  • 14. Ein komplettes Angebot Secure Software Lifecycle • Pentest, Code Quality, Policies Zertifizierung & Compliance • ISO 2700X, PCI-DSS Enterprise Systeme • IBM, Oracle, SAP Lösungen • WAF, SSO, IdM, SmartCard Seminare & Awareness • Anwender, Entwickler, Manager Copyright OPTIMAbit GmbH, 2011
  • 15. Kontakt OPTIMAbit GmbH Dr. Bruce Sams Marktplatz 2 85375 Neufahrn Tel.: +49 8165/65095 Fax +49 8165/65096 bruce.sams@optimabit.com www.optimabit.com Copyright OPTIMAbit GmbH, 2011