O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

AppSec, ключ на старт! / Юрий Сергеев (Swordfish Security)

248 visualizações

Publicada em

РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 10:00

Тезисы:
http://ritfest.ru/2017/abstracts/2756.html

В сложной экосистеме разработки программного обеспечения, даже если инициатива Appllication Security получила зеленый свет и надлежащий бюджет, множество проблем остаются нерешенными для успешного старта: множество дорогостоящих инструментов SAST / DAST / IAST / RASP, минимальное количество appsec-специалистов на рынке труда, несовершенные инженерные процессы, отсутствие метрик и измеримых индикаторов успеха и т.д.

В рамках данной сессии будет продемонстрирован тактический подход для запуска центра компетенций (Software Security Group), адресующий вопросы как приоритезации, масштабируемости, управления портфелем разрабатываемых приложений в контуре AppSec, так и аспекты мотивации команд. Будет презентована структура фреймворка BSIMM как основа практик AppSec и представлена типовая дорожная карта развития зрелости инженерных организаций. Также будут представлены ключевые слагаемые успеха, необходимые для построения концепции SecDevOps в рамках цикла разработки защищенного ПО (Secure Software Development Lifecycle) вместе с практическими рекомендациями.

Publicada em: Engenharia
  • Seja o primeiro a comentar

AppSec, ключ на старт! / Юрий Сергеев (Swordfish Security)

  1. 1. AppSec, ключ на старт! Юрий Сергеев, Swordfish Security
  2. 2. Про что говорим? • Challenges • Модель зрелости AppSec • C чего начать? • SecDevOps • Типовая дорожная карта для старта SSG • Ключевые выводы
  3. 3. Technology Providers STRENGTH DOES NOT COME FROM PHYSICAL CAPACITY IT COMES FROM AN INDOMITABLE WILL >Одна из инженерных практик производства ПО >Минимизация рисков ИБ на ранних стадиях / Shift-Left Трансформация >Повышение Time-to-Market для новых продуктов и сервисов через DevOps >Скачок в качестве разрабатываемых продуктов и сервисов >KYC – Know Your Codebase >Позитивное влияние на Бренд AppSec by Nature
  4. 4. >Shift-Left SSDL = Требования / Архитектура / Модель Угроз >Разнородный инструментальный стек и необходимость интеграции в единый pipeline >Взаимодействие с инженерными командами >Сокращение Технологического Долга >Быстрый и эффективный запуск инициативы AppSec >Нечеткая формулировка Целевой Модели AppSec >Дорожная карта развития SSDL (не только SAST/DAST/и т.д.) Challenges for AppSec Beginners
  5. 5. Challenges for AppSec Professionals >Обеспечение прозрачности всей инициативы AppSec на всех уровнях >AppSec KPIs >Риск-ориентированный подход для идентификации / исправления дефектов >Контроль покрытия портфеля приложений / сервисов в контуре AppSec >Управление зрелостью (BSIMM) >Эффективность инструментария AppSec >AppSec + Agile + DevOps = SecDevOps
  6. 6. ПРОГРАММА ОСВЕДОМЛЕННОСТИ Евангелисты AppSec Программа тренингов Программа осведомленности Обучение ТОП менеджмента БЕЗОПАСНОСТЬ ИЗНУТРИ Код-ревью Анализ Архитектуры Контроль Open Source компонент Статический анализ кода Модель угроз УПРАВЛЕНИЕ ПРОЦЕССАМИ Контрольные точки SSDL Гайдлайны разработки защищенного ПО Метрики ТЕСТИРОВАНИЕ БЕЗОПАСНОСТИ Фаззинг Тест-кейсы ИБ Методика тестирования ИБ Динамический анализ Тестирование на проникновение РАЗВИТИЕ ЭКСПЕРТИЗЫ Развитие сообщества Менторинг Список Top Bugs Программа Bug Bounty УПРАВЛЕНИЕ РИСКАМИ APPSEC Риск-профили приложений Риск-менеджмент Репозиторий ПД Управление Compliance рисками Политики Маркетинговая программа ИНСТРУМЕНТЫИ ИНФРАСТРУКТУРА AppSec Портал “Фабрика” AppSec SecDevOps
  7. 7. BSIMM – Building Security In Maturity Model
  8. 8. ACCURACY OF RESULTS AND BUSINESS VALUE AppSec NOW ! SAST DAST PENETRATION TESTING ETHICAL HACKING + RED TEAMING РУЧНОЙ АНАЛИЗ СТОИМОСТЬ ТОЧНОСТЬ И ЦЕННОСТЬ РЕЗУЛЬТАТОВ РУЧНОЙ АНАЛИЗ АВТОМАТИЗИРОВАННЫЙ АНАЛИЗ ТОЧНОСТЬ РЕЗУЛЬТАТОВ АВТОМАТИЗИРОВАННЫЙ АНАЛИЗ СТОИМОСТЬ ТОЧНОСТЬ И ЦЕННОСТЬ РЕЗУЛЬТАТОВ СТОИМОСТЬ ТОЧНОСТЬ И ЦЕННОСТЬ РЕЗУЛЬТАТОВ СТОИМОСТЬ ТОЧНОСТЬ И ЦЕННОСТЬ РЕЗУЛЬТАТОВ АВТОМАТИЗИРОВАННЫЙ АНАЛИЗ
  9. 9. Роль Security Champion Требования к защищенности Экосистема SSDL Процессные метрики Практики разработки защищенного ПО Управление знаниямии поддержка экспертов Защищенные приложения не появляются случайно Модель состоит из 6 основных элементов
  10. 10. AppSec Program Management AppSec Metrics 2 1 AppSec Orchestration 3 Maturity Mgmt App Risk Profile Application Portfolio AppSec Practices Security Gates Threat Models Req Mgmt Center of Excellence Software Risks MTTR SAST DAST Defect Mgmt SCM CD REST API Lead Time MTTD Custom Scan Rules eLearning Platform AppSec Intelligence Product Size Risk Density Open Src Risk Mgmt WRI Karma CI Incremental Scan Base Advanced IAST RASP Re-opened Defects Ratio FP Rate Automation Efficiency
  11. 11. • Скорость исправления дефектов не соответствует SLA в 1.5 раза • Идентификация дефектов происходит поздно • Среднее время жизни исправляемых дефектов = ½ релизного цикла • Среднее время жизни всех дефектов превышает допустимый SLA в 4 раза • Копим негативный технологический долг • В PROD среде значительное кол-во неисправленных дефектов • Повысить приоритет задачи в командах разработки • Добавить дополнительные ресурсы ФАКТЫ: ПОСЛЕДСТВИЯ: ДЕЙСТВИЯ:
  12. 12. • Средняя длительность релизного цикла за полтора года не изменилась • Cкорость идентификации и исправления дефектов позитивна (растет) • В целом, позитивный тренд • Однако, исходя из предыдущей картины не хватает ресурсов, чтобы обеспечить сходимость процесса • Регулярный мониториг сохранения тренда • Drill-down анализ ФАКТЫ: ПОСЛЕДСТВИЯ: ДЕЙСТВИЯ:
  13. 13. • WRI превышает пороговый уровень более чем в 6 раз • Растущий тренд открытых дефектов • Наибольший вклад привносят программы Sigma и Gamma • Крайне высока вероятность компрометации приложений / сервисов разрабатываемых в указанных программах • В PROD среде значительное кол-во неисправленных дефектов • Повысить приоритет задачи в командах разработки • Добавить дополнительные ресурсы ФАКТЫ: ПОСЛЕДСТВИЯ: ДЕЙСТВИЯ:
  14. 14. ФАКТЫ: ПОСЛЕДСТВИЯ: ДЕЙСТВИЯ: • SAST – одна из самых зрелых практик • Fuzzing – одна из самых отстающих практик • Практически отсутствуют организационные практики контроля результатов (SSDL Gates) • Практики в программе Delta выполняются не успешно • Приложения / сервисы в рамках программы Delta – источник повышенного риска • Возможно появление скрытых дефектов не выявленных практикой Fuzz Testing • Команды разработки не берут на себя ответственность за дефекты, т.к. нету формального sign-off • Добавить AppSec ресурсов в программу Delta • Обратить внимание на экспертизу Fuzz Testing
  15. 15. ПРИМЕР ДОРОЖНОЙ КАРТЫ ОТСУТСТВУЕТНАЧАЛЬНЫЙСРЕДНИЙПРОДВИНУТЫЙЭКСПЕРТНЫЙ ОСВЕДОМЛЕННОСТЬ АДАПТАЦИЯ СОВЕРШЕНСТВОВАНИЕИССЛЕДОВАНИЕ DAST SAST + CI COMMUNICATION PLAN PENETRATION TESTING OPEN SOURCE RISK MGMT EXPERT ANALYSIS VULNERABILITY MGMT LIFECYCLE SOFTWARE SECURITY PRACTICES ROLLOUT ROADMAP SLA / SECURITY POLICIES SAST + DEFECT TRACKING PORTAL SECURITY CHAMPION TECHNICAL DEBT ANALYSIS TECHNICAL TRAINING SECURITY CODING GUIDELINES ARCHITECTURE & REQUIREMENTS THREAT MODEL IAST / RASP AWARENESS TRAINING CTF CHALLENGE
  16. 16. Используйте модель зрелости BSIMM как отправную точку для планирования AppSec активностей. BSIMM дает хорошее понимание Definition of Done. Модель зрелости BSIMM Ни одна из практик по отдельности не является панацеей. Только грамотное совмещение всех практик в необходимой пропорции в рамках единого, сквозного процесса даст вам Value for Money. SAST / DAST / Pen Test Базовые столпы о которых необходимо всегда помнить и принимать во внимании при стратегическом планировании задач AppSec. 6 Слагаемых Успеха Инструмент, позволяющий со всеми стейкхолдерами говорить на одном языке – от младшего инжерена до акционера. Метрики Ключевые моменты
  17. 17. Спасибо! yuri@swordfishsecurity.com

×