O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

1

Compartilhar

What Is Wrong With Software Security And How We Can Fix It

There is a set of misconceptions in the software industry that needs to be eliminated. We, as security professionals, meet these false beliefs in many places, companies, and teams. These fallacies negatively influence the process of software development and lead to vulnerable results: flawed products and services that fall prey to hackers and cause massive data breaches.
But sometimes we meet companies that are different. Somehow they manage to build a decent software security program that keeps the vulnerabilities at bay and reduces the risks to the acceptable level. There are a few key features that such companies share and we will review them during the talk.

What Is Wrong With Software Security And How We Can Fix It

  1. 1. Шо не так з безпекою коду і шо з цим можна зробити Володимир Стиран OSCP CISSP CISA berezhasecurity.com
  2. 2. Попередження Псевдонаука: мала вибірка, без peer-review Повністю базується на моєму досвіді Якщо ви впізнаєте себе, не паліться
  3. 3. Типу план З безпекою коду щось явно не так. Крапка. Відкриті питання: 1. Хто гальмує? 2. Шо робиться не так? 3. Що з цим робити?
  4. 4. Хто стейк-холдери? Розробники: • Поняття зеленого не мають про безпеку • Думають лише про фічі і дедлайни ІБшники: • Поняття зеленого не мають про розробку • Думають про бюджет, ризики і комплаянс Менеджери: • Цих ми не чіпатимемо
  5. 5. Шо не так з розробниками? Не бачать в безпеці фічу Вважають, шо код безпечний сам по собі Згадують про безпеку, коли клієнт починає ставити питання Думають, що шарять в безпеці, тому що читають дивних персонажів в Facebook
  6. 6. Шо не так з стартапами? Не думають про безпеку взагалі Не мають грошей на безпеку Змушені починати захищатися • коли виходять на великий ринок • коли вже не є стартапом (підказка: вже пізно)
  7. 7. Шо не так із ІБшниками? Прийшли з ІТ-інфраструктури або ПОО Зайняті встановленням правил (“паперові тигри”) та засобів безпеки (“блимаючі скриньки”) Так само, як і розробники, вірять, що «пентест» або «скан коду» розв’яжуть всі їхні проблеми Вірять в істинність Найкращих Практик
  8. 8. Де гальмують? Вірять, що код безпечний за замовчуванням Вірять, що безпека це «процес», «проект» чи ще якась окрема річ Вірять в «найкращі практики» Не розрізняють безпеку коду та безпеку бізнесу Поспішають автоматизувати безпеку
  9. 9. Приклади? 7-eleven Japan 3 дні 55 млн ієн ($500,000) Причина: відсутність перевірки email під час відновлення паролю в додатку 7pay (програма лояльності)
  10. 10. Приклади? Cisco Data Center Network Manager Завантаження довільного файлу Виконання довільного коду Причина: обхід автентифікації через «неправильні налаштування доступу»
  11. 11. Приклади? Zoom «Приєднання до конференції» відвідувача веб-сайту Причина: встановлення локального вебсервера, який • «допомагає» приєднуватися до конференцій та • перевстановлює Zoom, якщо ви його «раптом» видалите
  12. 12. Справжні приклади Facebook Graph Search + Unrestricted access to API + Poor user authorization + Surveillance business model + No respect to privacy =
  13. 13. В хорошому коді багів немає В найкращому коді незліченна кількість багів When Lemon Markets, Imposter Syndrome & Dunning–Kruger collide - Haroon Meer https://www.youtube.com/watch?v=YCijTioaCDw
  14. 14. Безпека це проект Безпека це процес Безпека це відчуття
  15. 15. Безпека це проект Безпека це процес Безпека це відчуття
  16. 16. Безпека це проект Безпека це процес Безпека це усвідомлення
  17. 17. Безпека бізнесу vs. Безпека продукту Закони, вимоги та контракти Доступ до бізнес-систем Внутрішні контролі Фінансові дані Персональні дані працівників Захист власності Доступність даних etc.
  18. 18. Безпека бізнесу vs. Безпека продукту Безпека користувачів Безпека від користувачів Безпека від зловмисників Безпека від конкурентів Безпека та функціональність etc.
  19. 19. Найкращі практики Адекватні практики • ISO/IEC 27034 • NIST 800-37 and 800-53 • OWASP ASVS • OWASP TG • OWASP SAMM • OWASP Top-10 • WAHH • BC NGPT • STFU && GTFO
  20. 20. Безпека це нудно. Давайте автоматизуємо! www.cossacklabs.com
  21. 21. Справжнє обличчя автоматизації DAST (Security Scanner) Не знає нічого про код Видає баги вводу/виводу КПД 15% Вимагає експерта за кермом Дешевший за SAST SAST (Source Code Analyzer) Знає все про ваш код, але нічого не розуміє Бачить баги імплементації, але не бізнес-логіки КПД 274% (з 1078% можливих) Коштує в 10-100 разів дорожче за DAST
  22. 22. Підсумуємо Розробник без спеціальної підготовки Повинен писати захищений код В якому буде лише декілька багів І їх всі знайдуть сканер безпеки та аналізатор коду Задарма
  23. 23. … але є виключення
  24. 24. Як розпізнати супергероя 1. За безпеку відповідають окремі люди 2. За безпеку бізнесу та безпеку продукту відповідають різні люди 3. Згадують про безпеку вчасно (хоча ніколи не пізно) 4. Користуються принципами побудови безпечних систем 5. Обирають правильні технологічні стеки 6. Постійно шукають баги в своїх продуктах 7. Коли не можуть знайти – кличуть інших
  25. 25. Що можна зробити просто зараз? • Тренінг для команди • Моделювання загроз • Пошук багів
  26. 26. Тренінг для команди розробки Application Security Awareness Security Champions Спеціальні тренінги: • Архітектори: безпечна архітектура та вимоги безпеки • Розробники: безпечне кодування, ревю безпеки коду • QA: тестування вимог безпеки, тестування безпеки, пентести
  27. 27. University of Maryland Software Security https://www.coursera.or g/learn/software- security/
  28. 28. Моделювання загроз 1. Що ми будуємо? 2. Що може піти не так? 3. Що з цим робити? 4. Як перевірити? How to get started with Threat Modeling, before you get hacked - Alex Wauters https://hackernoon.com/how-to-get-started-with-threat-modeling-before-you-get-hacked-1bf0ea3310df
  29. 29. Що може піти не так? S: Spoofing T: Tempering R: Repudiation I: Information leakage D: Denial of service E: Elevation of privilege Adam Shostack - Learning Threat Modeling for Security Professionals https://www.linkedin.com/learning/learning-threat-modeling-for-security-professionals
  30. 30. Та що з цим робити? Тримайте дизайн відкритим Спрощуйте де можливо Безпека за замовчуванням Давайте менше прав Розділяйте привілеї Розділяйте функціональність Централізуйте доступ Багатошарова безпека Захищайте найслабшу ланку Безпека повинна бути юзабельна Ross Anderson - Security Engineering https://www.cl.cam.ac.uk/~rja14/book.html
  31. 31. Пошук багів Просунутим: Techmaker’s appsec course Початківцям: Berezha Security appsec course Самоучкам: BugCrowd’s BugHunting 101 та інші відкриті ресурси Просто спробуйте хантити: HackerOne, BugCrowd, Synack, Intigrity…
  32. 32. Що далі? З чого почати? OWASP Kyiv https://owasp.kyiv.ua AppSec Awareness Training notes Awesome AppSec curated list AppSec Course on Coursera Web Applications Hacker’s Handbook Ross Anderson’s Security Engineering book
  33. 33. Startup Security Health Check 1 день з експертами по безпеці: • Технічне інтерв’ю з командою • Сесія з моделювання загроз • Експрес-оцінка захищеності MVP • Висновки та плани на майбутнє Українським стартапам – безкоштовно
  34. 34. Як мене знайти sapran@berezhasecurity.com https://fb.me/vstyran @arunninghacker https://t.me/arunningh4x0r
  • DianaPinchuk

    Oct. 19, 2019

There is a set of misconceptions in the software industry that needs to be eliminated. We, as security professionals, meet these false beliefs in many places, companies, and teams. These fallacies negatively influence the process of software development and lead to vulnerable results: flawed products and services that fall prey to hackers and cause massive data breaches. But sometimes we meet companies that are different. Somehow they manage to build a decent software security program that keeps the vulnerabilities at bay and reduces the risks to the acceptable level. There are a few key features that such companies share and we will review them during the talk.

Vistos

Vistos totais

260

No Slideshare

0

De incorporações

0

Número de incorporações

0

Ações

Baixados

0

Compartilhados

0

Comentários

0

Curtir

1

×