There is a set of misconceptions in the software industry that needs to be eliminated. We, as security professionals, meet these false beliefs in many places, companies, and teams. These fallacies negatively influence the process of software development and lead to vulnerable results: flawed products and services that fall prey to hackers and cause massive data breaches. But sometimes we meet companies that are different. Somehow they manage to build a decent software security program that keeps the vulnerabilities at bay and reduces the risks to the acceptable level. There are a few key features that such companies share and we will review them during the talk.

1. Шо не так з безпекою коду і
шо з цим можна зробити
Володимир Стиран
OSCP CISSP CISA
berezhasecurity.com

5. Попередження
Псевдонаука: мала вибірка, без peer-review
Повністю базується на моєму досвіді
Якщо ви впізнаєте себе, не паліться

6. Типу план
З безпекою коду щось
явно не так. Крапка.
Відкриті питання:
1. Хто гальмує?
2. Шо робиться не так?
3. Що з цим робити?

7. Хто стейк-холдери?
Розробники:
• Поняття зеленого не мають про безпеку
• Думають лише про фічі і дедлайни
ІБшники:
• Поняття зеленого не мають про розробку
• Думають про бюджет, ризики і комплаянс
Менеджери:
• Цих ми не чіпатимемо

8. Шо не так з
розробниками?
Не бачать в безпеці фічу
Вважають, шо код безпечний
сам по собі
Згадують про безпеку, коли
клієнт починає ставити питання
Думають, що шарять в безпеці,
тому що читають дивних
персонажів в Facebook

9. Шо не так з
стартапами?
Не думають про безпеку
взагалі
Не мають грошей на безпеку
Змушені починати захищатися
• коли виходять на великий
ринок
• коли вже не є стартапом
(підказка: вже пізно)

10. Шо не так із
ІБшниками?
Прийшли з ІТ-інфраструктури або ПОО
Зайняті встановленням правил
(“паперові тигри”) та засобів безпеки
(“блимаючі скриньки”)
Так само, як і розробники, вірять, що
«пентест» або «скан коду» розв’яжуть
всі їхні проблеми
Вірять в істинність Найкращих Практик

11. Де гальмують?
Вірять, що код безпечний за
замовчуванням
Вірять, що безпека це «процес»,
«проект» чи ще якась окрема річ
Вірять в «найкращі практики»
Не розрізняють безпеку коду та
безпеку бізнесу
Поспішають автоматизувати
безпеку

12. Приклади?
7-eleven Japan
3 дні
55 млн ієн ($500,000)
Причина: відсутність перевірки
email під час відновлення
паролю в додатку 7pay
(програма лояльності)

13. Приклади?
Cisco Data Center Network Manager
Завантаження довільного файлу
Виконання довільного коду
Причина: обхід автентифікації
через «неправильні налаштування
доступу»

14. Приклади?
Zoom
«Приєднання до конференції»
відвідувача веб-сайту
Причина: встановлення
локального вебсервера, який
• «допомагає» приєднуватися
до конференцій та
• перевстановлює Zoom, якщо
ви його «раптом» видалите

15. Справжні приклади
Facebook Graph Search +
Unrestricted access to API +
Poor user authorization +
Surveillance business model +
No respect to privacy =

17. В хорошому коді багів немає
В найкращому коді незліченна
кількість багів
When Lemon Markets, Imposter Syndrome & Dunning–Kruger collide - Haroon Meer
https://www.youtube.com/watch?v=YCijTioaCDw

18. Безпека це проект
Безпека це процес
Безпека це відчуття

19. Безпека це проект
Безпека це процес
Безпека це відчуття

20. Безпека це проект
Безпека це процес
Безпека це усвідомлення

21. Безпека бізнесу vs. Безпека продукту
Закони, вимоги та контракти
Доступ до бізнес-систем
Внутрішні контролі
Фінансові дані
Персональні дані працівників
Захист власності
Доступність даних
etc.

22. Безпека бізнесу vs. Безпека продукту
Безпека користувачів
Безпека від користувачів
Безпека від зловмисників
Безпека від конкурентів
Безпека та функціональність
etc.

23. Найкращі практики
Адекватні практики
• ISO/IEC 27034
• NIST 800-37 and 800-53
• OWASP ASVS
• OWASP TG
• OWASP SAMM
• OWASP Top-10
• WAHH
• BC NGPT
• STFU && GTFO

24. Безпека це нудно.
Давайте автоматизуємо!
www.cossacklabs.com

25. Справжнє обличчя автоматизації
DAST (Security Scanner)
Не знає нічого про код
Видає баги вводу/виводу
КПД 15%
Вимагає експерта за кермом
Дешевший за SAST
SAST (Source Code Analyzer)
Знає все про ваш код, але нічого
не розуміє
Бачить баги імплементації, але
не бізнес-логіки
КПД 274% (з 1078% можливих)
Коштує в 10-100 разів дорожче
за DAST

26. Підсумуємо
Розробник без спеціальної
підготовки
Повинен писати захищений код
В якому буде лише декілька багів
І їх всі знайдуть сканер безпеки та
аналізатор коду
Задарма

28. … але є виключення

29. Як розпізнати
супергероя
1. За безпеку відповідають окремі люди
2. За безпеку бізнесу та безпеку продукту
відповідають різні люди
3. Згадують про безпеку вчасно (хоча
ніколи не пізно)
4. Користуються принципами побудови
безпечних систем
5. Обирають правильні технологічні стеки
6. Постійно шукають баги в своїх
продуктах
7. Коли не можуть знайти – кличуть інших

30. Що можна зробити
просто зараз?
• Тренінг для команди
• Моделювання загроз
• Пошук багів

31. Тренінг для команди
розробки
Application Security Awareness
Security Champions
Спеціальні тренінги:
• Архітектори: безпечна архітектура
та вимоги безпеки
• Розробники: безпечне кодування,
ревю безпеки коду
• QA: тестування вимог безпеки,
тестування безпеки, пентести

32. University of
Maryland
Software Security
https://www.coursera.or
g/learn/software-
security/

33. Моделювання загроз
1. Що ми будуємо?
2. Що може піти не так?
3. Що з цим робити?
4. Як перевірити?
How to get started with Threat Modeling, before you get hacked - Alex Wauters
https://hackernoon.com/how-to-get-started-with-threat-modeling-before-you-get-hacked-1bf0ea3310df

34. Що може піти
не так?
S: Spoofing
T: Tempering
R: Repudiation
I: Information leakage
D: Denial of service
E: Elevation of privilege
Adam Shostack - Learning Threat Modeling for Security Professionals
https://www.linkedin.com/learning/learning-threat-modeling-for-security-professionals

35. Та що з цим робити?
Тримайте дизайн відкритим
Спрощуйте де можливо
Безпека за замовчуванням
Давайте менше прав
Розділяйте привілеї
Розділяйте функціональність
Централізуйте доступ
Багатошарова безпека
Захищайте найслабшу ланку
Безпека повинна бути юзабельна
Ross Anderson - Security Engineering
https://www.cl.cam.ac.uk/~rja14/book.html

36. Пошук багів
Просунутим: Techmaker’s
appsec course
Початківцям: Berezha
Security appsec course
Самоучкам: BugCrowd’s
BugHunting 101 та інші
відкриті ресурси
Просто спробуйте хантити:
HackerOne, BugCrowd,
Synack, Intigrity…

37. Що далі?
З чого почати?
OWASP Kyiv https://owasp.kyiv.ua
AppSec Awareness Training notes
Awesome AppSec curated list
AppSec Course on Coursera
Web Applications Hacker’s Handbook
Ross Anderson’s Security Engineering book

38. Startup Security
Health Check
1 день з експертами по безпеці:
• Технічне інтерв’ю з командою
• Сесія з моделювання загроз
• Експрес-оцінка захищеності MVP
• Висновки та плани на майбутнє
Українським стартапам –
безкоштовно

39. Як мене знайти
sapran@berezhasecurity.com
https://fb.me/vstyran
@arunninghacker
https://t.me/arunningh4x0r