Sikkerhed i applikationsudvikling

Transkript

1 Sikkerhed i applikationsudvikling 9/6/2012 1

2 Indehold Hvem Cybercom Hvem er Hvor galt kan det gå med sikkerheds sårbarheder i applikations udvikling: Royal bank of Scotland eksempel Hvad kan man gøre ved det: Secure Development Life Cycle. Hvor skal man starte og hvilke metoder findes. 9/6/2012 2

3 Cybercom Secure Secure Software Development Training and Education Security reviews Security Verification Application Security Penetration Tests Code reviews Vulnerability scans Security Management Assessments and advisory services Compliance Management Secure Procurement PCI DSS, PA-DSS, ASV

4 10 års erfaring af IT i globale firmaer Information Security Manager Arbejdet med at introducere sikkerheds bevidsthed og check-points i projekt og drift Strategi, teknik og management. Sammenbinder teknik og forretningsbehov. Har arbejdet i hele livscyklussen. CISSP, Information Security Management (2008), ITILv3, og Scrum master certificeringer. maya.retzlaff@cybercom.com Telefon: /6/2012 4

5 Ridiculous excuses Nobody will ever do that Nobody will find it We ve always done like that We have firewalls We buy all our software and twenty more excuses which all FAIL

6 Har i set den forud? 9/6/2012 6

7 Example: Royal Bank of Scotland Worlds 5th biggest bank Worlds 10th biggest company employees Earnings of about $55 bn USD/year

8 Royal Bank of Scotland

9 Royal Bank of Scotland 4 Nov 2008 Pleschuk (Ryssland) Tsurikov (Estland) Hacker 3 Covelin (Moldavien)

10 Royal Bank of Scotland 8 Nov 2008 Access to the database via SQL 44 cards Raises credit limit Raises withdrawal limit 12 hours

11 Royal Bank of Scotland

12 Royal Bank of Scotland

13 Royal Bank of Scotland

14 Royal Bank of Scotland What went wrong? 1. Web vulnerabilities were exploited they hadn t been identified or closed in design, requirements, implementation or testing. What were the consequences for RBS? 1. Direct losses of up to $9,5M 2. Cost of investigation (LinkedIn paid between $.5 and $1M in 2012) 3. 1,5 million letters to send and cards to renew (~ $10-20M?) 4. Negative publicity 5. Lost PCI certification (unknown cost) 6. (attention from other hackers)

15 Secure Software Development Overview

16 Nøgle elementer Awareness! Vælg et rammeværk startup hjælp Standard krav og guidelines som sikkerheds eksperter er med og udarbejder Krav til leverandører. webbyrå Mål og metrics Sikker kodning et kvalitets spørgsmål OWASP Top 10, SANS Top 25. Trussels analyser og attack surface analyser Test og verification Security push 1 uges fokus på sikkerhed? 9/6/

17 Hvor skal man starte Krav Design Udvikling Test & verifikation Deploy /Installatio n Produktion /Response Genbrug eksisterende processer indarbejde det i foretningen Start med Krav og Design for starte forandrings arbejdet hvor også eksisterende processer kan bruges Udvikling udbedring bør fokuseres på kompetens og værktøjer Test og verifikation. Lavt hængende frugt, men gentester er nødvendige. 9/6/

18 Trussels analyse

19 Hvorfor Secure Development Life Cycle Forretningen Forandrings takt og innovation øger risiko for sårbarheder Omkostningseffektivt og mindsker risiko for sårbarheder Prioritering af sikkerhed efter forretningsbehov Those practicing SDL specifically reported better ROI than the over all population Forrester Consulting Formålet med applikationer er at ændre data, men under hvilke forudsætninger, af hvem, hvornår skal kontrolleres. Compliance: Behov at beskytte forretningen men også bruger (persondata, branche specifikke krav) og kontraktuelle krav (PCI) Cyberterror 9/6/

20 Hvorfor SDL Udviklings afdelingen Brug smart devices (smartphone, tablet, infrastruktur enablers,) som driv kraft til at gemenføre SDL Viden i udviklings teamet er en god investering. De fleste udnyttede sårbarheder i dag er i applikations laget. 95% af alle firma hjemmesider indeholder alvorlige sårbarheder IT-Infrastruktur er ikke krigzonen Stil krav til leverandører. Op til 40% af sårbarheder er fra 3je parts leverandører. Glem ikke middelware og open source frameworks. 9/6/

21 Hvor kommer konceptet fra Krav Design Udvikling Test & verifikation Deploy /Installation Produktion/ Response Software development lifecycle er ikke noget nyt. SDL er en måde at få med sikkerhed i hele forløbet. Det findes flere metoder som kan bruges: Microsoft, OWASP og andre gratis rammeverk. Det findes processer og metoder som er tilpasset organisationer som fokuserer på CMMI, Agile/Scrum/ og vandfalds modeller Baseret på ISO/IEC faserne - bliver brugt i traditionelle vandfalds model men aktiviteterne gennemføres også i agile projekter. SDL processen handler om at sikkerhed bliver en del af både medarbejdere, teknik og processer God projektledelse en forudsætning. 9/6/

22 Secure Software Development Overview Secure Development Lifecycle

23 Secure Software Development Overview Microsoft SDL Agile Carl-Johan Bostorp

24 Secure Software Development Overview Carl-Johan Bostorp

25 Secure Software Development Overview S A M M Security Assurance Maturity Model

26 Questions?

27 9/6/