Sikkerhed i applikationsudvikling 9/6/2012 1
Indehold Hvem Cybercom Hvem er Hvor galt kan det gå med sikkerheds sårbarheder i applikations udvikling: Royal bank of Scotland eksempel Hvad kan man gøre ved det: Secure Development Life Cycle. Hvor skal man starte og hvilke metoder findes. 9/6/2012 2
Cybercom Secure Secure Software Development Training and Education Security reviews Security Verification Application Security Penetration Tests Code reviews Vulnerability scans Security Management Assessments and advisory services Compliance Management Secure Procurement PCI DSS, PA-DSS, ASV 2012-09-06 3
10 års erfaring af IT i globale firmaer Information Security Manager Arbejdet med at introducere sikkerheds bevidsthed og check-points i projekt og drift Strategi, teknik og management. Sammenbinder teknik og forretningsbehov. Har arbejdet i hele livscyklussen. CISSP, Information Security Management (2008), ITILv3, og Scrum master certificeringer. Email: maya.retzlaff@cybercom.com Telefon: 29383823 9/6/2012 4
Ridiculous excuses Nobody will ever do that Nobody will find it We ve always done like that We have firewalls We buy all our software and twenty more excuses which all FAIL 2012-09-06 5
Har i set den forud? 9/6/2012 6
Example: Royal Bank of Scotland Worlds 5th biggest bank Worlds 10th biggest company 170 000 employees Earnings of about $55 bn USD/year 2012-09-06 7
Royal Bank of Scotland 2012-09-06 8
Royal Bank of Scotland 4 Nov 2008 Pleschuk (Ryssland) Tsurikov (Estland) Hacker 3 Covelin (Moldavien) 2012-09-06 9
Royal Bank of Scotland 8 Nov 2008 Access to the database via SQL 44 cards Raises credit limit Raises withdrawal limit 12 hours 2012-09-06 10
Royal Bank of Scotland 2012-09-06 11
Royal Bank of Scotland 2012-09-06 12
Royal Bank of Scotland 2012-09-06 13
Royal Bank of Scotland What went wrong? 1. Web vulnerabilities were exploited they hadn t been identified or closed in design, requirements, implementation or testing. What were the consequences for RBS? 1. Direct losses of up to $9,5M 2. Cost of investigation (LinkedIn paid between $.5 and $1M in 2012) 3. 1,5 million letters to send and cards to renew (~ $10-20M?) 4. Negative publicity 5. Lost PCI certification (unknown cost) 6. (attention from other hackers) 2012-09-06 14
Secure Software Development Overview 2012-09-06 15
Nøgle elementer Awareness! Vælg et rammeværk startup hjælp Standard krav og guidelines som sikkerheds eksperter er med og udarbejder Krav til leverandører. webbyrå Mål og metrics Sikker kodning et kvalitets spørgsmål OWASP Top 10, SANS Top 25. Trussels analyser og attack surface analyser Test og verification Security push 1 uges fokus på sikkerhed? 9/6/2012 16
Hvor skal man starte Krav Design Udvikling Test & verifikation Deploy /Installatio n Produktion /Response Genbrug eksisterende processer indarbejde det i foretningen Start med Krav og Design for starte forandrings arbejdet hvor også eksisterende processer kan bruges Udvikling udbedring bør fokuseres på kompetens og værktøjer Test og verifikation. Lavt hængende frugt, men gentester er nødvendige. 9/6/2012 17
Trussels analyse 2012-09-06 18
Hvorfor Secure Development Life Cycle Forretningen Forandrings takt og innovation øger risiko for sårbarheder Omkostningseffektivt og mindsker risiko for sårbarheder Prioritering af sikkerhed efter forretningsbehov Those practicing SDL specifically reported better ROI than the over all population Forrester Consulting Formålet med applikationer er at ændre data, men under hvilke forudsætninger, af hvem, hvornår skal kontrolleres. Compliance: Behov at beskytte forretningen men også bruger (persondata, branche specifikke krav) og kontraktuelle krav (PCI) Cyberterror 9/6/2012 19
Hvorfor SDL Udviklings afdelingen Brug smart devices (smartphone, tablet, infrastruktur enablers,) som driv kraft til at gemenføre SDL Viden i udviklings teamet er en god investering. De fleste udnyttede sårbarheder i dag er i applikations laget. 95% af alle firma hjemmesider indeholder alvorlige sårbarheder IT-Infrastruktur er ikke krigzonen Stil krav til leverandører. Op til 40% af sårbarheder er fra 3je parts leverandører. Glem ikke middelware og open source frameworks. 9/6/2012 20
Hvor kommer konceptet fra Krav Design Udvikling Test & verifikation Deploy /Installation Produktion/ Response Software development lifecycle er ikke noget nyt. SDL er en måde at få med sikkerhed i hele forløbet. Det findes flere metoder som kan bruges: Microsoft, OWASP og andre gratis rammeverk. Det findes processer og metoder som er tilpasset organisationer som fokuserer på CMMI, Agile/Scrum/ og vandfalds modeller Baseret på ISO/IEC 12207 faserne - bliver brugt i traditionelle vandfalds model men aktiviteterne gennemføres også i agile projekter. SDL processen handler om at sikkerhed bliver en del af både medarbejdere, teknik og processer God projektledelse en forudsætning. 9/6/2012 21
Secure Software Development Overview Secure Development Lifecycle 2012-09-06 22
Secure Software Development Overview Microsoft SDL Agile 2012-09-06 23 Carl-Johan Bostorp
Secure Software Development Overview 2012-09-06 24 Carl-Johan Bostorp
Secure Software Development Overview S A M M Security Assurance Maturity Model 2012-09-06 25
Questions? 2012-09-06 26
9/6/2012 27