Sikkerhed i applikationsudvikling

Relaterede dokumenter
IT-sikkerhed som et byggeprojekt?

Den røde tråd fra testdækning til releasemetrikker

Security & Risk Management Summit

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

xrm både en applikation og en ramme for hurtig udvikling af løsninger til strukturet relationshåndtering og understøttelse af forretningsprocesser

Projektledelse i praksis

Spillemyndighedens certificeringsprogram. Retningslinjer for sårbarhedsscanning SCP DK.1.0

Vores mange brugere på musskema.dk er rigtig gode til at komme med kvalificerede ønsker og behov.

Lars Neupart Director GRC Stifter, Neupart

Executive Circle - Integration. Forretningsspor

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

Kurser og certificeringer

Online kursus: Certified Information Security Manager (CISM)

IT projekt. sæt et mål og nå det med omtanke!

IoT-sikkerhed. Trusler og løsninger i produktionsapparatet og intelligente produkter

Managing Risk Enabling Growth. Jacob Herbst, CTO, Dubex A/S Søborg, den 7. november 2013

From innovation to market

CMS Support for Patient- Centered Medical Homes. Linda M. Magno Director, Medicare Demonstrations

Peak Consulting Group er en førende skandinavisk management konsulentvirksomhed

FortConsult IT Security

Outsourcing af test. Your Flexible Outsourcing Partner

Sport for the elderly

Trolling Master Bornholm 2012

Byg din informationsarkitektur ud fra en velafprøvet forståelsesramme The Open Group Architecture Framework (TOGAF)

MSE PRESENTATION 2. Presented by Srunokshi.Kaniyur.Prema. Neelakantan Major Professor Dr. Torben Amtoft

LEADit & USEit 2018 CampusHuset - Campus Bindslevs Plads i Silkeborg 25. Oktober 2018

United Nations Secretariat Procurement Division

Lovkrav vs. udvikling af sundhedsapps

How Long Is an Hour? Family Note HOME LINK 8 2

Design til digitale kommunikationsplatforme-f2013

Learnings from the implementation of Epic

PROGRAM Erfaring - Inspiration - Network - Idéer - Viden. HP Test Brugergruppe Brugerkonference. 11. november 2010

Status fra Sikkerhedsfronten. Jens Borup Pedersen DK-CERT/DeiC

Kursus-introduktion. IT Sikkerhed Efterår /09/2012 ITU 0.1

KMD s tilgang til cybertrussler. Public

Trolling Master Bornholm 2014

1. Formål og mål med indførelsen af værktøjet

Velkommen VI BYGGER DANMARK MED IT

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

South Arne HSEQ Esbjerg 30-03

Test af Cloud-baserede løsninger DSTB Ole Chr. Hansen Managing Consultant

Vina Nguyen HSSP July 13, 2008

Handelsbanken. Lennart Francke, Head of Accounting and Control. UBS Annual Nordic Financial Service Conference August 25, 2005

Mobil Awareness 2011 CSIS Security Group

SAS USER FORUM DENMARK 2017 USER FORUM. Rune Nordtorp

Sikkerhed på nettet for applikationer og identiteter

Optimér din forretning med Master Data Management til Microsoft Dynamics AX

DRIFT VEDLIGEHOLDELSE IO-ANALYSE EG Copyright

Humanistisk Disruption. Morten Albæk Menneske og grundlægger af Voluntas Investments & Advisory November, 2016

Coromatic Drift og Vedligehold

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

Spillemyndighedens krav til akkrediterede testvirksomheder. Version af 1. juli 2012

Instituttet for Fremtidsforskning / Copenhagen Institute for Futures Studies

Agil test tilgang - erfaringer fra projekter

Et debatoplæg af Nordcad Systems A/S. Component flow hvordan vælge man de rigtige komponenter?

9 tips til højere konverteringsrate på mobile enheder Præsenteret af Mogens Møller CEO ved Sleeknote & CRO Specialist

KLAR TIL NYE MULIGHEDER

DNV GL BUSINESS ASSURANCE FOR MEJERITEKNISK SELSKAB

PHP Quick Teknisk Ordbog

Spillemyndighedens certificeringsprogram. Retningslinjer for indtrængningsefterprøvning SCP DK.1.1

EFFEKTIV OG SKALERBAR HÅNDTERING AF SÅRBARHEDER. F-Secure Radar

Agenda. The need to embrace our complex health care system and learning to do so. Christian von Plessen Contributors to healthcare services in Denmark

ATU Seminar 2014: Innova4on

Experience. Knowledge. Business. Across media and regions.

Gradvis implementering af bæredygtighed i leverandørkæden igennem en branchetilgang. Michael K Jakobsen, NEPCon

Anvendelse af standarder skaber værdi fra GTIN til UDI. Jesper Kervin Franke GS1 Denmark

- Teknologiske Trends - Cases - Opsummering

Service Desken. Med brug af SCRUM og KANBAN

DSB s egen rejse med ny DSB App. Rubathas Thirumathyam Principal Architect Mobile

Privacy-by-design. & compliance i forhold til persondataforordningen med DCR-grafer. Thomas T. Hildebrandt. IT Universitet i København

Den digitale virkelighed

The SourceOne Family Today and Tomorrow. Michael Søriis Business Development Manager, EMC FUJITSU

S&OP I PANDORA FORSKNINGSRESULTATER INDENFOR 30/

New ventures based on open innovation - an empirical analysis of start-up firms in embedded Linux

BRUTTO CV Peter Petersen

Trolling Master Bornholm 2016 Nyhedsbrev nr. 3

Roadshow: ITIL V3 hvordan træder man ud af børneskoene?

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

PROJEKTLEDELSE I RAMBØLL AGENDA

Effektivt samarbejde og videndeling via Organisatorisk Implementering af SharePoint

Security & Risk Management Update 2017

Om forretningsmæssige kompetencer

Velkommen SAS Forum 2010

Software Assurance (SA)

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

Statistical information form the Danish EPC database - use for the building stock model in Denmark

Microsoft Dynamics CRM 2011 (CRM2011) From a Technical point of view

MODERNE TRUSLER OG MODERNE LØSNINGER. Gert Læssøe Mikkelsen Head of Security Lab, Alexandra Instituttet A/S

Trolling Master Bornholm 2014

TOM NYMANN. Kursets Undervisere. PRINCE2 Projektledelse. PRINCE2 Foundation & Practitioner

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

Improving data services by creating a question database. Nanna Floor Clausen Danish Data Archives

Per Østergaard Jacobsen. Bedre bruger oplevelser med BIG DATA og effektiv styring!

Deloitte Cyber Awareness Training Træning af medarbejderne i informationssikkerhed er med til at beskytte virksomheden mod cyberkriminalitet.

Revision af studieordninger

Market overview 17 December 2018

CURRICULUM VITAE Bjarke Sucksdorff

Melbourne Mercer Global Pension Index

Spillemyndighedens certificeringsprogram Retningslinjer for sårbarhedsscanning

LEVERANDØR TIL STAT, KOMMUNER, INTERNATIONALE ORGANISATIONER, SMÅ OG STORE VIRKSOMHEDER NATIONALT OG INTERNATIONALT

Transkript:

Sikkerhed i applikationsudvikling 9/6/2012 1

Indehold Hvem Cybercom Hvem er Hvor galt kan det gå med sikkerheds sårbarheder i applikations udvikling: Royal bank of Scotland eksempel Hvad kan man gøre ved det: Secure Development Life Cycle. Hvor skal man starte og hvilke metoder findes. 9/6/2012 2

Cybercom Secure Secure Software Development Training and Education Security reviews Security Verification Application Security Penetration Tests Code reviews Vulnerability scans Security Management Assessments and advisory services Compliance Management Secure Procurement PCI DSS, PA-DSS, ASV 2012-09-06 3

10 års erfaring af IT i globale firmaer Information Security Manager Arbejdet med at introducere sikkerheds bevidsthed og check-points i projekt og drift Strategi, teknik og management. Sammenbinder teknik og forretningsbehov. Har arbejdet i hele livscyklussen. CISSP, Information Security Management (2008), ITILv3, og Scrum master certificeringer. Email: maya.retzlaff@cybercom.com Telefon: 29383823 9/6/2012 4

Ridiculous excuses Nobody will ever do that Nobody will find it We ve always done like that We have firewalls We buy all our software and twenty more excuses which all FAIL 2012-09-06 5

Har i set den forud? 9/6/2012 6

Example: Royal Bank of Scotland Worlds 5th biggest bank Worlds 10th biggest company 170 000 employees Earnings of about $55 bn USD/year 2012-09-06 7

Royal Bank of Scotland 2012-09-06 8

Royal Bank of Scotland 4 Nov 2008 Pleschuk (Ryssland) Tsurikov (Estland) Hacker 3 Covelin (Moldavien) 2012-09-06 9

Royal Bank of Scotland 8 Nov 2008 Access to the database via SQL 44 cards Raises credit limit Raises withdrawal limit 12 hours 2012-09-06 10

Royal Bank of Scotland 2012-09-06 11

Royal Bank of Scotland 2012-09-06 12

Royal Bank of Scotland 2012-09-06 13

Royal Bank of Scotland What went wrong? 1. Web vulnerabilities were exploited they hadn t been identified or closed in design, requirements, implementation or testing. What were the consequences for RBS? 1. Direct losses of up to $9,5M 2. Cost of investigation (LinkedIn paid between $.5 and $1M in 2012) 3. 1,5 million letters to send and cards to renew (~ $10-20M?) 4. Negative publicity 5. Lost PCI certification (unknown cost) 6. (attention from other hackers) 2012-09-06 14

Secure Software Development Overview 2012-09-06 15

Nøgle elementer Awareness! Vælg et rammeværk startup hjælp Standard krav og guidelines som sikkerheds eksperter er med og udarbejder Krav til leverandører. webbyrå Mål og metrics Sikker kodning et kvalitets spørgsmål OWASP Top 10, SANS Top 25. Trussels analyser og attack surface analyser Test og verification Security push 1 uges fokus på sikkerhed? 9/6/2012 16

Hvor skal man starte Krav Design Udvikling Test & verifikation Deploy /Installatio n Produktion /Response Genbrug eksisterende processer indarbejde det i foretningen Start med Krav og Design for starte forandrings arbejdet hvor også eksisterende processer kan bruges Udvikling udbedring bør fokuseres på kompetens og værktøjer Test og verifikation. Lavt hængende frugt, men gentester er nødvendige. 9/6/2012 17

Trussels analyse 2012-09-06 18

Hvorfor Secure Development Life Cycle Forretningen Forandrings takt og innovation øger risiko for sårbarheder Omkostningseffektivt og mindsker risiko for sårbarheder Prioritering af sikkerhed efter forretningsbehov Those practicing SDL specifically reported better ROI than the over all population Forrester Consulting Formålet med applikationer er at ændre data, men under hvilke forudsætninger, af hvem, hvornår skal kontrolleres. Compliance: Behov at beskytte forretningen men også bruger (persondata, branche specifikke krav) og kontraktuelle krav (PCI) Cyberterror 9/6/2012 19

Hvorfor SDL Udviklings afdelingen Brug smart devices (smartphone, tablet, infrastruktur enablers,) som driv kraft til at gemenføre SDL Viden i udviklings teamet er en god investering. De fleste udnyttede sårbarheder i dag er i applikations laget. 95% af alle firma hjemmesider indeholder alvorlige sårbarheder IT-Infrastruktur er ikke krigzonen Stil krav til leverandører. Op til 40% af sårbarheder er fra 3je parts leverandører. Glem ikke middelware og open source frameworks. 9/6/2012 20

Hvor kommer konceptet fra Krav Design Udvikling Test & verifikation Deploy /Installation Produktion/ Response Software development lifecycle er ikke noget nyt. SDL er en måde at få med sikkerhed i hele forløbet. Det findes flere metoder som kan bruges: Microsoft, OWASP og andre gratis rammeverk. Det findes processer og metoder som er tilpasset organisationer som fokuserer på CMMI, Agile/Scrum/ og vandfalds modeller Baseret på ISO/IEC 12207 faserne - bliver brugt i traditionelle vandfalds model men aktiviteterne gennemføres også i agile projekter. SDL processen handler om at sikkerhed bliver en del af både medarbejdere, teknik og processer God projektledelse en forudsætning. 9/6/2012 21

Secure Software Development Overview Secure Development Lifecycle 2012-09-06 22

Secure Software Development Overview Microsoft SDL Agile 2012-09-06 23 Carl-Johan Bostorp

Secure Software Development Overview 2012-09-06 24 Carl-Johan Bostorp

Secure Software Development Overview S A M M Security Assurance Maturity Model 2012-09-06 25

Questions? 2012-09-06 26

9/6/2012 27

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback