Банковский SDL своими...
Transcript of Банковский SDL своими...
![Page 1: Банковский SDL своими руками2015.zeronights.org/assets/files/30-Shabalin.pdfБанковский sdl своими руками ... • Постоянный мониторинг](https://reader033.fdocument.pub/reader033/viewer/2022042612/5f42188c1041c135fa002730/html5/thumbnails/1.jpg)
Банковский SDL своими руками
Шабалин Юрий
![Page 2: Банковский SDL своими руками2015.zeronights.org/assets/files/30-Shabalin.pdfБанковский sdl своими руками ... • Постоянный мониторинг](https://reader033.fdocument.pub/reader033/viewer/2022042612/5f42188c1041c135fa002730/html5/thumbnails/2.jpg)
SDLC в классическом понимании
Жизненный цикл ПО — период времени, который начинается с момента принятия решения о необходимости создания программного продукта и заканчивается в момент его полного изъятия из эксплуатации. Этот цикл — процесс построения и развития ПО. Wikipedia
Этапы: 1. Формирование требований 2. Проектирование 3. Реализация 4. Тестирование 5. Внедрение 6. Эксплуатация и сопровождение ЦБ РФ: ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА СТАДИЯХ ЖИЗНЕННОГО ЦИКЛА АВТОМАТИЗИРОВАННЫХ БАНКОВСКИХ СИСТЕМ
![Page 3: Банковский SDL своими руками2015.zeronights.org/assets/files/30-Shabalin.pdfБанковский sdl своими руками ... • Постоянный мониторинг](https://reader033.fdocument.pub/reader033/viewer/2022042612/5f42188c1041c135fa002730/html5/thumbnails/3.jpg)
Ожидания руководства ИБ
• Закрытие существующих уязвимостей • Обнаружение новых уязвимостей • Повышение грамотности и осведомленности разработчиков • РЕГЛАМЕНТ безопасной разработки L • Объяснение уязвимостей языком, понятным разработчикам
![Page 4: Банковский SDL своими руками2015.zeronights.org/assets/files/30-Shabalin.pdfБанковский sdl своими руками ... • Постоянный мониторинг](https://reader033.fdocument.pub/reader033/viewer/2022042612/5f42188c1041c135fa002730/html5/thumbnails/4.jpg)
Что мы имеем
• Изобилие систем собственной разработки (50+)
• Различные команды разработки
• Внешние (неподконтрольные) подрядчики для разработки
• Отсуствие Code Style, Code Review в командах
• Неграмотность разработчиков в области безопасности
![Page 5: Банковский SDL своими руками2015.zeronights.org/assets/files/30-Shabalin.pdfБанковский sdl своими руками ... • Постоянный мониторинг](https://reader033.fdocument.pub/reader033/viewer/2022042612/5f42188c1041c135fa002730/html5/thumbnails/5.jpg)
I AM THE SDLC
Со стороны ИБ есть один человек, который занимается software security и попытками построения SDLC …
SDL(C)?
![Page 6: Банковский SDL своими руками2015.zeronights.org/assets/files/30-Shabalin.pdfБанковский sdl своими руками ... • Постоянный мониторинг](https://reader033.fdocument.pub/reader033/viewer/2022042612/5f42188c1041c135fa002730/html5/thumbnails/6.jpg)
Основные проблемы
• Непонимание необходимости устранения уязвимостей Зачем устранять, 100 лет так жили? А сколько денег мы сэкономим?
• Непонимание сути уязвимостей вообще Да у нас всё зашифровано, всё под SSL, какая ещё SQL-инъекция?
• Нежелание отдавать исходный код безопасникам, традиционное отношение к нам, как к карательно-запретительному органу
• Ожидания разработчиков: обезьяна на инструменте с кнопкой FWD MAIL.
![Page 7: Банковский SDL своими руками2015.zeronights.org/assets/files/30-Shabalin.pdfБанковский sdl своими руками ... • Постоянный мониторинг](https://reader033.fdocument.pub/reader033/viewer/2022042612/5f42188c1041c135fa002730/html5/thumbnails/7.jpg)
Чем убеждать
• Эксплуатация уязвимостей (скриншоты, описание реализации)
• Внятное описание проблем и последствий эксплуатации уязвимостей Понимается куда лучше, чем УГРОЗЫ КОНФИДЕНЦИАЛЬНОСТИ, НАРУШЕНИЕ ЦЕЛОСТНОСТИ, ДОСТУПНОСТИ, !!1!!1!
• Разъяснение, как именно нужно закрыть и что сделать, чтобы такая уязвимость не появилась снова.
![Page 8: Банковский SDL своими руками2015.zeronights.org/assets/files/30-Shabalin.pdfБанковский sdl своими руками ... • Постоянный мониторинг](https://reader033.fdocument.pub/reader033/viewer/2022042612/5f42188c1041c135fa002730/html5/thumbnails/8.jpg)
Чем завоевать доверие
• Понимание процесса разработки изнутри Понимание проблем, ошибок, боли программистов. Как внедрить систему с минимальными потерями...
• Выстраивание дружественных отношений вместо регламентных Максимальное встраивание в процесс разработки, использование существующего иструментария (CI, Nightly Builds, Bug trackers)
• Выступаю "переводчиком" с языка отчётов по пентесту, оповещений CERT, писем “I HACK U GIMME MONEY” Объяснить, что имелось ввиду, как и где это поправить, что сделать, чтобы не повторялось в дальнейшем
![Page 9: Банковский SDL своими руками2015.zeronights.org/assets/files/30-Shabalin.pdfБанковский sdl своими руками ... • Постоянный мониторинг](https://reader033.fdocument.pub/reader033/viewer/2022042612/5f42188c1041c135fa002730/html5/thumbnails/9.jpg)
Инструменты
Инструменты стандартны и не интересны* Fortify, Burp, Metasploit, SQLmap, Acunetix, AppScan ...
*Главное не использовать их из коробки там, где это возможно
![Page 10: Банковский SDL своими руками2015.zeronights.org/assets/files/30-Shabalin.pdfБанковский sdl своими руками ... • Постоянный мониторинг](https://reader033.fdocument.pub/reader033/viewer/2022042612/5f42188c1041c135fa002730/html5/thumbnails/10.jpg)
Результат
• Закрыли кучу критических уязвимостей, через
которые могли бы поломать клиентов и сервисы.
• Постоянный мониторинг изменения кода и
добавления нового функционала
• Мониторим попытки эксплуатации исправленных
уязвимостей на SIEM
• Что нельзя закрыть или оперативно исправить –
закрываем виртуальными патчами на WAF
• Повышаем уровень доверия разработчиков к ИБ
Некоторые команды сами приходят к нам и
просят проверить приложение
![Page 11: Банковский SDL своими руками2015.zeronights.org/assets/files/30-Shabalin.pdfБанковский sdl своими руками ... • Постоянный мониторинг](https://reader033.fdocument.pub/reader033/viewer/2022042612/5f42188c1041c135fa002730/html5/thumbnails/11.jpg)
Текущий статус
• Регулярно анализируем исходный код приложений • Добиваем внешних разработчиков на предоставление кода существующих систем
• Навязываем обязательный аудит исходников перед приёмкой приложения
• Сканирование стороннего кода при добавлении в проекты
• Периодически пентестим ресурсы Банка и помогаем исправлять выявленные уязвимости
![Page 12: Банковский SDL своими руками2015.zeronights.org/assets/files/30-Shabalin.pdfБанковский sdl своими руками ... • Постоянный мониторинг](https://reader033.fdocument.pub/reader033/viewer/2022042612/5f42188c1041c135fa002730/html5/thumbnails/12.jpg)
Дальнейшие планы
• Развитие направления Application Security
• Полноценное включение в процесс
динамических анализаторов и Web-сканеров
![Page 13: Банковский SDL своими руками2015.zeronights.org/assets/files/30-Shabalin.pdfБанковский sdl своими руками ... • Постоянный мониторинг](https://reader033.fdocument.pub/reader033/viewer/2022042612/5f42188c1041c135fa002730/html5/thumbnails/13.jpg)
Вопросы?
[email protected] https://www.linkedin.com/in/YuryShabalin
*Special thanks to Mona for providing images