Presentation from CyberGov.pl 2015
-
Upload
pawel-krawczyk -
Category
Technology
-
view
217 -
download
0
Transcript of Presentation from CyberGov.pl 2015
PAWEŁ KRAWCZYKTESTOWANIE BEZPIECZEŃSTWA APLIKACJI
Otoczenie prawno-organizacyjne
• GDS (Government Digital Services)• GOV.UK, Government Gateway, IDA, PSN• Akty prawne, standardy, rekomendacje, interpretacje
• CESG (Communications-Electronics Security Group)• GPG 43 – Requirements of Secure Delivery of Online Public Services• GPG dotyczące uwierzytelniania, zarządzania tożsamością itd.
• Zarządzanie bezpieczeństwem oparte na ocenie ryzyka• Podejście IDA(BC) Authentication Policy
• G-Cloud (IaaS, PaaS, SaaS, SCS, 1200 dostawców, 80% MŚP)• ISO 27001, Cyber Essentials
• Obowiązkowa akredytacja systemów• Szeroki zakres, podejście procesowe
Przygotowanie projektu
• Analiza potrzeb klienta• Analizy ryzyka, metody uwierzytelniania, poziomy zabezpieczeń, klasyfikacja
danych
• Architektura aplikacji• Logiczna separacja danych, metody uwierzytelniania
• Szkolenia dla architektów i programistów• Przygotowane pod kątem konkretnej platformy
Bezpieczeństwo operacyjne
• Bezpieczeństwo operacyjne• Weryfikacja pracowników (BPSS, Security Check)• Hardening środowisk rozwojowych
• OSSEC• Skany podatności środowisk rozwojowych
• OpenVAS• Bieżąca współpraca z ops/devops
• Reakcja na incydenty
Testy bezpieczeństwa
• Testy bezpieczeństwa• Wewnętrzne, zewnętrzne (CREST)
• Definicja zakresu testu (OWASP Top 10, OWASP ASVS, patrz też https://goo.gl/JgXgyn) • Ręczne, automatyczne (skany podatności)
• BurpSuite
• Współpraca z działem bezpieczeństwa klienta• Ocena ryzyka podatności, zwłaszcza z testów zewnętrznych• Planowanie działań naprawczych
Agile
• Współpraca przy tworzeniu “user stories”• Specjalne “user stories” związane z bezpieczeńtwem• Testowanie ręczne co najmniej w każdym sprincie• Continuous Integration• OWASP ZAProxy, w3af, Dependency Check, Retire.js, Seccubus, GAUNTLT• PMD, Yasca, Brakeman, OWASP Lapse+, FindBugs
Dziękuję za uwagę[email protected]