Практика software security в Сбертех
Post on 08-Jan-2017
589 views
TRANSCRIPT
Практика Software Security в СБТ
ЮРИЙ ШАБАЛИН
Комплексно интегрировать практики защиты ПО в жизненный цикл разработки (SDLC) для крупнейшего Банка России и Восточной Европы.
Позиционирование сервиса внутри и взаимодействие с производственными подразделениями
Несовершенный инструментарий Минимальная экспертиза на рынке Масштабирование
CHALLENGES ЗАДАЧИ
ВЫЗОВЫ
2
Интеграция в проекты на начальных стадиях жизненного цикла разработки
БАЗОВЫЕ ПОДХОДЫ
СТРАТЕГИЯ
3
ПРИОРИТЕТЫ
Приложения и сервисы с высоким уровнем риска Фокус на базовые практики Software Security
20% усилий vs. 80% эффекта
Реалистичные угрозы и уязвимости
МАСШТАБИРУЕМОСТЬ
Развитие внутренних ключевых компетенций
Автоматизация процесса
СТАНДАРТЫ БЕЗОПАСНОСТИ vs ПРОЦЕСС РАЗРАБОТКИ 4
OWASP OpenSAMM СТО БР ИББС BSIMM
СТАРТ ПРОЕКТА
РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕ АНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА
РАЗРАБОТКА ЗАЩИЩЕННОГО ПО
СТАРТ ПРОЕКТА
РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕ АНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА
5
Управление ЖЦ
уязвимости
Управление рисками ИБ
Моделирование угроз
Анализ бизнес-требований
Разработка требований ИБ
Гайдлайны
Анализ платформ и библиотек
SAST CI
Разработка спец. правил анализа
Код-ревью
Статический анализ кода
Код-ревью
Динамический анализ
Фаззинг
Пентест
Конфигурационный анализ
Ретр
осп
екти
ва
Пентест
Динамический анализ
Анализ системных
требований
Процессы
Управление компетенциями
Тренинги Осведомлен
ность Гайдлайны
Внутренние конференции
Информационный портал
Геймификация
Архитектура и дизайн
Разработка
Тестирование
СТАРТ ПРОЕКТА
РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕ АНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА
5
Управление ЖЦ
уязвимости
Управление рисками ИБ
Моделирование угроз
Анализ бизнес-требований
Разработка требований ИБ
Гайдлайны
Анализ платформ и библиотек
SAST CI
Разработка спец. правил анализа
Код-ревью
Статический анализ кода
Код-ревью
Динамический анализ
Фаззинг
Пентест
Конфигурационный анализ
Ретр
осп
екти
ва
Пентест
Динамический анализ
Анализ системных
требований
Процессы
Управление компетенциями
Тренинги Осведомлен
ность Гайдлайны
Внутренние конференции
Информационный портал
Геймификация
Архитектура и дизайн
Разработка
Тестирование
СТАРТ ПРОЕКТА
РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕ АНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА
5
Управление ЖЦ
уязвимости
Управление рисками ИБ
Моделирование угроз
Анализ бизнес-требований
Разработка требований ИБ
Гайдлайны
Анализ платформ и библиотек
SAST CI
Разработка спец. правил анализа
Код-ревью
Статический анализ кода
Код-ревью
Динамический анализ
Фаззинг
Пентест
Конфигурационный анализ
Ретр
осп
екти
ва
Пентест
Динамический анализ
Анализ системных
требований
Процессы
Управление компетенциями
Тренинги Осведомлен
ность Гайдлайны
Внутренние конференции
Информационный портал
Геймификация
Архитектура и дизайн
Разработка
Тестирование
СТАРТ ПРОЕКТА
РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕ АНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА
5
Управление ЖЦ
уязвимости
Управление рисками ИБ
Моделирование угроз
Анализ бизнес-требований
Разработка требований ИБ
Гайдлайны
Анализ платформ и библиотек
SAST CI
Разработка спец. правил анализа
Код-ревью
Статический анализ кода
Код-ревью
Динамический анализ
Фаззинг
Пентест
Конфигурационный анализ
Ретр
осп
екти
ва
Пентест
Динамический анализ
Анализ системных
требований
Процессы
Управление компетенциями
Тренинги Осведомлен
ность Гайдлайны
Внутренние конференции
Информационный портал
Геймификация
Архитектура и дизайн
Разработка
Тестирование
9
Процесс взаимодействия с проектными командами
6
- скоуп
- даты
- релизы
Архитектурный
портал
Архитектура
National Vulnerability
Database
Анализ
библиотек
Уязвимости
библитек
Дизайн
Требования
Модель угрозГайдлайныТребования
Проектные
команды
Подразделение
Software Security
ЗависимостиПроектный
репозиторий
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11
11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001
11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0
1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011
../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ
7
Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11
11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001
00001 Управление уязвимостями в ЖЦ 00010 Управление рисками ИБ 00011 КоТ ИБ 00100 Ретроспектива
11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0
1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011
../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ
7
Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11
11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001
00001 Управление уязвимостями в ЖЦ 00010 Управление рисками ИБ 00011 КоТ ИБ 00100 Ретроспектива
11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0
1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011
../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ
7
Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11
11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001
00101 Шаблоны защищенной архитектуры 00110 Сервисы уровня предприятия 00111 Инструменты защиты архитектуры
11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0
1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011
../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ
7
Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11
11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001
01000 Частная модель угроз 01001 Частная модель нарушителя 01010 Классификация данных 01011 Классификация пользователей 01101 Разработка требований ИБ
11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0
1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011
../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ
7
Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11
11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001
01000 Частная модель угроз 01001 Частная модель нарушителя 01010 Классификация данных 01011 Классификация пользователей 01101 Разработка требований ИБ
11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0
1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011
../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ
7
Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11
11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001
01101 Анализ компонент 01110 Статический анализ исходного кода (CI) 01111 Разработка спец. правил анализа кода 10000 Требования к защищенной конфигурации 10001 Ручная ревизия критичных участков кода 10010 Использование согласованных компонент 10011 Использование гайдлайнов разработки
11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0
1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011
../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ
7
Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11
11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001
01101 Анализ компонент 01110 Статический анализ исходного кода (CI) 01111 Разработка спец. правил анализа кода 10000 Требования к защищенной конфигурации 10001 Ручная ревизия критичных участков кода 10010 Использование согласованных компонент 10011 Использование гайдлайнов разработки
11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0
1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011
../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ
7
Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11
11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001
10100 Методика тестирования ИБ 10101 Сценарии пен. тестов 10110 Разработка спец. инструментария 10111 Ручная ревизия критичных участков кода 11000 Анализ конфигурации 11001 Пен. тест 11010 Fuzzing-тестирование 11011 Динамический анализ
11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0
1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011
../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ
7
Архитектура стека СБТ & Практики App Sec
HA KMAN
CTF
Awareness
Education
Misconfiguration
Authentication
XSS
XXE
Injection
Deliverable
Security
CSRF
Testing
OWASP
Exploit
CWE
NVD Vulnerability BSIMM
Threat
Black-box
White-box Risk
Hack
Architecture
PCI
SAST
DAST
Exposure
Data
SDLC
SAST
Уже сделано: Гайдлайны разработки Базовые интенсив-курсы Внутренние конференции Геймификация (соревнования в формате CTF)
В планах: Meet-up’ы Новые версии CTF
8
РАЗВИТИЕ КОМПЕТЕНЦИЙ
HA KMAN
CTF
Awareness
Education
Misconfiguration
Authentication
XSS
XXE
Injection
Deliverable
Security
CSRF
Testing
OWASP
Exploit
CWE
NVD Vulnerability BSIMM
Threat
Black-box
White-box Risk
Hack
Architecture
PCI
SAST
DAST
Exposure
Data
SDLC
SAST
Уже сделано: Гайдлайны разработки Базовые интенсив-курсы Внутренние конференции Геймификация (соревнования в формате CTF)
В планах: Meet-up’ы Новые версии CTF
8
РАЗВИТИЕ КОМПЕТЕНЦИЙ
11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101
0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 11 0001
100100101010 000100100 0101 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1
11 0 01 00 01101010100010011 0 000 1111 001 0111100 001001 00100 1 10 1 00 1 1 1 100 00 111 10 11 000 10 10 0 001110 10 0 00 00 11 01000111000 1 1 1 0 00011 1 1 1 00 1 0 01100 1 1 01 01 0001 2 01111 00 1 0 0 1 1 0 00 10 01 11100 011100 01 111 000 0 10 00 1 0 0 01 0 0011 00011 0 10011 001 0000 1010101000 1 00 00 1111000 0 01
ЭВОЛЮЦИЯ ПРОЦЕССА
УСКОРЕНИЕ ИССЛЕДОВАНИЕ РЕАГИРОВАНИЕ
Анализ и исправление кода ПРОАКТИВНЫЙ ПОДХОД
Тиражирование лучших практик
Требования
Архитектура
Исходный код
Стенды
Интервью с командой
Выделение в проектной команде роли Security Champion
Передача практик в проектную команду
Наращивание экспертизы
Повторяемый процесс
Экспертная поддержка
Тренинги
Контроль результатов
Безопасность ПОСТФАКТУМ Безопасность В ПРОЦЕССЕ разработки
9
Come to the Green side…