Upload File

Практика software security в Сбертех

  • Home
  • Internet
  • Практика Software Security в Сбертех
23
Практика Software Security в СБТ ЮРИЙ ШАБАЛИН

Post on 08-Jan-2017

589 views

Category:

Internet


6 download

Report

TRANSCRIPT

Page 1: Практика Software Security в Сбертех

Практика Software Security в СБТ

ЮРИЙ ШАБАЛИН

Page 2: Практика Software Security в Сбертех

Комплексно интегрировать практики защиты ПО в жизненный цикл разработки (SDLC) для крупнейшего Банка России и Восточной Европы.

Позиционирование сервиса внутри и взаимодействие с производственными подразделениями

Несовершенный инструментарий Минимальная экспертиза на рынке Масштабирование

CHALLENGES ЗАДАЧИ

ВЫЗОВЫ

2

Page 3: Практика Software Security в Сбертех

Интеграция в проекты на начальных стадиях жизненного цикла разработки

БАЗОВЫЕ ПОДХОДЫ

СТРАТЕГИЯ

3

ПРИОРИТЕТЫ

Приложения и сервисы с высоким уровнем риска Фокус на базовые практики Software Security

20% усилий vs. 80% эффекта

Реалистичные угрозы и уязвимости

МАСШТАБИРУЕМОСТЬ

Развитие внутренних ключевых компетенций

Автоматизация процесса

Page 4: Практика Software Security в Сбертех

СТАНДАРТЫ БЕЗОПАСНОСТИ vs ПРОЦЕСС РАЗРАБОТКИ 4

OWASP OpenSAMM СТО БР ИББС BSIMM

СТАРТ ПРОЕКТА

РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕ АНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА

РАЗРАБОТКА ЗАЩИЩЕННОГО ПО

Page 5: Практика Software Security в Сбертех

СТАРТ ПРОЕКТА

РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕ АНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА

5

Управление ЖЦ

уязвимости

Управление рисками ИБ

Моделирование угроз

Анализ бизнес-требований

Разработка требований ИБ

Гайдлайны

Анализ платформ и библиотек

SAST CI

Разработка спец. правил анализа

Код-ревью

Статический анализ кода

Код-ревью

Динамический анализ

Фаззинг

Пентест

Конфигурационный анализ

Ретр

осп

екти

ва

Пентест

Динамический анализ

Анализ системных

требований

Процессы

Управление компетенциями

Тренинги Осведомлен

ность Гайдлайны

Внутренние конференции

Информационный портал

Геймификация

Архитектура и дизайн

Разработка

Тестирование

Page 6: Практика Software Security в Сбертех

СТАРТ ПРОЕКТА

РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕ АНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА

5

Управление ЖЦ

уязвимости

Управление рисками ИБ

Моделирование угроз

Анализ бизнес-требований

Разработка требований ИБ

Гайдлайны

Анализ платформ и библиотек

SAST CI

Разработка спец. правил анализа

Код-ревью

Статический анализ кода

Код-ревью

Динамический анализ

Фаззинг

Пентест

Конфигурационный анализ

Ретр

осп

екти

ва

Пентест

Динамический анализ

Анализ системных

требований

Процессы

Управление компетенциями

Тренинги Осведомлен

ность Гайдлайны

Внутренние конференции

Информационный портал

Геймификация

Архитектура и дизайн

Разработка

Тестирование

Page 7: Практика Software Security в Сбертех

СТАРТ ПРОЕКТА

РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕ АНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА

5

Управление ЖЦ

уязвимости

Управление рисками ИБ

Моделирование угроз

Анализ бизнес-требований

Разработка требований ИБ

Гайдлайны

Анализ платформ и библиотек

SAST CI

Разработка спец. правил анализа

Код-ревью

Статический анализ кода

Код-ревью

Динамический анализ

Фаззинг

Пентест

Конфигурационный анализ

Ретр

осп

екти

ва

Пентест

Динамический анализ

Анализ системных

требований

Процессы

Управление компетенциями

Тренинги Осведомлен

ность Гайдлайны

Внутренние конференции

Информационный портал

Геймификация

Архитектура и дизайн

Разработка

Тестирование

Page 8: Практика Software Security в Сбертех

СТАРТ ПРОЕКТА

РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕ АНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА

5

Управление ЖЦ

уязвимости

Управление рисками ИБ

Моделирование угроз

Анализ бизнес-требований

Разработка требований ИБ

Гайдлайны

Анализ платформ и библиотек

SAST CI

Разработка спец. правил анализа

Код-ревью

Статический анализ кода

Код-ревью

Динамический анализ

Фаззинг

Пентест

Конфигурационный анализ

Ретр

осп

екти

ва

Пентест

Динамический анализ

Анализ системных

требований

Процессы

Управление компетенциями

Тренинги Осведомлен

ность Гайдлайны

Внутренние конференции

Информационный портал

Геймификация

Архитектура и дизайн

Разработка

Тестирование

Page 9: Практика Software Security в Сбертех

9

Процесс взаимодействия с проектными командами

6

- скоуп

- даты

- релизы

Архитектурный

портал

Архитектура

National Vulnerability

Database

Анализ

библиотек

Уязвимости

библитек

Дизайн

Требования

Модель угрозГайдлайныТребования

Проектные

команды

Подразделение

Software Security

ЗависимостиПроектный

репозиторий

Page 10: Практика Software Security в Сбертех

01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11

11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001

11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0

1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011

../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ

7

Архитектура стека СБТ & Практики App Sec

Page 11: Практика Software Security в Сбертех

01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11

11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001

00001 Управление уязвимостями в ЖЦ 00010 Управление рисками ИБ 00011 КоТ ИБ 00100 Ретроспектива

11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0

1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011

../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ

7

Архитектура стека СБТ & Практики App Sec

Page 12: Практика Software Security в Сбертех

01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11

11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001

00001 Управление уязвимостями в ЖЦ 00010 Управление рисками ИБ 00011 КоТ ИБ 00100 Ретроспектива

11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0

1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011

../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ

7

Архитектура стека СБТ & Практики App Sec

Page 13: Практика Software Security в Сбертех

01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11

11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001

00101 Шаблоны защищенной архитектуры 00110 Сервисы уровня предприятия 00111 Инструменты защиты архитектуры

11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0

1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011

../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ

7

Архитектура стека СБТ & Практики App Sec

Page 14: Практика Software Security в Сбертех

01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11

11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001

01000 Частная модель угроз 01001 Частная модель нарушителя 01010 Классификация данных 01011 Классификация пользователей 01101 Разработка требований ИБ

11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0

1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011

../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ

7

Архитектура стека СБТ & Практики App Sec

Page 15: Практика Software Security в Сбертех

01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11

11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001

01000 Частная модель угроз 01001 Частная модель нарушителя 01010 Классификация данных 01011 Классификация пользователей 01101 Разработка требований ИБ

11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0

1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011

../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ

7

Архитектура стека СБТ & Практики App Sec

Page 16: Практика Software Security в Сбертех

01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11

11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001

01101 Анализ компонент 01110 Статический анализ исходного кода (CI) 01111 Разработка спец. правил анализа кода 10000 Требования к защищенной конфигурации 10001 Ручная ревизия критичных участков кода 10010 Использование согласованных компонент 10011 Использование гайдлайнов разработки

11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0

1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011

../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ

7

Архитектура стека СБТ & Практики App Sec

Page 17: Практика Software Security в Сбертех

01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11

11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001

01101 Анализ компонент 01110 Статический анализ исходного кода (CI) 01111 Разработка спец. правил анализа кода 10000 Требования к защищенной конфигурации 10001 Ручная ревизия критичных участков кода 10010 Использование согласованных компонент 10011 Использование гайдлайнов разработки

11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0

1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011

../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ

7

Архитектура стека СБТ & Практики App Sec

Page 18: Практика Software Security в Сбертех

01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11

11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001

10100 Методика тестирования ИБ 10101 Сценарии пен. тестов 10110 Разработка спец. инструментария 10111 Ручная ревизия критичных участков кода 11000 Анализ конфигурации 11001 Пен. тест 11010 Fuzzing-тестирование 11011 Динамический анализ

11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0

1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011

../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ

7

Архитектура стека СБТ & Практики App Sec

Page 19: Практика Software Security в Сбертех

HA KMAN

CTF

Awareness

Education

Misconfiguration

Authentication

XSS

XXE

Injection

Deliverable

Security

CSRF

Testing

OWASP

Exploit

CWE

NVD Vulnerability BSIMM

Threat

Black-box

White-box Risk

Hack

Architecture

PCI

SAST

DAST

Exposure

Data

SDLC

SAST

Уже сделано: Гайдлайны разработки Базовые интенсив-курсы Внутренние конференции Геймификация (соревнования в формате CTF)

В планах: Meet-up’ы Новые версии CTF

8

РАЗВИТИЕ КОМПЕТЕНЦИЙ

Page 20: Практика Software Security в Сбертех

HA KMAN

CTF

Awareness

Education

Misconfiguration

Authentication

XSS

XXE

Injection

Deliverable

Security

CSRF

Testing

OWASP

Exploit

CWE

NVD Vulnerability BSIMM

Threat

Black-box

White-box Risk

Hack

Architecture

PCI

SAST

DAST

Exposure

Data

SDLC

SAST

Уже сделано: Гайдлайны разработки Базовые интенсив-курсы Внутренние конференции Геймификация (соревнования в формате CTF)

В планах: Meet-up’ы Новые версии CTF

8

РАЗВИТИЕ КОМПЕТЕНЦИЙ

Page 21: Практика Software Security в Сбертех

11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101

0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 11 0001

100100101010 000100100 0101 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1

11 0 01 00 01101010100010011 0 000 1111 001 0111100 001001 00100 1 10 1 00 1 1 1 100 00 111 10 11 000 10 10 0 001110 10 0 00 00 11 01000111000 1 1 1 0 00011 1 1 1 00 1 0 01100 1 1 01 01 0001 2 01111 00 1 0 0 1 1 0 00 10 01 11100 011100 01 111 000 0 10 00 1 0 0 01 0 0011 00011 0 10011 001 0000 1010101000 1 00 00 1111000 0 01

ЭВОЛЮЦИЯ ПРОЦЕССА

УСКОРЕНИЕ ИССЛЕДОВАНИЕ РЕАГИРОВАНИЕ

Анализ и исправление кода ПРОАКТИВНЫЙ ПОДХОД

Тиражирование лучших практик

Требования

Архитектура

Исходный код

Стенды

Интервью с командой

Выделение в проектной команде роли Security Champion

Передача практик в проектную команду

Наращивание экспертизы

Повторяемый процесс

Экспертная поддержка

Тренинги

Контроль результатов

Безопасность ПОСТФАКТУМ Безопасность В ПРОЦЕССЕ разработки

9

Page 22: Практика Software Security в Сбертех

Спасибо за внимание!

Юрий Шабалин

Software Security @ СберТех

[email protected]

10

Page 23: Практика Software Security в Сбертех

Come to the Green side…

11 [email protected]


G DATA Security Software · devotreMacoudevosdonnéesalieu,unnouveaumessageestajoutéà l'historiqueGDATAANTIVIRUSforMac. Pouraccéderaudétailsdesévénements,procédezcommesuit:

практика звіт

(Software Security)securesw.dankook.ac.kr/ISS19-2/LN(grad)_2019 SS_02...Software Software is everywhere A modern product delivery’ survey found that 23% of products now contain software

Visão Geral do CMMI. 2/51 FAA iCMM FAA iCMM Software CMM Software CMM Systems Security Engr CMM Systems Security Engr CMM Systems Engr CMM Systems Engr

Handleiding Aan de slag - Antivirus Software and Internet Security

Introduction to Software Securitysecuresw.dankook.ac.kr/ISS18-1/ISS_2018_01_Intro_part1.pdfComputer Security & OS Lab., DKU References: Introduction to Computer Security by Michael

subsiguientes a menos que sea r eemplazado por una versión ...public.dhe.ibm.com/software/security/products/q... · Este documento corr esponde a IBM Security QRadar Security Intelligence

Entwicklung sicherer Software durch Security by Design · Entwicklung sicherer Software durch Security by Design Michael Waidner (Hrsg.), Michael Backes (Hrsg.), Jörn Müller-Quade

Project management Design Software Security Hardware …

XMP-BABYLON Software Dokumentation · Security System XMP-BABYLON Software Dokumentation Seite 5 von 25 2 Programmbeschreibung Die vorliegende Dokumentation …

2014 - pitci.com › report › android › pcsl_android... · Software Score 2014.11 BullGuard Mobile Security 99.706 ESET Mobile Security & Antivirus Free 99.706 G DATA Internet

An toàn và bảo mật hệ thống thông tin - C7: software security

ESET Mobile Security - INSTALUJ.czdownload.instaluj.cz/utility/software-pro-mobily/android/eset-mobile-security-for...ESET Mobile Security se instaluje v té jazykové verzi, které

УП – учебная практика; · 2 • УП – учебная практика; • ПП – производственная практика; • ЦМК – цикловая

Kaspersky Lab Security Solution Proposal - 소프트정보서비스€¦ ·  · 2010-08-19Industry-leading Antivirus Software. . Kaspersky Lab. Security Solution Proposal. 한국카스퍼스키랩제품제안서

SOFTWARE TESTING MODELS AGAINST INFORMATION …SOFTWARE TESTING MODELS AGAINST INFORMATION SECURITY REQUIREMENTS An overview and classification of software testing models are done

9. Computer Security Software

Maggioli Editore Spadatastorage02.maggioli.it/data/news/allegati/ZUtNxknbK6/... · 2012-12-03 · ment software, security software, data protection, recovery and sto- rage software

Security in Software Development M.C. Juan Carlos Olivares Rojas May 2010

Vejledning om godke ndelse af systemer med software på ... · Software, der alene vedrører ”security 3”, behandles ikke i nærværende vejledning. Såfremt ”se-curity” software

ПЕДАГОГИЧЕСКАЯ ПРАКТИКА. Производственная практика …

Практика продвижения

Utilizzo di Client Security Software Access

Treating Security Vulnerabilities As Software Defects

Software Security and Security Engineering (Part 1) Software Engineering Sources: Introduction to Computer Security, Matt Bishop, Addison Wesley, 2003

G DATA Security Software€¦ · Labarred'étatenhautdelafenêtrevousinformedel'étatdesécuritédevotre systèmeàl'aidedemessagesclairsetdecouleursévocatrices.SiGDATA

(Security Information Management System) klient software

Soluzioni IBM Client Security: Client Security Software ...ps-2.kev009.com/pccbbs/thinkvantage_it/adm54mst_it.pdf · Soluzioni IBM® Client Security Client Security Software Versione

SAP Infotag: Security / Erlebe-Software 07-2014

ПРОГРАММА ПРАКТИКИ Б2.О.01(У) ОЗНАКОМИТЕЛЬНАЯ ПРАКТИКА · Практика Б2.О.01(У) Ознакомительная практика

Software Security: Hvordan bygge sikre systemer?

What Every Software Engineer Should Know About Security and Encryption

Выездная практика

Практика комфорта

2015 - pitci.com€¦ · Software Score 2015.01 Android Tencent Mobile Security Manager 99.548 Kaspersky Internet Security 99.530 ESET Mobile Security & Antivirus Free 98.655 Avira