owasp ciso survey 2014 - wstępne wyniki badania w polsce
TRANSCRIPT
OWASP Poland Chapter Leader
Wojciech Dworakowski
OWASP CISO Survey 2014 Wstępne wyniki polskiego badania
Misja: Poprawa stanu bezpieczeństwa aplikacji
100+ Local Chapters
Standardy, przewodniki, narzędzia
Lokalne spotkania, konferencje
W Polsce od 2007 – Warszawa, Kraków, Poznań
Ankieta dotycząca zarządzania bezpieczeństwem aplikacji
Kierowana do CISO
Ponad 500 respondentów z całego Świata
64 ankiety z Polski
Uwaga: Poniżej wstępne porównanie wyników z Polski z 2014 z wynikami globalnymi z 2013
OWASP CISO Survey 2014
62% - manager ds. bezpieczeństwa IT
18% - manager ds. IT
15% - network/systems administrator
6% - inne
Stanowisko
Obowiązki
Polska Świat
Organizacje biorące udział w badaniu
Administracja państwowa
eCommerce
Media i rozrywka
Nieruchomości
Technologia
Telekomunikacja
Firmy i usługi profesjonalne
Inne
Bankowość i rynki kapitałowe
0,0% 10,0% 20,0% 30,0% 40,0%0 10 20 30
Automotive
Chemicals
Real Estate
Transportation
Retail & Wholesale Technology
Consumer Products
Aerospace and Defense
Oil & Gas Power & Utilities
Media & Entertainment
Telecommunications
Government & Public Sector…
Professional Firms & Services
Technology
Other (please specify)
Banking & Capital Markets
Polska Świat
Organizacje biorące udział w badaniu (zasięg działania)
Krajowy 56%
Regionalny
19%
Globalny 25%
National; 47
Regional; 26
Global; 74
Zagrożenia - przewidywania
17%
42%
85%
80%
71%
50%
13%
20%
12%
8%
2%
Świat
Polska
Świat
Polska
We
wn
ętr
zne
Zew
nęt
rzn
e
Wzrost Bez zmian Spadek
Jakiego rodzaju osoby mogą zaatakować firmę?
Hakerzy amatorzy
Grupy przestępcze/ profesjonalni oszuści
Osoby wewnątrz firmy/ pracownicy
Osoby zaangażowane w szpiegostwo korporacyjne/…
Aktywiści / Osoby anonimowe
Konkurenci
Szpiedzy sponsorowani przez państwo
Dostawcy/ partnerzy
Źródła ryzyka dla aplikacji (top 5)
Polska Świat 1 Brak świadomości w kwestiach
bezpieczeństwa aplikacji w firmie Lack of awareness of application security issues within the organization
2 Tworzenie niebezpiecznego kodu źródłowego
Insecure source code development
3 Dostawcy zewnętrzni i outsourcing (np. brak bezpieczeństwa, brak kontroli)
Poor/inadequate testing methodologies
4 Brak budżetu na wsparcie inicjatyw z zakresu bezpieczeństwa aplikacji
Lack of budget to support application security initiatives
5 Kadry (np. brak kompetencji w zakresie bezpieczeństwa w zespole)
Staffing (e.g., lack of security skills within team)
Cel ataków / Obszary ryzyka
51%
51%
25%
36%
Polska
Świat
Aplikacje Infrastruktura Inne
Polska Świat
Liczba incydentów związanych z aplikacjami
Żadnego; 42,1%
1
2
5
10 20 Ponad 100
1. Przerwanie działania
2. Naruszenie reputacji
3. Bezpośrednia strata finansowa
4. Utrata lub narażenie danych osobowych
5. Utrata danych klienta
Główne typy szkód spowodowane atakami (PL)
Inwestycje w bezpieczeństwo IT
43%
47%
36%
38%
50%
40%
55%
52%
7%
13%
10%
10%
Polska
Świat
Polska
Świat
be
zpie
cze
ńst
wo
aplik
acji
bez
pie
cze
ńst
wo
infr
astr
ukt
ury
Zwiększają się Na tym samym poziomie Zmniejszają się
1 Zarządzanie ryzykiem IT / bezpieczeństwa informacji
2 Zapobieganie wyciekowi / utracie danych
3 Wdrażanie standardów bezpieczeństwa
4 Przeglądy kodu
5 Infrastruktura bezpieczeństwa aplikacji (np. WAF)
Bezpieczeństwo urządzeń mobilnych
Bezpieczeństwo infrastruktury (np. programy antywirusowe, IDS, IPS, wgrywanie poprawek)
Technologie i procesy zarządzania podatnościami warstwy aplikacji
Umiejętności w zakresie reakcji na incydenty
Testy penetracyjne
Priorytety w zakresie bezpieczeństwa IT (na nadchodzące 12 miesięcy)
Priorytety w zakresie bezpieczeństwa aplikacji (na nadchodzące 12 miesięcy) Polska Świat 1 Przeglądy kodu Security awareness and training for
developers [PL #7]
2 Wdrożenie infrastruktury bezpieczeństwa aplikacji (np. WAF)
SDLC - Secure development lifecycle processes (e.g., secure coding, QA)
3 Technologie i procesy zarządzania podatnościami warstwy aplikacji
Security testing of applications (dynamic analysis, runtime observation)
4 Testy bezpieczeństwa aplikacji (analizy dynamiczne, na uruchomionej aplikacji)
Application layer vulnerability management technologies and processes
5 SDLC – bezpieczeństwo w cyklu wytwarzania oprogramowania (np. bezpieczne kodowanie, procesy QA)
Code review
W trakcie realizacji inicjatyw z zakresu bezpieczeństwa aplikacji w Państwa organizacji, jak duże wyzwanie stanowią poniższe kwestie?
Polska Świat 1 Odpowiedni budżet Availability of skilled resources
2 Dostępność wykwalifikowanych zasobów
Level of security awareness by the developers
3 Świadomość kadry zarządzającej i sponsorowanie
Management awareness and sponsorship
4 Poziom świadomości bezpieczeństwa u programistów
Adequate budget
5 Sprzeczne wymagania biznesowe Organizational change
Narzędzia wspomagające
61%
48%
22%
19%
21%
27%
33%
15%
18%
24%
44%
65%
Skanery podatności aplikacji
Web application firewall (WAF)
Skanery lub analizatory kodu źródłowego
Analizatory „runtime”
Obecnie używane Planowane (12-18 miesięcy) Nie planujemy stosowania
Polska Świat OWASP Top-10 Application Security FAQ CISO Guide Testing Guide Zed Attack Proxy (ZAP) Application Security Verification Standard (ASVS)
OWASP Top-10
Cheatsheets
Development Guide
Secure Coding Practices Quick Reference
Application Security FAQ
Najbardziej przydatne projekty OWASP
Większość trendów pokrywa się
Incydenty: Polska 58%, Świat 21%
Priorytety w zakresie bezpieczeństwa aplikacji
Świat: Szkolenie developerów, SDLC
Polska: Przeglądy kodu, infrastruktura zabezpieczeń
Największym wyzwaniem w Polsce jest budżet
Polska vs Świat
Tłumaczenie wyników lokalnych na angielski
Agregacja wyników z wersji zlokalizowanych
Analiza wyników globalnych i publikacja raportu z całości badania (Q2 2015)
Analiza wyników polskich, porównanie z globalnymi i publikacja raportu (Q2 2015)
OWASP CISO Survey 2014 – co dalej?
Informacje o raportach i innych działaniach OWASP Poland:
WWW
Lista
23
https://www.owasp.org/index.php/Poland https://lists.owasp.org/mailman/listinfo/owasp-poland https://www.linkedin.com/groups/OWASP-Poland-8179731 https://twitter.com/owasppoland
https://www.facebook.com/pages/OWASP-Poland-Local-Chapter
Pytania ankietowe: https://www.owasp.org/index.php/CISO_Survey_2014_Questionnaire
Informacje o projekcie i raport z 2013: https://www.owasp.org/index.php/OWASP_CISO_Survey_Project
OWASP CISO Guide: https://www.owasp.org/index.php/Application_Security_Guide_For_CISOs
OWASP OpenSAMM: http://www.opensamm.org/
Pytania i uwagi: [email protected]
Materiały dodatkowe