РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 10:00
Тезисы:
http://ritfest.ru/2017/abstracts/2756.html
В сложной экосистеме разработки программного обеспечения, даже если инициатива Appllication Security получила зеленый свет и надлежащий бюджет, множество проблем остаются нерешенными для успешного старта: множество дорогостоящих инструментов SAST / DAST / IAST / RASP, минимальное количество appsec-специалистов на рынке труда, несовершенные инженерные процессы, отсутствие метрик и измеримых индикаторов успеха и т.д.
В рамках данной сессии будет продемонстрирован тактический подход для запуска центра компетенций (Software Security Group), адресующий вопросы как приоритезации, масштабируемости, управления портфелем разрабатываемых приложений в контуре AppSec, так и аспекты мотивации команд. Будет презентована структура фреймворка BSIMM как основа практик AppSec и представлена типовая дорожная карта развития зрелости инженерных организаций. Также будут представлены ключевые слагаемые успеха, необходимые для построения концепции SecDevOps в рамках цикла разработки защищенного ПО (Secure Software Development Lifecycle) вместе с практическими рекомендациями.
2. Про что говорим?
• Challenges
• Модель зрелости AppSec
• C чего начать?
• SecDevOps
• Типовая дорожная карта для старта SSG
• Ключевые выводы
3. Technology Providers
STRENGTH
DOES NOT COME FROM
PHYSICAL CAPACITY
IT COMES FROM AN
INDOMITABLE WILL
>Одна из инженерных практик производства ПО
>Минимизация рисков ИБ на ранних стадиях / Shift-Left Трансформация
>Повышение Time-to-Market для новых продуктов и сервисов через DevOps
>Скачок в качестве разрабатываемых продуктов и сервисов
>KYC – Know Your Codebase
>Позитивное влияние на Бренд
AppSec by Nature
4. >Shift-Left SSDL = Требования / Архитектура / Модель Угроз
>Разнородный инструментальный стек и необходимость интеграции в единый pipeline
>Взаимодействие с инженерными командами
>Сокращение Технологического Долга
>Быстрый и эффективный запуск инициативы AppSec
>Нечеткая формулировка Целевой Модели AppSec
>Дорожная карта развития SSDL (не только SAST/DAST/и т.д.)
Challenges for AppSec Beginners
5. Challenges for AppSec Professionals
>Обеспечение прозрачности всей инициативы AppSec на всех уровнях
>AppSec KPIs
>Риск-ориентированный подход для идентификации / исправления дефектов
>Контроль покрытия портфеля приложений / сервисов в контуре AppSec
>Управление зрелостью (BSIMM)
>Эффективность инструментария AppSec
>AppSec + Agile + DevOps = SecDevOps
6. ПРОГРАММА
ОСВЕДОМЛЕННОСТИ
Евангелисты
AppSec
Программа
тренингов
Программа
осведомленности
Обучение ТОП
менеджмента
БЕЗОПАСНОСТЬ
ИЗНУТРИ
Код-ревью
Анализ
Архитектуры
Контроль Open
Source компонент
Статический
анализ кода
Модель угроз
УПРАВЛЕНИЕ
ПРОЦЕССАМИ
Контрольные
точки SSDL
Гайдлайны разработки
защищенного ПО
Метрики
ТЕСТИРОВАНИЕ
БЕЗОПАСНОСТИ
Фаззинг
Тест-кейсы ИБ
Методика
тестирования ИБ
Динамический
анализ
Тестирование на
проникновение
РАЗВИТИЕ ЭКСПЕРТИЗЫ
Развитие
сообщества
Менторинг Список Top Bugs
Программа
Bug Bounty
УПРАВЛЕНИЕ РИСКАМИ
APPSEC
Риск-профили
приложений
Риск-менеджмент Репозиторий ПД
Управление
Compliance рисками
Политики
Маркетинговая
программа
ИНСТРУМЕНТЫИ
ИНФРАСТРУКТУРА
AppSec Портал “Фабрика” AppSec
SecDevOps
8. ACCURACY OF RESULTS
AND BUSINESS VALUE
AppSec NOW !
SAST
DAST
PENETRATION
TESTING
ETHICAL HACKING
+
RED TEAMING
РУЧНОЙ АНАЛИЗ
СТОИМОСТЬ
ТОЧНОСТЬ И
ЦЕННОСТЬ РЕЗУЛЬТАТОВ
РУЧНОЙ АНАЛИЗ
АВТОМАТИЗИРОВАННЫЙ
АНАЛИЗ
ТОЧНОСТЬ РЕЗУЛЬТАТОВ
АВТОМАТИЗИРОВАННЫЙ
АНАЛИЗ
СТОИМОСТЬ
ТОЧНОСТЬ И
ЦЕННОСТЬ РЕЗУЛЬТАТОВ
СТОИМОСТЬ
ТОЧНОСТЬ И
ЦЕННОСТЬ РЕЗУЛЬТАТОВ
СТОИМОСТЬ
ТОЧНОСТЬ И
ЦЕННОСТЬ РЕЗУЛЬТАТОВ
АВТОМАТИЗИРОВАННЫЙ
АНАЛИЗ
11. • Скорость исправления дефектов не соответствует
SLA в 1.5 раза
• Идентификация дефектов происходит поздно
• Среднее время жизни исправляемых дефектов = ½
релизного цикла
• Среднее время жизни всех дефектов превышает
допустимый SLA в 4 раза
• Копим негативный технологический долг
• В PROD среде значительное кол-во неисправленных
дефектов
• Повысить приоритет задачи в командах разработки
• Добавить дополнительные ресурсы
ФАКТЫ:
ПОСЛЕДСТВИЯ:
ДЕЙСТВИЯ:
12. • Средняя длительность релизного цикла за полтора
года не изменилась
• Cкорость идентификации и исправления дефектов
позитивна (растет)
• В целом, позитивный тренд
• Однако, исходя из предыдущей картины не хватает
ресурсов, чтобы обеспечить сходимость процесса
• Регулярный мониториг сохранения тренда
• Drill-down анализ
ФАКТЫ:
ПОСЛЕДСТВИЯ:
ДЕЙСТВИЯ:
13. • WRI превышает пороговый уровень
более чем в 6 раз
• Растущий тренд открытых дефектов
• Наибольший вклад привносят программы
Sigma и Gamma
• Крайне высока вероятность компрометации
приложений / сервисов разрабатываемых в
указанных программах
• В PROD среде значительное кол-во неисправленных
дефектов
• Повысить приоритет задачи в командах разработки
• Добавить дополнительные ресурсы
ФАКТЫ:
ПОСЛЕДСТВИЯ:
ДЕЙСТВИЯ:
14. ФАКТЫ:
ПОСЛЕДСТВИЯ:
ДЕЙСТВИЯ:
• SAST – одна из самых зрелых практик
• Fuzzing – одна из самых отстающих практик
• Практически отсутствуют организационные
практики контроля результатов (SSDL Gates)
• Практики в программе Delta выполняются не
успешно
• Приложения / сервисы в рамках программы Delta –
источник повышенного риска
• Возможно появление скрытых дефектов не
выявленных практикой Fuzz Testing
• Команды разработки не берут на себя
ответственность за дефекты, т.к. нету формального
sign-off
• Добавить AppSec ресурсов в программу Delta
• Обратить внимание на экспертизу
Fuzz Testing
15. ПРИМЕР ДОРОЖНОЙ КАРТЫ
ОТСУТСТВУЕТНАЧАЛЬНЫЙСРЕДНИЙПРОДВИНУТЫЙЭКСПЕРТНЫЙ
ОСВЕДОМЛЕННОСТЬ АДАПТАЦИЯ СОВЕРШЕНСТВОВАНИЕИССЛЕДОВАНИЕ
DAST
SAST + CI
COMMUNICATION PLAN
PENETRATION TESTING
OPEN SOURCE RISK
MGMT
EXPERT ANALYSIS
VULNERABILITY MGMT LIFECYCLE
SOFTWARE SECURITY PRACTICES ROLLOUT ROADMAP
SLA / SECURITY POLICIES
SAST + DEFECT TRACKING
PORTAL
SECURITY CHAMPION
TECHNICAL DEBT ANALYSIS
TECHNICAL TRAINING
SECURITY CODING GUIDELINES
ARCHITECTURE & REQUIREMENTS
THREAT MODEL
IAST / RASP
AWARENESS TRAINING
CTF CHALLENGE
16. Используйте модель зрелости BSIMM как отправную точку для
планирования AppSec активностей. BSIMM дает хорошее
понимание Definition of Done.
Модель зрелости BSIMM
Ни одна из практик по отдельности не является панацеей. Только
грамотное совмещение всех практик в необходимой пропорции в
рамках единого, сквозного процесса даст вам Value for Money.
SAST / DAST / Pen Test
Базовые столпы о которых необходимо всегда помнить и
принимать во внимании при стратегическом планировании задач
AppSec.
6 Слагаемых Успеха
Инструмент, позволяющий со всеми стейкхолдерами говорить на
одном языке – от младшего инжерена до акционера.
Метрики
Ключевые моменты