РИТ++ 2017, секция ML + IoT + ИБ Зал Белу-Оризонти, 5 июня, 10:00 Тезисы: http://ritfest.ru/2017/abstracts/2756.html В сложной экосистеме разработки программного обеспечения, даже если инициатива Appllication Security получила зеленый свет и надлежащий бюджет, множество проблем остаются нерешенными для успешного старта: множество дорогостоящих инструментов SAST / DAST / IAST / RASP, минимальное количество appsec-специалистов на рынке труда, несовершенные инженерные процессы, отсутствие метрик и измеримых индикаторов успеха и т.д. В рамках данной сессии будет продемонстрирован тактический подход для запуска центра компетенций (Software Security Group), адресующий вопросы как приоритезации, масштабируемости, управления портфелем разрабатываемых приложений в контуре AppSec, так и аспекты мотивации команд. Будет презентована структура фреймворка BSIMM как основа практик AppSec и представлена типовая дорожная карта развития зрелости инженерных организаций. Также будут представлены ключевые слагаемые успеха, необходимые для построения концепции SecDevOps в рамках цикла разработки защищенного ПО (Secure Software Development Lifecycle) вместе с практическими рекомендациями.

1. AppSec, ключ на старт!
Юрий Сергеев,
Swordfish Security

2. Про что говорим?
• Challenges
• Модель зрелости AppSec
• C чего начать?
• SecDevOps
• Типовая дорожная карта для старта SSG
• Ключевые выводы

3. Technology Providers
STRENGTH
DOES NOT COME FROM
PHYSICAL CAPACITY
IT COMES FROM AN
INDOMITABLE WILL
>Одна из инженерных практик производства ПО
>Минимизация рисков ИБ на ранних стадиях / Shift-Left Трансформация
>Повышение Time-to-Market для новых продуктов и сервисов через DevOps
>Скачок в качестве разрабатываемых продуктов и сервисов
>KYC – Know Your Codebase
>Позитивное влияние на Бренд
AppSec by Nature

4. >Shift-Left SSDL = Требования / Архитектура / Модель Угроз
>Разнородный инструментальный стек и необходимость интеграции в единый pipeline
>Взаимодействие с инженерными командами
>Сокращение Технологического Долга
>Быстрый и эффективный запуск инициативы AppSec
>Нечеткая формулировка Целевой Модели AppSec
>Дорожная карта развития SSDL (не только SAST/DAST/и т.д.)
Challenges for AppSec Beginners

5. Challenges for AppSec Professionals
>Обеспечение прозрачности всей инициативы AppSec на всех уровнях
>AppSec KPIs
>Риск-ориентированный подход для идентификации / исправления дефектов
>Контроль покрытия портфеля приложений / сервисов в контуре AppSec
>Управление зрелостью (BSIMM)
>Эффективность инструментария AppSec
>AppSec + Agile + DevOps = SecDevOps

6. ПРОГРАММА
ОСВЕДОМЛЕННОСТИ
Евангелисты
AppSec
Программа
тренингов
Программа
осведомленности
Обучение ТОП
менеджмента
БЕЗОПАСНОСТЬ
ИЗНУТРИ
Код-ревью
Анализ
Архитектуры
Контроль Open
Source компонент
Статический
анализ кода
Модель угроз
УПРАВЛЕНИЕ
ПРОЦЕССАМИ
Контрольные
точки SSDL
Гайдлайны разработки
защищенного ПО
Метрики
ТЕСТИРОВАНИЕ
БЕЗОПАСНОСТИ
Фаззинг
Тест-кейсы ИБ
Методика
тестирования ИБ
Динамический
анализ
Тестирование на
проникновение
РАЗВИТИЕ ЭКСПЕРТИЗЫ
Развитие
сообщества
Менторинг Список Top Bugs
Программа
Bug Bounty
УПРАВЛЕНИЕ РИСКАМИ
APPSEC
Риск-профили
приложений
Риск-менеджмент Репозиторий ПД
Управление
Compliance рисками
Политики
Маркетинговая
программа
ИНСТРУМЕНТЫИ
ИНФРАСТРУКТУРА
AppSec Портал “Фабрика” AppSec
SecDevOps

7. BSIMM – Building Security In Maturity Model

8. ACCURACY OF RESULTS
AND BUSINESS VALUE
AppSec NOW !
SAST
DAST
PENETRATION
TESTING
ETHICAL HACKING
+
RED TEAMING
РУЧНОЙ АНАЛИЗ
СТОИМОСТЬ
ТОЧНОСТЬ И
ЦЕННОСТЬ РЕЗУЛЬТАТОВ
РУЧНОЙ АНАЛИЗ
АВТОМАТИЗИРОВАННЫЙ
АНАЛИЗ
ТОЧНОСТЬ РЕЗУЛЬТАТОВ
АВТОМАТИЗИРОВАННЫЙ
АНАЛИЗ
СТОИМОСТЬ
ТОЧНОСТЬ И
ЦЕННОСТЬ РЕЗУЛЬТАТОВ
СТОИМОСТЬ
ТОЧНОСТЬ И
ЦЕННОСТЬ РЕЗУЛЬТАТОВ
СТОИМОСТЬ
ТОЧНОСТЬ И
ЦЕННОСТЬ РЕЗУЛЬТАТОВ
АВТОМАТИЗИРОВАННЫЙ
АНАЛИЗ

9. Роль
Security
Champion
Требования к
защищенности
Экосистема
SSDL
Процессные
метрики
Практики
разработки
защищенного
ПО
Управление
знаниямии
поддержка
экспертов
Защищенные приложения не
появляются случайно
Модель состоит из 6
основных
элементов

10. AppSec
Program
Management
AppSec
Metrics
2
1
AppSec
Orchestration
3
Maturity
Mgmt
App Risk
Profile
Application
Portfolio
AppSec
Practices
Security
Gates
Threat
Models
Req Mgmt
Center
of
Excellence
Software
Risks
MTTR
SAST
DAST
Defect
Mgmt
SCM
CD
REST API
Lead Time
MTTD
Custom
Scan Rules
eLearning
Platform
AppSec
Intelligence
Product
Size
Risk Density
Open Src
Risk Mgmt
WRI
Karma
CI
Incremental
Scan
Base
Advanced
IAST
RASP
Re-opened
Defects
Ratio
FP Rate
Automation
Efficiency

11. • Скорость исправления дефектов не соответствует
SLA в 1.5 раза
• Идентификация дефектов происходит поздно
• Среднее время жизни исправляемых дефектов = ½
релизного цикла
• Среднее время жизни всех дефектов превышает
допустимый SLA в 4 раза
• Копим негативный технологический долг
• В PROD среде значительное кол-во неисправленных
дефектов
• Повысить приоритет задачи в командах разработки
• Добавить дополнительные ресурсы
ФАКТЫ:
ПОСЛЕДСТВИЯ:
ДЕЙСТВИЯ:

12. • Средняя длительность релизного цикла за полтора
года не изменилась
• Cкорость идентификации и исправления дефектов
позитивна (растет)
• В целом, позитивный тренд
• Однако, исходя из предыдущей картины не хватает
ресурсов, чтобы обеспечить сходимость процесса
• Регулярный мониториг сохранения тренда
• Drill-down анализ
ФАКТЫ:
ПОСЛЕДСТВИЯ:
ДЕЙСТВИЯ:

13. • WRI превышает пороговый уровень
более чем в 6 раз
• Растущий тренд открытых дефектов
• Наибольший вклад привносят программы
Sigma и Gamma
• Крайне высока вероятность компрометации
приложений / сервисов разрабатываемых в
указанных программах
• В PROD среде значительное кол-во неисправленных
дефектов
• Повысить приоритет задачи в командах разработки
• Добавить дополнительные ресурсы
ФАКТЫ:
ПОСЛЕДСТВИЯ:
ДЕЙСТВИЯ:

14. ФАКТЫ:
ПОСЛЕДСТВИЯ:
ДЕЙСТВИЯ:
• SAST – одна из самых зрелых практик
• Fuzzing – одна из самых отстающих практик
• Практически отсутствуют организационные
практики контроля результатов (SSDL Gates)
• Практики в программе Delta выполняются не
успешно
• Приложения / сервисы в рамках программы Delta –
источник повышенного риска
• Возможно появление скрытых дефектов не
выявленных практикой Fuzz Testing
• Команды разработки не берут на себя
ответственность за дефекты, т.к. нету формального
sign-off
• Добавить AppSec ресурсов в программу Delta
• Обратить внимание на экспертизу
Fuzz Testing

15. ПРИМЕР ДОРОЖНОЙ КАРТЫ
ОТСУТСТВУЕТНАЧАЛЬНЫЙСРЕДНИЙПРОДВИНУТЫЙЭКСПЕРТНЫЙ
ОСВЕДОМЛЕННОСТЬ АДАПТАЦИЯ СОВЕРШЕНСТВОВАНИЕИССЛЕДОВАНИЕ
DAST
SAST + CI
COMMUNICATION PLAN
PENETRATION TESTING
OPEN SOURCE RISK
MGMT
EXPERT ANALYSIS
VULNERABILITY MGMT LIFECYCLE
SOFTWARE SECURITY PRACTICES ROLLOUT ROADMAP
SLA / SECURITY POLICIES
SAST + DEFECT TRACKING
PORTAL
SECURITY CHAMPION
TECHNICAL DEBT ANALYSIS
TECHNICAL TRAINING
SECURITY CODING GUIDELINES
ARCHITECTURE & REQUIREMENTS
THREAT MODEL
IAST / RASP
AWARENESS TRAINING
CTF CHALLENGE

16. Используйте модель зрелости BSIMM как отправную точку для
планирования AppSec активностей. BSIMM дает хорошее
понимание Definition of Done.
Модель зрелости BSIMM
Ни одна из практик по отдельности не является панацеей. Только
грамотное совмещение всех практик в необходимой пропорции в
рамках единого, сквозного процесса даст вам Value for Money.
SAST / DAST / Pen Test
Базовые столпы о которых необходимо всегда помнить и
принимать во внимании при стратегическом планировании задач
AppSec.
6 Слагаемых Успеха
Инструмент, позволяющий со всеми стейкхолдерами говорить на
одном языке – от младшего инжерена до акционера.
Метрики
Ключевые моменты

17. Спасибо!
yuri@swordfishsecurity.com