Your SlideShare is downloading. ×
0
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Technology Risk Management of Web Applications — A Case Study

840

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
840
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Zarządzanie ryzykiem technologicznym aplikacji webowych Studium przypadku Grill IT Wrocław, 12 października 2007 Michał Sobiegraj, CISSP
  • 2. CzyToDziała <ul><ul><li>Usługa podobna do CzyToDziala.pl </li></ul></ul><ul><li>Przypadek jest fikcyjny! </li></ul>/31
  • 3. Po co zarządzać ryzykiem? <ul><li>Koncentrujemy się na dostępności </li></ul><ul><ul><li>Ile jest niezależnych serwerów? </li></ul></ul><ul><ul><li>Jak wygląda dystrybucja geograficzna? </li></ul></ul><ul><ul><li>Ile jest niezależnych łącz? </li></ul></ul><ul><ul><li>Niezależne zasilanie? </li></ul></ul><ul><ul><li>Serwery DNS? </li></ul></ul><ul><ul><li>Backup? </li></ul></ul><ul><ul><li>Dlaczego? </li></ul></ul>/31
  • 4. Zarządzanie ryzykiem technologicznym aplikacji webowych <ul><li>Formuły </li></ul><ul><ul><li>Spodziewana strata </li></ul></ul><ul><ul><li>Bilans kosztów/zysków </li></ul></ul><ul><li>Aktywa </li></ul><ul><li>Zagrożenia </li></ul><ul><li>Podatności </li></ul><ul><li>Środki zaradcze </li></ul><ul><li>Bilans kosztów/zysków </li></ul><ul><li>Pytania </li></ul>/31
  • 5. Spodziewana strata <ul><li>SLE (Single Loss Expectancy) – przewidywana wartość pojedynczej straty </li></ul><ul><ul><ul><ul><li>AV (Asset Value) – wartość aktywa </li></ul></ul></ul></ul><ul><ul><ul><ul><li>EF (Exposure Factor) – część AV, która zostanie utracona podczas pojedynczego incydentu </li></ul></ul></ul></ul><ul><li>ALE (Annualised Loss Expectancy) </li></ul><ul><ul><ul><ul><li>ARO (Annual Rate of Occurance) – ilość wystąpień na rok </li></ul></ul></ul></ul>/31
  • 6. Bilans kosztów/zysków <ul><li>ROSI (Return On Security Investment) </li></ul><ul><ul><ul><li>ALE (Annualised Loss Expectancy) – Przewidywana wartość strat w ciągu roku </li></ul></ul></ul><ul><ul><ul><li>ALE SG – Przewidywana wartość strat w ciągu roku przy zastosowaniu środków zaradczych (Safe Guards) </li></ul></ul></ul>0 /31
  • 7. Zarządzanie ryzykiem technologicznym aplikacji webowych <ul><li>Formuły </li></ul><ul><li>Aktywa </li></ul><ul><ul><li>Identyfikacja </li></ul></ul><ul><ul><li>Właściciel biznesowy </li></ul></ul><ul><ul><li>Wartość </li></ul></ul><ul><li>Zagrożenia </li></ul><ul><li>Podatności </li></ul><ul><li>Środki zaradcze </li></ul><ul><li>Bilans kosztów/zysków </li></ul><ul><li>Pytania </li></ul>/31
  • 8. Aktywa (1) – Identyfikacja <ul><li>Często mapowane z procesu biznesowego </li></ul><ul><ul><li>Szczegółowość zależy od bilansu kosztów/zysków </li></ul></ul><ul><ul><li>System testowania dostępności </li></ul></ul><ul><ul><li>System wysyłania alarmów </li></ul></ul><ul><ul><ul><li>Podsystem wysyłania maili </li></ul></ul></ul><ul><ul><ul><li>Podsystem wysyłania SMSów </li></ul></ul></ul><ul><ul><li>System serwowania raportów </li></ul></ul><ul><ul><li>System do fakturowania </li></ul></ul>/31
  • 9. Aktywa (2) – Właściciel biznesowy <ul><li>Odpowiedzialny za aktywa </li></ul><ul><ul><li>Odbiorca analizy ryzyka </li></ul></ul><ul><ul><li>Ponosi koszty związane z aktywem </li></ul></ul><ul><li>Małe przedsięwzięcia </li></ul><ul><ul><li>Zwykle przedsiębiorca </li></ul></ul><ul><ul><li>Być może delegowana osoba </li></ul></ul><ul><ul><li>Przedsiębiorca i tak jest ostatecznie odpowiedzialny </li></ul></ul><ul><ul><li>? </li></ul></ul>/31
  • 10. Aktywa (3) – Wartość (1) <ul><li>Czyli? </li></ul><ul><ul><li>Ile będzie kosztowało odtworzenie systemu? </li></ul></ul><ul><ul><li>Ile będzie kosztować odtworzenie utraconych danych? </li></ul></ul><ul><ul><li>Ile będzie kosztować niedostępność systemu? </li></ul></ul><ul><ul><li>Ile będzie kosztować niedostępność danych? </li></ul></ul><ul><ul><li>Ile konkurencja zyska na niedostępności? </li></ul></ul><ul><ul><li>Ile będzie kosztować utrata reputacji? </li></ul></ul><ul><ul><li>SLA z naszymi klientami </li></ul></ul><ul><ul><li>AV </li></ul></ul>/31
  • 11. Aktywa (3) – Wartość (2) <ul><li>Kwantyfikacja </li></ul><ul><ul><li>Wartości monetarne </li></ul></ul><ul><ul><li>1/2/3, etc </li></ul></ul><ul><li>Wyczucie ;-) </li></ul><ul><li>Algorytm </li></ul><ul><ul><li>Dostosowany do konkretnych warunków </li></ul></ul><ul><ul><li>Skomplikowanie zależy od bilansów kosztów/zysków </li></ul></ul><ul><li>Spójna! </li></ul>/31
  • 12. Aktywa (3) – Wartość (3) <ul><ul><li>System testowania dostępności </li></ul></ul><ul><ul><ul><li>Odtworzenie systemu </li></ul></ul></ul><ul><ul><ul><ul><li>Serwery: 20.000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Oprogramowanie i dane: 20.000PLN </li></ul></ul></ul></ul><ul><ul><ul><li>Kary umowne wynikające z SLA: 40.000PLN </li></ul></ul></ul><ul><ul><ul><li>Utrata reputacji (chyba, że się nikt nie zorientuje ;-) : 20.000PLN </li></ul></ul></ul><ul><ul><ul><li>AV: 100.000PLN </li></ul></ul></ul><ul><ul><li>System wysyłania alarmów </li></ul></ul><ul><ul><ul><li>Jak wyżej – główny system </li></ul></ul></ul><ul><ul><ul><li>AV: 100.000PLN </li></ul></ul></ul>/31
  • 13. Aktywa (3) – Wartość (4) <ul><ul><li>System serwowania raportów </li></ul></ul><ul><ul><ul><li>Odtworzenie systemu </li></ul></ul></ul><ul><ul><ul><ul><li>Serwery </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Oprogramowanie </li></ul></ul></ul></ul><ul><ul><ul><li>Niedostępność danych w czasie awarii </li></ul></ul></ul><ul><ul><ul><li>Kary umowne wynikające z SLA </li></ul></ul></ul><ul><ul><ul><li>Utrata reputacji </li></ul></ul></ul><ul><ul><ul><li>Całkowita utrata danych </li></ul></ul></ul><ul><ul><ul><li>AV: 20.000 PLN </li></ul></ul></ul><ul><ul><li>System do fakturowania </li></ul></ul><ul><ul><ul><li>Odtworzenie systemu </li></ul></ul></ul><ul><ul><ul><li>Odtworzenie danych z kopii papierowych </li></ul></ul></ul><ul><ul><ul><li>AV: 3.000 PLN </li></ul></ul></ul>/31
  • 14. Zarządzanie ryzykiem technologicznym aplikacji webowych <ul><li>Formuły </li></ul><ul><li>Aktywa </li></ul><ul><li>Zagrożenia </li></ul><ul><ul><li>Identyfikacja i ocena </li></ul></ul><ul><li>Podatności </li></ul><ul><li>Środki zaradcze </li></ul><ul><li>Bilans kosztów/zysków </li></ul><ul><li>Pytania </li></ul>/31
  • 15. Zagrożenia (1) <ul><li>Spowodowane przez człowieka </li></ul><ul><ul><li>Atak </li></ul></ul><ul><ul><ul><li>Z zewnątrz </li></ul></ul></ul><ul><ul><ul><li>Od wewnątrz </li></ul></ul></ul><ul><ul><ul><li>exploity, bomba, etc. </li></ul></ul></ul><ul><ul><li>Błąd </li></ul></ul><ul><li>Techniczne </li></ul><ul><ul><li>Utrata zasilania </li></ul></ul><ul><ul><li>Uszkodzenie serwera </li></ul></ul><ul><ul><li>Uszkodzenie dysku </li></ul></ul><ul><ul><li>... </li></ul></ul><ul><ul><li>Naturalne – Mogą skutkować zagrożeniami technicznymi </li></ul></ul><ul><ul><li>Huragan </li></ul></ul><ul><ul><li>Powódź </li></ul></ul><ul><ul><li>... </li></ul></ul>/31
  • 16. Zagrożenia (2) – Identyfikacja i ocena <ul><li>Dla każdego zidentyfikowanego aktywa </li></ul><ul><li>Czy zagrożenie ma zastosowanie (Applicability) </li></ul><ul><ul><li>Np. pojawienie się Tsunami w Polsce jest dość mało prawdopodobne </li></ul></ul><ul><li>Prawdopodobieństwo </li></ul><ul><ul><li>Ile razy na rok? ( ARO ) </li></ul></ul><ul><ul><li>Z danych statystycznych </li></ul></ul><ul><ul><li>Z SLA z dostarczycielem usługi, etc. </li></ul></ul>/31
  • 17. Zagrożenia (3) <ul><li>System testowania dostępności </li></ul><ul><ul><li>Utrata zasilania: ARO == 3 </li></ul></ul><ul><ul><li>Uszkodzenie serwera: ARO == 1 </li></ul></ul><ul><ul><li>Uszkodzenie dysku: ARO == 1/3 </li></ul></ul><ul><li>System serwowania raportów </li></ul><ul><ul><li>Utrata zasilania: ARO == 3 </li></ul></ul><ul><ul><li>Uszkodzenie serwera: ARO == 2 </li></ul></ul><ul><ul><li>Uszkodzenie dysku: ARO == 1 </li></ul></ul>/31
  • 18. Zarządzanie ryzykiem technologicznym aplikacji webowych <ul><li>Formuły </li></ul><ul><li>Aktywa </li></ul><ul><li>Zagrożenia </li></ul><ul><li>Podatności </li></ul><ul><ul><li>Rodzaje </li></ul></ul><ul><ul><li>EF </li></ul></ul><ul><li>Środki zaradcze </li></ul><ul><li>Bilans kosztów/zysków </li></ul><ul><li>Pytania </li></ul>/31
  • 19. Podatności (1) – Rodzaje (1) <ul><li>Podatności na atak </li></ul><ul><ul><li>Szczególnie istotne w aplikacjach webowych </li></ul></ul><ul><ul><li>SQL Injection, XSS, XSRF, ... </li></ul></ul><ul><ul><li>Wymaga specjalistycznej wiedzy </li></ul></ul><ul><ul><li>Ograniczenie problemu: frameworks </li></ul></ul><ul><ul><ul><li>Redukcja przestrzeni podatnej na błędy </li></ul></ul></ul><ul><ul><ul><li>Bugtraq </li></ul></ul></ul><ul><ul><ul><li>Exploity 0-day </li></ul></ul></ul>/31
  • 20. Podatności (2) – Rodzaje (2) <ul><li>Podatności na zagrożenia techniczne i fizyczne </li></ul><ul><ul><li>Brak kopii zapasowych </li></ul></ul><ul><ul><li>Niewłaściwa strategia tworzenia kopii zapasowych </li></ul></ul><ul><ul><li>Brak redundancji serwerów </li></ul></ul><ul><ul><li>Brak redundancji łącz </li></ul></ul><ul><ul><li>etc... </li></ul></ul><ul><li>W połączeniu z zagrożeniami determinują EF </li></ul>/31
  • 21. Podatności (3) – EF <ul><li>System testowania dostępności </li></ul><ul><ul><li>Utrata zasilania </li></ul></ul><ul><ul><ul><li>Brak redundancji serwerów ( EF == 3% ) </li></ul></ul></ul><ul><ul><ul><ul><li>Kary umowne wynikające z SLA: 2000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Utrata reputacji: 1000PLN </li></ul></ul></ul></ul><ul><ul><li>Uszkodzenie dysku </li></ul></ul><ul><ul><ul><li>Jeden serwer i brak kopii zapasowych ( EF == 28% ) </li></ul></ul></ul><ul><ul><ul><ul><li>Dysk: 1000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Odtworzenie systemu: 20000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Kary umowne wynikające z SLA: 5000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Utrata reputacji: 2000PLN </li></ul></ul></ul></ul><ul><ul><ul><li>Brak redundancji serwerów i kopia zapasowa ( EF == 4,5% ) </li></ul></ul></ul><ul><ul><ul><ul><li>Dysk: 1000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Kary umowne wynikające z SLA: 2000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Odtworzenie systemu z kopii zapasowych: 500PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Utrata reputacji: 1000PLN </li></ul></ul></ul></ul>/31
  • 22. Spodziewane straty <ul><ul><li>System testowania dostępności </li></ul></ul><ul><ul><ul><li>Utrata zasilania </li></ul></ul></ul><ul><ul><ul><ul><li>Brak redundancji serwerów </li></ul></ul></ul></ul><ul><ul><ul><li>Uszkodzenie dysku </li></ul></ul></ul><ul><ul><ul><ul><li>Jeden serwer i brak kopii zapasowych </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Brak redundancji serwerów i kopia zapasowa </li></ul></ul></ul></ul>/31
  • 23. Zarządzanie ryzykiem technologicznym aplikacji webowych <ul><li>Formuły </li></ul><ul><li>Aktywa </li></ul><ul><li>Zagrożenia </li></ul><ul><li>Podatności </li></ul><ul><li>Środki zaradcze </li></ul><ul><li>Bilans kosztów/zysków </li></ul><ul><li>Pytania </li></ul>/31
  • 24. Środki zaradcze (1) <ul><li>Eliminują lub zmniejszają podatności </li></ul><ul><ul><li>Redundancja maszyn </li></ul></ul><ul><ul><li>Redundancja łącz </li></ul></ul><ul><ul><li>Zmiana strategii wykonywania kopii zapasowych </li></ul></ul><ul><ul><li>Zastosowanie macierzy dyskowej </li></ul></ul><ul><ul><li>... </li></ul></ul><ul><li>Zmniejszają zagrożenia </li></ul><ul><ul><li>Przeniesienie serwerowni (tsunami) </li></ul></ul><ul><ul><li>... </li></ul></ul><ul><li>Kosztują </li></ul><ul><li>Wpływają na wartość EF </li></ul>/31
  • 25. Środki zaradcze (2) <ul><li>System testowania dostępności </li></ul><ul><ul><li>Utrata zasilania </li></ul></ul><ul><ul><ul><li>2 redundantne serwery </li></ul></ul></ul><ul><ul><ul><ul><li>Brak kar umownych wynikające z SLA </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Bark utraty reputacji </li></ul></ul></ul></ul><ul><ul><ul><ul><li>EF == 0 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Ryzyko na poziomie akceptowalnym (nie zerowe) </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Koszt inwestycji: 20.000PLN </li></ul></ul></ul></ul>/31
  • 26. Środki zaradcze (3) <ul><ul><li>Uszkodzenie dysku </li></ul></ul><ul><ul><ul><li>Jeden serwer i kopia zapasowa </li></ul></ul></ul><ul><ul><ul><ul><li>Dysk: 1.000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Odtworzenie systemu: 500PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Kary umowne wynikające z SLA: 2.000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Utrata reputacji: 2.000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>EF: 5,5% </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Koszt inwestycji: 5.000PLN </li></ul></ul></ul></ul><ul><ul><ul><li>2 redundantne serwery i kopia zapasowa </li></ul></ul></ul><ul><ul><ul><ul><li>Dysk: 1.000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Brak kar umownych wynikające z SLA </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Bark utrata reputacji </li></ul></ul></ul></ul><ul><ul><ul><ul><li>EF: 1% </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Koszt inwestycji: 20.000PLN </li></ul></ul></ul></ul>/31
  • 27. Spodziewane straty SG <ul><ul><li>System testowania dostępności </li></ul></ul><ul><ul><ul><li>Utrata zasilania </li></ul></ul></ul><ul><ul><ul><ul><li>Brak redundancji serwerów </li></ul></ul></ul></ul><ul><ul><ul><li>Uszkodzenie dysku </li></ul></ul></ul><ul><ul><ul><ul><li>Jeden serwer i brak kopii zapasowych </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Brak redundancji serwerów i kopia zapasowa </li></ul></ul></ul></ul>/31
  • 28. Zarządzanie ryzykiem technologicznym aplikacji webowych <ul><li>Formuły </li></ul><ul><li>Aktywa </li></ul><ul><li>Zagrożenia </li></ul><ul><li>Podatności </li></ul><ul><li>Środki zaradcze </li></ul><ul><li>Bilans kosztów/zysków </li></ul><ul><li>Pytania </li></ul>/31
  • 29. Bilans kosztów/zysków (1) <ul><li>System testowania dostępności </li></ul><ul><ul><li>Utrata zasilania </li></ul></ul><ul><ul><ul><li>Brak redundancji serwerów ( SG: drugi serwer ) </li></ul></ul></ul><ul><ul><ul><li>Nie zwróci się w ciągu roku </li></ul></ul></ul>0 /31
  • 30. <ul><li>System testowania dostępności </li></ul><ul><ul><li>Uszkodzenie dysku </li></ul></ul><ul><ul><ul><li>Jeden serwer i brak kopii zapasowych ( SG: kopia zapasowa ) </li></ul></ul></ul><ul><ul><ul><li>Brak redundancji serwerów i kopia zapasowa ( SG: drugi serwer ) </li></ul></ul></ul>/31
  • 31. Pytania <ul><li>??? </li></ul>[email_address] /31

×