QualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS

430 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
430
On SlideShare
0
From Embeds
0
Number of Embeds
119
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

QualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS

  1. 1. QualysGuard WAS Implementace v ČNB Ing. Tomáš KlímaIng. Tomáš Klíma
  2. 2. Důvody zavedeníDůvody zavedení • „86% of all websites had at least one serious vulnerability“ The WhiteHat Website Security Statistics Report, 2013 • „99% of tested applications have vulnerabilities“ Cenzic Application Vulnerability Trends Report, 2013 2
  3. 3. Důvody zavedeníDůvody zavedení • „86% of all websites had at least one serious vulnerability“ The WhiteHat Website Security Statistics Report, 2013 • „99% of tested applications have vulnerabilities“ Cenzic Application Vulnerability Trends Report, 2013 + požadavek interního auditu 3
  4. 4. Současný stavSoučasný stav 4 • 5 licencí (3x vývojové verze, 2x ostrá – požadavek od vlastníků aplikací na testování všech v ostré verzi) • V provozu od 7/2013 • Během 3Q/2012 testovací provoz – „demoverze“
  5. 5. WAS LifecycleWAS Lifecycle 5
  6. 6. Praktické zkušenostiPraktické zkušenosti 6 Příprava skenů •Několik typů autentizace – využití certifikátů, Selenium skriptů, dále nastavení FW •Discovery sken – ověření definice scopu, identifikace „nebezpečných“ formulářů, ověření funkční autentizace
  7. 7. Praktické zkušenostiPraktické zkušenosti 7 Samotný (vulnerability) sken •Limit 8000 pages per aplikace •Možnost nastavení intenzity skenu
  8. 8. Praktické zkušenostiPraktické zkušenosti 8 Samotný sken •Limit 8000 pages per aplikace •Možnost nastavení intenzity skenu
  9. 9. Praktické zkušenostiPraktické zkušenosti 9 Reporting •Od testovacího provozu (2012) značné zlepšení reportů •Analýza reportu vyžaduje znalost problematiky webaplikací a OWASP zranitelností •Nutná konzultace nalezených zranitelností s vývojáři •Vhodné manuální ověření nalezených zranitelností.
  10. 10. Díky za pozornost QQ & A& A 10

×