Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

DevOpsDays Taipei 2019 - 新創導入資安?從 DevSecOps 開始

642 views

Published on

儘管資安越來越受重視,但在新創軟體公司中,為了求快速和產品獲利,似乎無可避免地只能把資安放在更後面的順位。
於是在現有的 DevOps 開發文化中,有人提出了 DevSecOps,希望能將資安融入在快速、持續交付的文化中,讓產品不斷推進的同時,也可以持續保持在足夠的安全性上。

身為一個 DevOps、SRE 或開發者,我們可以先從容易做、且有價值的地方導入資安,並且用 DevOps 精神持續疊代強化。

議程會先從攻擊角度出發,以攻擊的思維來看新創公司常見的資安問題。接著介紹 DevSecOps,並且以實際例子來介紹開發時各階段實踐的方法。
最後回歸 DevSecOps 的人與文化。要做好資安,文化是不可或缺的,讓大家都有做資安的權利和責任,並且一起推動資安。

Published in: Software
  • Be the first to comment

DevOpsDays Taipei 2019 - 新創導入資安?從 DevSecOps 開始

  1. 1. 新創導入資安?從 DevSecOps 開始 YSc DevOpsDays Taipei 2019
  2. 2. 我們要保護什什麼?
  3. 3. 真實性風險評估 適合新創的資安
  4. 4. DevSecOps
  5. 5. YSc • HITCON Speaker & Trainer • Balsn CTF Team Co-Founder • Bug Bounty Hunter • Security Engineer in Appier and COBINHOOD • ⽩白帽觀點 https://secview.io/ y
  6. 6. DevSecOps for Startups
  7. 7. 0. 由上⽽而下
  8. 8. – AWS CTO Werner Vogels Security is EVERYONE's job
  9. 9. 1. 評估風險 2. 提升資安意識 3. 基礎設施強化 4. 實踐偵測與反應
  10. 10. 1. 評估風險
  11. 11. 威脅模型 • (What)了了解你的資產 • (Who)威脅族群 • (Where)網站產品、雲端服務 • (How)真實性攻擊模型、STRIDE Business Impact What Where Who
  12. 12. 資料外洩 錯誤配置資安意識不⾜足
  13. 13. 2017 年年美國的資料外洩事件超過 1,300件[1] 2017 年年全球外洩資料共 26 億筆資料[2] 2018 年年有 58%的受害者來來⾃自⼩小公司[3] 資料外洩 錯誤配置資安意識不⾜足
  14. 14. 2018 年年 83%的公司表⽰示遭受釣⿂魚攻擊[1] 2018 年年 OpenVPN 調查有 25%的員⼯工在每個帳號都⽤用相同密碼[2] 資料外洩 錯誤配置資安意識不⾜足
  15. 15. 資料外洩 錯誤配置資安意識不⾜足
  16. 16. – Gartner https://www.bnext.com.tw/article/53826/awareness-cybersecurity-cloud 2022 年年時會有 95% 的雲端資安威脅源⾃自⼈人為疏失。
  17. 17. 2. 提升資安意識
  18. 18. 帳⼾戶、⾝身份管理理 每個⼈人的權責開發思維
  19. 19. 3. 基礎設施強化
  20. 20. 環境 速度持續
  21. 21. 模組化 Security-as-code 資安程式化、資安架構、重複使⽤用 ⾃自動化 測試、監控、過濾、回報與反應⾃自 動化、持續疊代 標準化 資安測試項⽬目、風險量量化、威脅模 型分析
  22. 22. CI CD Design Code Commit CI Tests Code Review Release Prod Deploy Tests Stage Deploy
  23. 23. CI CD Design Code Commit CI Tests Code Review Release Prod Deploy Tests Stage Deploy Runtime Application Self- Protection (RASP) Security Architecture Design Static Application Security Testing (SAST) Security Code Review Dynamic Application Security Testing (DAST) Interactive Application Security Testing (IAST) Software Composition Analysis (SCA)
  24. 24. CI CD Design Code Commit CI Tests Code Review Release Prod Deploy Tests Stage Deploy Runtime Application Self- Protection (RASP) Security Architecture Design Static Application Security Testing (SAST) Security Code Review Dynamic Application Security Testing (DAST) Interactive Application Security Testing (IAST) Software Composition Analysis (SCA)
  25. 25. CI CD Design Code Commit CI Tests Code Review Release Prod Deploy Tests Stage Deploy Runtime Application Self- Protection (RASP) Security Architecture Design Static Application Security Testing (SAST) Security Code Review Dynamic Application Security Testing (DAST) Interactive Application Security Testing (IAST) Software Composition Analysis (SCA) • Python: https://github.com/ PyCQA/bandit • Go: https://github.com/ securego/gosec • Nginx configuration: https:// github.com/yandex/gixy • ScoutSuite: https:// github.com/nccgroup/ ScoutSuite • Compliance tools • JS libraries: https:// retirejs.github.io/retire.js/ • 3rd party libraries: https:// snyk.io/ • Container analysis 配置檢查(Configuration) 軟體組件分析(SCA)靜態資安測試(SAST)
  26. 26. 33(+) Kubernetes security tools https://sysdig.com/blog/33-kubernetes-security-tools/
  27. 27. CVSS 3.0 https://www.first.org/cvss/calculator/3.0
  28. 28. 4. 實踐偵測與反應
  29. 29. https://cloud.google.com/products/#jump-to-8 https://aws.amazon.com/tw/products/security/
  30. 30. Bug Bounty https://hackerone.com/hacktivity
  31. 31. CI / CD Trigger Issue Tracker CI / CD Alert Repository Cloud Service
  32. 32. CI / CD Trigger SAST DAST SCA Issue Tracker Vulnerability Management CI / CD Alert Repository Security Testing Cloud Service
  33. 33. CI / CD Trigger SAST DAST SCA KMS Logging Issue Tracker Vulnerability Management CI / CD Alert Repository Security Testing Cloud Service
  34. 34. CI / CD Trigger SAST DAST SCA KMS Logging Issue Tracker Vulnerability Management CI / CD Alert Bug Bounty Repository Security Testing Cloud Service DLP Monitor
  35. 35. 0. 由上⽽而下 1. 評估風險:認清⾃自⼰己和敵⼈人 2. 提升資安意識:預防 3. 基礎設施強化:及早處理理資安 4. 實踐偵測與反應:事發處理理
  36. 36. ⽩白帽觀點 https://secview.io
  37. 37. Thanks

×