3. Un gioco: la scorecard dell’application security
•
4 categorie: tool, team, workflow,
awareness
•
•
•
5 temi per ciascuna categoria
ciascun tema vedrà assegnato un punteggio
a fine talk avrete un metro per giudicare la
vostra application security
3
Thursday, October 24, 13
4. 1. I tool
• L’efficacia di uno strumento è indipendente
dal suo costo a budget
• “A fool with a tool is still a fool”
• Le aree che dovrete coprire riguardano:
• gli asset fisici (server, postazioni di lavoro,
apparati di rete)
• i database
• le applicazioni web (test dinamici e test
statici)
4
Thursday, October 24, 13
5. 1. I tool
“Come scegli i tuoi strumenti? Licenze commerciali o
tool opensource”
Risposta
Punteggio
Vengono utilizzati sia tool commerciali che
opensource
+3
Abbiamo solo strumenti commerciali /
opensource
+1
Non abbiamo alcun strumento di scansione
automatica
-2
5
Thursday, October 24, 13
6. 1. I tool
“Come scegli i tuoi strumenti? Licenze commerciali o
tool opensource”
Risposta
Punteggio
Vengono utilizzati sia tool commerciali che
opensource
+3
Abbiamo solo strumenti commerciali /
opensource
+1
Non abbiamo alcun strumento di scansione
automatica
-2
5
Thursday, October 24, 13
7. 1. I tool
“Qual è stato il criterio di valutazione per la scelta
dei tool?”
Risposta
Punteggio
Leggendo su blog e forum quali fossero gli
strumenti migliori
+3
Scelti dal magic quadrant Gartner
+1
Per il blasone del vendor
-2
6
Thursday, October 24, 13
8. 1. I tool
“Qual è stato il criterio di valutazione per la scelta
dei tool?”
Risposta
Punteggio
Leggendo su blog e forum quali fossero gli
strumenti migliori
+3
Scelti dal magic quadrant Gartner
+1
Per il blasone del vendor
-2
6
Thursday, October 24, 13
9. 1. I tool
“Sono stati scelti solamente strumenti
commerciali?”
Risposta
Punteggio
No, sono stati scelti in base alla loro usabilità/
caratteristiche
+3
Sì, il supporto in caso di problemi è la cosa più
importante
0
Sì, il tool più costoso è sinonimo di affidabile
-2
7
Thursday, October 24, 13
10. 1. I tool
“Sono stati scelti solamente strumenti
commerciali?”
Risposta
Punteggio
No, sono stati scelti in base alla loro usabilità/
caratteristiche
+3
Sì, il supporto in caso di problemi è la cosa più
importante
0
Sì, il tool più costoso è sinonimo di affidabile
-2
7
Thursday, October 24, 13
11. 1. I tool
“I tool possono interagire tra di loro? Esistono delle
API?”
Risposta
Punteggio
Sì
+3
No
0
8
Thursday, October 24, 13
12. 1. I tool
“I tool possono interagire tra di loro? Esistono delle
API?”
Risposta
Punteggio
Sì
+3
No
0
8
Thursday, October 24, 13
13. 1. I tool
“I tuoi strumenti vengono effettivamente utilizzati?”
Risposta
Punteggio
Sì, quotidianamente
+3
Sì, qualche volta
-1
No, mai
-2
9
Thursday, October 24, 13
14. 1. I tool
“I tuoi strumenti vengono effettivamente utilizzati?”
Risposta
Punteggio
Sì, quotidianamente
+3
Sì, qualche volta
-1
No, mai
-2
9
Thursday, October 24, 13
15. 2. Il team
•
•
Un team preparato e motivato è alla base
•
Il team deve mantenersi aggiornato ed avere
buone competenze tecniche (almeno pari a
quelle degli attaccanti)
Il team deve essere di una numerosità
adeguata per dare un servizio di qualità
10
Thursday, October 24, 13
16. 2. Il team
“Esiste in azienda un team interno che si occupa di
application security?”
Risposta
Punteggio
Sì, ci sono anche delle persone interne per i test
+4
Sì, ma si occupano solo di coordinare i fornitori
+2
No, la parte tecnologica di test è totalmente
esternalizzata
-4
11
Thursday, October 24, 13
17. 2. Il team
“Esiste in azienda un team interno che si occupa di
application security?”
Risposta
Punteggio
Sì, ci sono anche delle persone interne per i test
+4
Sì, ma si occupano solo di coordinare i fornitori
+2
No, la parte tecnologica di test è totalmente
esternalizzata
-4
11
Thursday, October 24, 13
18. 2. Il team
“Il tuo team spende del tempo nella lettura di blog/
fonti twitter di appsec/riviste tecniche di settore?”
Risposta
Punteggio
Sì, regolarmente
+4
Sì, a volte
+2
No, mai / Non so
-4
12
Thursday, October 24, 13
19. 2. Il team
“Il tuo team spende del tempo nella lettura di blog/
fonti twitter di appsec/riviste tecniche di settore?”
Risposta
Punteggio
Sì, regolarmente
+4
Sì, a volte
+2
No, mai / Non so
-4
12
Thursday, October 24, 13
20. 2. Il team
“Il tuo team ha il giusto committment?”
Risposta
Punteggio
Sì, sulle aree di competenza sono decision
maker e tracciano la strategia del gruppo di
lavoro
+4
Danno un loro contributo tecnico ma la
decisione è del security manager
+2
Non sono interpellati su decisioni strategiche
-4
13
Thursday, October 24, 13
21. 2. Il team
“Il tuo team ha il giusto committment?”
Risposta
Punteggio
Sì, sulle aree di competenza sono decision
maker e tracciano la strategia del gruppo di
lavoro
+4
Danno un loro contributo tecnico ma la
decisione è del security manager
+2
Non sono interpellati su decisioni strategiche
-4
13
Thursday, October 24, 13
22. 2. Il team
“Il tuo team ha il giusto training?”
Risposta
Punteggio
Hanno a disposizione un budget per libri/
conferenze/corsi
+4
Non hanno un budget a disposizione ma sono
organizzati corsi tematici dal team
+2
Non hanno un percorso formativo all'interno del
loro lavoro
-4
14
Thursday, October 24, 13
23. 2. Il team
“Il tuo team ha il giusto training?”
Risposta
Punteggio
Hanno a disposizione un budget per libri/
conferenze/corsi
+4
Non hanno un budget a disposizione ma sono
organizzati corsi tematici dal team
+2
Non hanno un percorso formativo all'interno del
loro lavoro
-4
14
Thursday, October 24, 13
24. 2. Il team
“Il tuo team partecipa a conferenze e/o community
di settore?”
Risposta
Punteggio
Sì, spesso anche come relatori in conferenze
tematiche
+4
Sì, ma hanno un ruolo passivo
+2
No
-4
15
Thursday, October 24, 13
25. 2. Il team
“Il tuo team partecipa a conferenze e/o community
di settore?”
Risposta
Punteggio
Sì, spesso anche come relatori in conferenze
tematiche
+4
Sì, ma hanno un ruolo passivo
+2
No
-4
15
Thursday, October 24, 13
26. 3. Il workflow
•
Procedure snelle ed ergonomiche sono alla
base di un processo efficace di application
security
•
Solo questa categoria ha un bonus per
ciascun tema
16
Thursday, October 24, 13
27. 3. Il workflow
“Esiste una procedura di vulnerability management
per server?”
Risposta
Punteggio
Sì, server, desktop e laptop aziendali (*)
+2
Sì, solo per i server (*)
+1
No
-5
(*) +1 se sono inclusi i server di collaudo; +2 se sono inclusi i server di sviluppo
17
Thursday, October 24, 13
28. 3. Il workflow
“Esiste una procedura di vulnerability management
per server?”
Risposta
Punteggio
Sì, server, desktop e laptop aziendali (*)
+2
Sì, solo per i server (*)
+1
No
-5
(*) +1 se sono inclusi i server di collaudo; +2 se sono inclusi i server di sviluppo
17
Thursday, October 24, 13
29. 3. Il workflow
“Sono applicate procedure di hardening secondo
uno standard di compliance?”
Risposta
Punteggio
Sì (*)
+2
No
-5
(*) +1 se sono inclusi i server di collaudo; +2 se sono inclusi i server di sviluppo
18
Thursday, October 24, 13
30. 3. Il workflow
“Sono applicate procedure di hardening secondo
uno standard di compliance?”
Risposta
Punteggio
Sì (*)
+2
No
-5
(*) +1 se sono inclusi i server di collaudo; +2 se sono inclusi i server di sviluppo
18
Thursday, October 24, 13
31. 3. Il workflow
“Vengono eseguiti regolarmente dei penetration test
sulle web application?”
Risposta
Punteggio
Sì (*)
+2
Solo al momento del rilascio (*)
+1
No
-5
(*) +1 se sono incluse le applicazioni web Intranet; +2 se sono inclusi le applicazioni in
collaudo
19
Thursday, October 24, 13
32. 3. Il workflow
“Vengono eseguiti regolarmente dei penetration test
sulle web application?”
Risposta
Punteggio
Sì (*)
+2
Solo al momento del rilascio (*)
+1
No
-5
(*) +1 se sono incluse le applicazioni web Intranet; +2 se sono inclusi le applicazioni in
collaudo
19
Thursday, October 24, 13
33. 3. Il workflow
“Vengono eseguite regolarmente revisioni del codice
applicativo?”
Risposta
Punteggio
Sì, ad ogni minor release dei software critici per
l'azienda
+5
Sì, ma solo per le major release dei software
critici per l'azienda
+2
Sì, ma solo al rilascio di una nuova applicazione
-2
No
-5
20
Thursday, October 24, 13
34. 3. Il workflow
“Vengono eseguite regolarmente revisioni del codice
applicativo?”
Risposta
Punteggio
Sì, ad ogni minor release dei software critici per
l'azienda
+5
Sì, ma solo per le major release dei software
critici per l'azienda
+2
Sì, ma solo al rilascio di una nuova applicazione
-2
No
-5
20
Thursday, October 24, 13
35. 3. Il workflow
“Vengono effettuati periodicamente degli
assessment sui database?”
Risposta
Punteggio
Sì (*)
+2
No
-5
(*) +1 se sono inclusi i db di sviluppo; +2 se sono inclusi i db di collaudo
21
Thursday, October 24, 13
36. 3. Il workflow
“Vengono effettuati periodicamente degli
assessment sui database?”
Risposta
Punteggio
Sì (*)
+2
No
-5
(*) +1 se sono inclusi i db di sviluppo; +2 se sono inclusi i db di collaudo
21
Thursday, October 24, 13
37. 4. Awareness
•
La consapevolezza delle possibili minacce
interne/esterne è il primo passo per un buon
processo di application security
•
•
L’awareness deve essere per tutti, IT e non
Pesa infatti come tutte e 3 le categorie
precedenti
22
Thursday, October 24, 13
38. 4. Awareness
“Vengono tenuti incontri schedulati con gli amministratori di
sistema? Costruite un piano di mitigazione delle principali
vulnerabilità?”
Risposta
Punteggio
Sì, compresi i sistemisti in outsourcing presenti
in azienda
+10
Sì, solo i sistemisti interni
+5
No
-10
23
Thursday, October 24, 13
39. 4. Awareness
“Vengono tenuti incontri schedulati con gli amministratori di
sistema? Costruite un piano di mitigazione delle principali
vulnerabilità?”
Risposta
Punteggio
Sì, compresi i sistemisti in outsourcing presenti
in azienda
+10
Sì, solo i sistemisti interni
+5
No
-10
23
Thursday, October 24, 13
40. 4. Awareness
“Vengono tenuti incontri schedulati con gli sviluppatori per
indirizzare le vulnerabilità applicative?”
Risposta
Punteggio
Sì, compresi gli sviluppatori in outsourcing
presenti in azienda
+10
Sì, solo i team di sviluppo interni
+5
No
-10
24
Thursday, October 24, 13
41. 4. Awareness
“Vengono tenuti incontri schedulati con gli sviluppatori per
indirizzare le vulnerabilità applicative?”
Risposta
Punteggio
Sì, compresi gli sviluppatori in outsourcing
presenti in azienda
+10
Sì, solo i team di sviluppo interni
+5
No
-10
24
Thursday, October 24, 13
42. 4. Awareness
“Vengono tenute sessioni tematiche su hardening/sviluppo sicuro?”
Risposta
Punteggio
Sì, compreso il personale in outsourcing
presente in azienda
+10
Sì, solo i team interni
+5
No
-10
25
Thursday, October 24, 13
43. 4. Awareness
“Vengono tenute sessioni tematiche su hardening/sviluppo sicuro?”
Risposta
Punteggio
Sì, compreso il personale in outsourcing
presente in azienda
+10
Sì, solo i team interni
+5
No
-10
25
Thursday, October 24, 13
44. 4. Awareness
“Sono state emanate delle linee guida per i tuoi outsourcer?”
Risposta
Punteggio
Sì
+10
No
-10
26
Thursday, October 24, 13
45. 4. Awareness
“Sono state emanate delle linee guida per i tuoi outsourcer?”
Risposta
Punteggio
Sì
+10
No
-10
26
Thursday, October 24, 13
46. 4. Awareness
“Sono state emanate delle linee guida base per la sicurezza della
postazione di lavoro?”
Risposta
Sì e sono state implementate in un ghost usato
per clonare tutte le nuove macchine
Sì ma vengono implementate con una procedura
manuale
Sì ma non vengono implementate su tutte le
macchine
No
Punteggio
+10
+5
+2
-10
27
Thursday, October 24, 13
47. 4. Awareness
“Sono state emanate delle linee guida base per la sicurezza della
postazione di lavoro?”
Risposta
Sì e sono state implementate in un ghost usato
per clonare tutte le nuove macchine
Sì ma vengono implementate con una procedura
manuale
Sì ma non vengono implementate su tutte le
macchine
No
Punteggio
+10
+5
+2
-10
27
Thursday, October 24, 13
49. Hai ottenuto più di 90 punti...
A
OTTIMO LAVORO
29
Thursday, October 24, 13
50. Hai ottenuto tra i 70 e i 90 punti...
B
Buon punteggio, hai
ancora margini di
miglioramento
30
Thursday, October 24, 13
51. Hai ottenuto tra i 50 e i 70 punti...
C
Hai iniziato ad
introdurre
l’application security.
Non fermarti proprio
ora!
31
Thursday, October 24, 13
52. Hai ottenuto tra i 20 e i 50 punti...
D
Il tuo processo di application
security non è adeguato.
Forse va rivisto in toto.
Se hai appena iniziato, rifai
questo test tra un anno e non
scoraggiarti.
32
Thursday, October 24, 13
53. Hai ottenuto meno di 20 punti...
E
Al momento non si può dire che
tu faccia application security in
azienda.
Se hai appena iniziato, ripeti
questo test tra 2 anni.
Se non hai appena iniziato, prova
a fare una review del tuo
processo.
33
Thursday, October 24, 13