Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Technology Risk Management of Web Applications — A Case Study

  • Login to see the comments

Technology Risk Management of Web Applications — A Case Study

  1. 1. Zarządzanie ryzykiem technologicznym aplikacji webowych Studium przypadku Grill IT Wrocław, 12 października 2007 Michał Sobiegraj, CISSP
  2. 2. CzyToDziała <ul><ul><li>Usługa podobna do CzyToDziala.pl </li></ul></ul><ul><li>Przypadek jest fikcyjny! </li></ul>/31
  3. 3. Po co zarządzać ryzykiem? <ul><li>Koncentrujemy się na dostępności </li></ul><ul><ul><li>Ile jest niezależnych serwerów? </li></ul></ul><ul><ul><li>Jak wygląda dystrybucja geograficzna? </li></ul></ul><ul><ul><li>Ile jest niezależnych łącz? </li></ul></ul><ul><ul><li>Niezależne zasilanie? </li></ul></ul><ul><ul><li>Serwery DNS? </li></ul></ul><ul><ul><li>Backup? </li></ul></ul><ul><ul><li>Dlaczego? </li></ul></ul>/31
  4. 4. Zarządzanie ryzykiem technologicznym aplikacji webowych <ul><li>Formuły </li></ul><ul><ul><li>Spodziewana strata </li></ul></ul><ul><ul><li>Bilans kosztów/zysków </li></ul></ul><ul><li>Aktywa </li></ul><ul><li>Zagrożenia </li></ul><ul><li>Podatności </li></ul><ul><li>Środki zaradcze </li></ul><ul><li>Bilans kosztów/zysków </li></ul><ul><li>Pytania </li></ul>/31
  5. 5. Spodziewana strata <ul><li>SLE (Single Loss Expectancy) – przewidywana wartość pojedynczej straty </li></ul><ul><ul><ul><ul><li>AV (Asset Value) – wartość aktywa </li></ul></ul></ul></ul><ul><ul><ul><ul><li>EF (Exposure Factor) – część AV, która zostanie utracona podczas pojedynczego incydentu </li></ul></ul></ul></ul><ul><li>ALE (Annualised Loss Expectancy) </li></ul><ul><ul><ul><ul><li>ARO (Annual Rate of Occurance) – ilość wystąpień na rok </li></ul></ul></ul></ul>/31
  6. 6. Bilans kosztów/zysków <ul><li>ROSI (Return On Security Investment) </li></ul><ul><ul><ul><li>ALE (Annualised Loss Expectancy) – Przewidywana wartość strat w ciągu roku </li></ul></ul></ul><ul><ul><ul><li>ALE SG – Przewidywana wartość strat w ciągu roku przy zastosowaniu środków zaradczych (Safe Guards) </li></ul></ul></ul>0 /31
  7. 7. Zarządzanie ryzykiem technologicznym aplikacji webowych <ul><li>Formuły </li></ul><ul><li>Aktywa </li></ul><ul><ul><li>Identyfikacja </li></ul></ul><ul><ul><li>Właściciel biznesowy </li></ul></ul><ul><ul><li>Wartość </li></ul></ul><ul><li>Zagrożenia </li></ul><ul><li>Podatności </li></ul><ul><li>Środki zaradcze </li></ul><ul><li>Bilans kosztów/zysków </li></ul><ul><li>Pytania </li></ul>/31
  8. 8. Aktywa (1) – Identyfikacja <ul><li>Często mapowane z procesu biznesowego </li></ul><ul><ul><li>Szczegółowość zależy od bilansu kosztów/zysków </li></ul></ul><ul><ul><li>System testowania dostępności </li></ul></ul><ul><ul><li>System wysyłania alarmów </li></ul></ul><ul><ul><ul><li>Podsystem wysyłania maili </li></ul></ul></ul><ul><ul><ul><li>Podsystem wysyłania SMSów </li></ul></ul></ul><ul><ul><li>System serwowania raportów </li></ul></ul><ul><ul><li>System do fakturowania </li></ul></ul>/31
  9. 9. Aktywa (2) – Właściciel biznesowy <ul><li>Odpowiedzialny za aktywa </li></ul><ul><ul><li>Odbiorca analizy ryzyka </li></ul></ul><ul><ul><li>Ponosi koszty związane z aktywem </li></ul></ul><ul><li>Małe przedsięwzięcia </li></ul><ul><ul><li>Zwykle przedsiębiorca </li></ul></ul><ul><ul><li>Być może delegowana osoba </li></ul></ul><ul><ul><li>Przedsiębiorca i tak jest ostatecznie odpowiedzialny </li></ul></ul><ul><ul><li>? </li></ul></ul>/31
  10. 10. Aktywa (3) – Wartość (1) <ul><li>Czyli? </li></ul><ul><ul><li>Ile będzie kosztowało odtworzenie systemu? </li></ul></ul><ul><ul><li>Ile będzie kosztować odtworzenie utraconych danych? </li></ul></ul><ul><ul><li>Ile będzie kosztować niedostępność systemu? </li></ul></ul><ul><ul><li>Ile będzie kosztować niedostępność danych? </li></ul></ul><ul><ul><li>Ile konkurencja zyska na niedostępności? </li></ul></ul><ul><ul><li>Ile będzie kosztować utrata reputacji? </li></ul></ul><ul><ul><li>SLA z naszymi klientami </li></ul></ul><ul><ul><li>AV </li></ul></ul>/31
  11. 11. Aktywa (3) – Wartość (2) <ul><li>Kwantyfikacja </li></ul><ul><ul><li>Wartości monetarne </li></ul></ul><ul><ul><li>1/2/3, etc </li></ul></ul><ul><li>Wyczucie ;-) </li></ul><ul><li>Algorytm </li></ul><ul><ul><li>Dostosowany do konkretnych warunków </li></ul></ul><ul><ul><li>Skomplikowanie zależy od bilansów kosztów/zysków </li></ul></ul><ul><li>Spójna! </li></ul>/31
  12. 12. Aktywa (3) – Wartość (3) <ul><ul><li>System testowania dostępności </li></ul></ul><ul><ul><ul><li>Odtworzenie systemu </li></ul></ul></ul><ul><ul><ul><ul><li>Serwery: 20.000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Oprogramowanie i dane: 20.000PLN </li></ul></ul></ul></ul><ul><ul><ul><li>Kary umowne wynikające z SLA: 40.000PLN </li></ul></ul></ul><ul><ul><ul><li>Utrata reputacji (chyba, że się nikt nie zorientuje ;-) : 20.000PLN </li></ul></ul></ul><ul><ul><ul><li>AV: 100.000PLN </li></ul></ul></ul><ul><ul><li>System wysyłania alarmów </li></ul></ul><ul><ul><ul><li>Jak wyżej – główny system </li></ul></ul></ul><ul><ul><ul><li>AV: 100.000PLN </li></ul></ul></ul>/31
  13. 13. Aktywa (3) – Wartość (4) <ul><ul><li>System serwowania raportów </li></ul></ul><ul><ul><ul><li>Odtworzenie systemu </li></ul></ul></ul><ul><ul><ul><ul><li>Serwery </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Oprogramowanie </li></ul></ul></ul></ul><ul><ul><ul><li>Niedostępność danych w czasie awarii </li></ul></ul></ul><ul><ul><ul><li>Kary umowne wynikające z SLA </li></ul></ul></ul><ul><ul><ul><li>Utrata reputacji </li></ul></ul></ul><ul><ul><ul><li>Całkowita utrata danych </li></ul></ul></ul><ul><ul><ul><li>AV: 20.000 PLN </li></ul></ul></ul><ul><ul><li>System do fakturowania </li></ul></ul><ul><ul><ul><li>Odtworzenie systemu </li></ul></ul></ul><ul><ul><ul><li>Odtworzenie danych z kopii papierowych </li></ul></ul></ul><ul><ul><ul><li>AV: 3.000 PLN </li></ul></ul></ul>/31
  14. 14. Zarządzanie ryzykiem technologicznym aplikacji webowych <ul><li>Formuły </li></ul><ul><li>Aktywa </li></ul><ul><li>Zagrożenia </li></ul><ul><ul><li>Identyfikacja i ocena </li></ul></ul><ul><li>Podatności </li></ul><ul><li>Środki zaradcze </li></ul><ul><li>Bilans kosztów/zysków </li></ul><ul><li>Pytania </li></ul>/31
  15. 15. Zagrożenia (1) <ul><li>Spowodowane przez człowieka </li></ul><ul><ul><li>Atak </li></ul></ul><ul><ul><ul><li>Z zewnątrz </li></ul></ul></ul><ul><ul><ul><li>Od wewnątrz </li></ul></ul></ul><ul><ul><ul><li>exploity, bomba, etc. </li></ul></ul></ul><ul><ul><li>Błąd </li></ul></ul><ul><li>Techniczne </li></ul><ul><ul><li>Utrata zasilania </li></ul></ul><ul><ul><li>Uszkodzenie serwera </li></ul></ul><ul><ul><li>Uszkodzenie dysku </li></ul></ul><ul><ul><li>... </li></ul></ul><ul><ul><li>Naturalne – Mogą skutkować zagrożeniami technicznymi </li></ul></ul><ul><ul><li>Huragan </li></ul></ul><ul><ul><li>Powódź </li></ul></ul><ul><ul><li>... </li></ul></ul>/31
  16. 16. Zagrożenia (2) – Identyfikacja i ocena <ul><li>Dla każdego zidentyfikowanego aktywa </li></ul><ul><li>Czy zagrożenie ma zastosowanie (Applicability) </li></ul><ul><ul><li>Np. pojawienie się Tsunami w Polsce jest dość mało prawdopodobne </li></ul></ul><ul><li>Prawdopodobieństwo </li></ul><ul><ul><li>Ile razy na rok? ( ARO ) </li></ul></ul><ul><ul><li>Z danych statystycznych </li></ul></ul><ul><ul><li>Z SLA z dostarczycielem usługi, etc. </li></ul></ul>/31
  17. 17. Zagrożenia (3) <ul><li>System testowania dostępności </li></ul><ul><ul><li>Utrata zasilania: ARO == 3 </li></ul></ul><ul><ul><li>Uszkodzenie serwera: ARO == 1 </li></ul></ul><ul><ul><li>Uszkodzenie dysku: ARO == 1/3 </li></ul></ul><ul><li>System serwowania raportów </li></ul><ul><ul><li>Utrata zasilania: ARO == 3 </li></ul></ul><ul><ul><li>Uszkodzenie serwera: ARO == 2 </li></ul></ul><ul><ul><li>Uszkodzenie dysku: ARO == 1 </li></ul></ul>/31
  18. 18. Zarządzanie ryzykiem technologicznym aplikacji webowych <ul><li>Formuły </li></ul><ul><li>Aktywa </li></ul><ul><li>Zagrożenia </li></ul><ul><li>Podatności </li></ul><ul><ul><li>Rodzaje </li></ul></ul><ul><ul><li>EF </li></ul></ul><ul><li>Środki zaradcze </li></ul><ul><li>Bilans kosztów/zysków </li></ul><ul><li>Pytania </li></ul>/31
  19. 19. Podatności (1) – Rodzaje (1) <ul><li>Podatności na atak </li></ul><ul><ul><li>Szczególnie istotne w aplikacjach webowych </li></ul></ul><ul><ul><li>SQL Injection, XSS, XSRF, ... </li></ul></ul><ul><ul><li>Wymaga specjalistycznej wiedzy </li></ul></ul><ul><ul><li>Ograniczenie problemu: frameworks </li></ul></ul><ul><ul><ul><li>Redukcja przestrzeni podatnej na błędy </li></ul></ul></ul><ul><ul><ul><li>Bugtraq </li></ul></ul></ul><ul><ul><ul><li>Exploity 0-day </li></ul></ul></ul>/31
  20. 20. Podatności (2) – Rodzaje (2) <ul><li>Podatności na zagrożenia techniczne i fizyczne </li></ul><ul><ul><li>Brak kopii zapasowych </li></ul></ul><ul><ul><li>Niewłaściwa strategia tworzenia kopii zapasowych </li></ul></ul><ul><ul><li>Brak redundancji serwerów </li></ul></ul><ul><ul><li>Brak redundancji łącz </li></ul></ul><ul><ul><li>etc... </li></ul></ul><ul><li>W połączeniu z zagrożeniami determinują EF </li></ul>/31
  21. 21. Podatności (3) – EF <ul><li>System testowania dostępności </li></ul><ul><ul><li>Utrata zasilania </li></ul></ul><ul><ul><ul><li>Brak redundancji serwerów ( EF == 3% ) </li></ul></ul></ul><ul><ul><ul><ul><li>Kary umowne wynikające z SLA: 2000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Utrata reputacji: 1000PLN </li></ul></ul></ul></ul><ul><ul><li>Uszkodzenie dysku </li></ul></ul><ul><ul><ul><li>Jeden serwer i brak kopii zapasowych ( EF == 28% ) </li></ul></ul></ul><ul><ul><ul><ul><li>Dysk: 1000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Odtworzenie systemu: 20000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Kary umowne wynikające z SLA: 5000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Utrata reputacji: 2000PLN </li></ul></ul></ul></ul><ul><ul><ul><li>Brak redundancji serwerów i kopia zapasowa ( EF == 4,5% ) </li></ul></ul></ul><ul><ul><ul><ul><li>Dysk: 1000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Kary umowne wynikające z SLA: 2000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Odtworzenie systemu z kopii zapasowych: 500PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Utrata reputacji: 1000PLN </li></ul></ul></ul></ul>/31
  22. 22. Spodziewane straty <ul><ul><li>System testowania dostępności </li></ul></ul><ul><ul><ul><li>Utrata zasilania </li></ul></ul></ul><ul><ul><ul><ul><li>Brak redundancji serwerów </li></ul></ul></ul></ul><ul><ul><ul><li>Uszkodzenie dysku </li></ul></ul></ul><ul><ul><ul><ul><li>Jeden serwer i brak kopii zapasowych </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Brak redundancji serwerów i kopia zapasowa </li></ul></ul></ul></ul>/31
  23. 23. Zarządzanie ryzykiem technologicznym aplikacji webowych <ul><li>Formuły </li></ul><ul><li>Aktywa </li></ul><ul><li>Zagrożenia </li></ul><ul><li>Podatności </li></ul><ul><li>Środki zaradcze </li></ul><ul><li>Bilans kosztów/zysków </li></ul><ul><li>Pytania </li></ul>/31
  24. 24. Środki zaradcze (1) <ul><li>Eliminują lub zmniejszają podatności </li></ul><ul><ul><li>Redundancja maszyn </li></ul></ul><ul><ul><li>Redundancja łącz </li></ul></ul><ul><ul><li>Zmiana strategii wykonywania kopii zapasowych </li></ul></ul><ul><ul><li>Zastosowanie macierzy dyskowej </li></ul></ul><ul><ul><li>... </li></ul></ul><ul><li>Zmniejszają zagrożenia </li></ul><ul><ul><li>Przeniesienie serwerowni (tsunami) </li></ul></ul><ul><ul><li>... </li></ul></ul><ul><li>Kosztują </li></ul><ul><li>Wpływają na wartość EF </li></ul>/31
  25. 25. Środki zaradcze (2) <ul><li>System testowania dostępności </li></ul><ul><ul><li>Utrata zasilania </li></ul></ul><ul><ul><ul><li>2 redundantne serwery </li></ul></ul></ul><ul><ul><ul><ul><li>Brak kar umownych wynikające z SLA </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Bark utraty reputacji </li></ul></ul></ul></ul><ul><ul><ul><ul><li>EF == 0 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Ryzyko na poziomie akceptowalnym (nie zerowe) </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Koszt inwestycji: 20.000PLN </li></ul></ul></ul></ul>/31
  26. 26. Środki zaradcze (3) <ul><ul><li>Uszkodzenie dysku </li></ul></ul><ul><ul><ul><li>Jeden serwer i kopia zapasowa </li></ul></ul></ul><ul><ul><ul><ul><li>Dysk: 1.000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Odtworzenie systemu: 500PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Kary umowne wynikające z SLA: 2.000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Utrata reputacji: 2.000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>EF: 5,5% </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Koszt inwestycji: 5.000PLN </li></ul></ul></ul></ul><ul><ul><ul><li>2 redundantne serwery i kopia zapasowa </li></ul></ul></ul><ul><ul><ul><ul><li>Dysk: 1.000PLN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Brak kar umownych wynikające z SLA </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Bark utrata reputacji </li></ul></ul></ul></ul><ul><ul><ul><ul><li>EF: 1% </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Koszt inwestycji: 20.000PLN </li></ul></ul></ul></ul>/31
  27. 27. Spodziewane straty SG <ul><ul><li>System testowania dostępności </li></ul></ul><ul><ul><ul><li>Utrata zasilania </li></ul></ul></ul><ul><ul><ul><ul><li>Brak redundancji serwerów </li></ul></ul></ul></ul><ul><ul><ul><li>Uszkodzenie dysku </li></ul></ul></ul><ul><ul><ul><ul><li>Jeden serwer i brak kopii zapasowych </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Brak redundancji serwerów i kopia zapasowa </li></ul></ul></ul></ul>/31
  28. 28. Zarządzanie ryzykiem technologicznym aplikacji webowych <ul><li>Formuły </li></ul><ul><li>Aktywa </li></ul><ul><li>Zagrożenia </li></ul><ul><li>Podatności </li></ul><ul><li>Środki zaradcze </li></ul><ul><li>Bilans kosztów/zysków </li></ul><ul><li>Pytania </li></ul>/31
  29. 29. Bilans kosztów/zysków (1) <ul><li>System testowania dostępności </li></ul><ul><ul><li>Utrata zasilania </li></ul></ul><ul><ul><ul><li>Brak redundancji serwerów ( SG: drugi serwer ) </li></ul></ul></ul><ul><ul><ul><li>Nie zwróci się w ciągu roku </li></ul></ul></ul>0 /31
  30. 30. <ul><li>System testowania dostępności </li></ul><ul><ul><li>Uszkodzenie dysku </li></ul></ul><ul><ul><ul><li>Jeden serwer i brak kopii zapasowych ( SG: kopia zapasowa ) </li></ul></ul></ul><ul><ul><ul><li>Brak redundancji serwerów i kopia zapasowa ( SG: drugi serwer ) </li></ul></ul></ul>/31
  31. 31. Pytania <ul><li>??? </li></ul>[email_address] /31

×