Practical Threat Analysis – Martin Russ

owaspsuffolk
Nov. 6, 2019
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
Practical Threat Analysis – Martin Russ
1 of 56

Practical Threat Analysis – Martin Russ

Nov. 6, 2019
Download to read offline
Software

Martin Russ shows you how to actually do Threat Analysis using a simple spreadsheet as a guide. The key to successful threat analysis and modelling is to have a clear idea of how to get to the end-point, and not to get overwhelmed with how you are going to get there! Having a simple guide makes this much easier, but there aren’t many examples out there - this turns to be one of those rare topics where Google searches don’t return much that is particularly useful. So we will be using a very straight-forward approach that isn’t scary or hard to understand, and which doesn’t require a brain the size of a planet. or the services of an expensive consultant!

owaspsuffolk

Recommended

What could possibly go wrong? Threat modelling in the 21st century. – Phil AshbyWhat could possibly go wrong? Threat modelling in the 21st century. – Phil Ashby
What could possibly go wrong? Threat modelling in the 21st century. – Phil Ashbyowaspsuffolk370 views29 slides
Your only as strong as your weakest link – Edward OgdenYour only as strong as your weakest link – Edward Ogden
Your only as strong as your weakest link – Edward Ogdenowaspsuffolk367 views12 slides
Data protection within developmentData protection within development
Data protection within developmentowaspsuffolk383 views27 slides
Understanding how to prevent Sensitive Data Exposure Understanding how to prevent Sensitive Data Exposure
Understanding how to prevent Sensitive Data Exposure owaspsuffolk468 views27 slides
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius18.9K views27 slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slidesAlireza Esmikhani18.1K views36 slides

More Related Content

Featured

Staying Cool During SummerStaying Cool During Summer
Staying Cool During SummerDeborah Davis27.9K views8 slides
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...DevGAMM Conference2.2K views12 slides
Barbie - Brand Strategy PresentationBarbie - Brand Strategy Presentation
Barbie - Brand Strategy PresentationErica Santiago21.2K views46 slides
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Applitools52.7K views138 slides
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at WorkGetSmarter399.8K views64 slides
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them wellGood Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them wellSaba Software24.7K views64 slides

Featured(20)

Staying Cool During SummerStaying Cool During Summer
Staying Cool During Summer
Deborah Davis27.9K views
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
DevGAMM Conference2.2K views
Barbie - Brand Strategy PresentationBarbie - Brand Strategy Presentation
Barbie - Brand Strategy Presentation
Erica Santiago21.2K views
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools52.7K views
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
GetSmarter399.8K views
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them wellGood Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
Saba Software24.7K views
Introduction to C Programming LanguageIntroduction to C Programming Language
Introduction to C Programming Language
Simplilearn7.9K views
The Pixar Way: 37 Quotes on Developing and Maintaining a Creative Company (fr...The Pixar Way: 37 Quotes on Developing and Maintaining a Creative Company (fr...
The Pixar Way: 37 Quotes on Developing and Maintaining a Creative Company (fr...
Palo Alto Software87.9K views
9 Tips for a Work-free Vacation9 Tips for a Work-free Vacation
9 Tips for a Work-free Vacation
Weekdone.com6.9K views
I Rock Therefore I Am. 20 Legendary Quotes from PrinceI Rock Therefore I Am. 20 Legendary Quotes from Prince
I Rock Therefore I Am. 20 Legendary Quotes from Prince
Empowered Presentations142.5K views
How to Map Your FutureHow to Map Your Future
How to Map Your Future
SlideShop.com274.5K views
Beyond Pride: Making Digital Marketing & SEO Authentically LGBTQ+ Inclusive -...Beyond Pride: Making Digital Marketing & SEO Authentically LGBTQ+ Inclusive -...
Beyond Pride: Making Digital Marketing & SEO Authentically LGBTQ+ Inclusive -...
AccuraCast3.2K views
Read with Pride | LGBTQ+ ReadsRead with Pride | LGBTQ+ Reads
Read with Pride | LGBTQ+ Reads
Kayla Martin-Gant974 views
Exploring ChatGPT for Effective Teaching and Learning.pptxExploring ChatGPT for Effective Teaching and Learning.pptx
Exploring ChatGPT for Effective Teaching and Learning.pptx
Stan Skrabut, Ed.D.55.8K views
How to train your robot (with Deep Reinforcement Learning)How to train your robot (with Deep Reinforcement Learning)
How to train your robot (with Deep Reinforcement Learning)
Lucas García, PhD41.9K views
4 Strategies to Renew Your Career Passion4 Strategies to Renew Your Career Passion
4 Strategies to Renew Your Career Passion
Daniel Goleman121.5K views
The Student's Guide to LinkedInThe Student's Guide to LinkedIn
The Student's Guide to LinkedIn
LinkedIn86.5K views
Different Roles in Machine Learning CareerDifferent Roles in Machine Learning Career
Different Roles in Machine Learning Career
Intellipaat12.1K views
Defining a Tech Project Vision in Eight Quick Steps pdfDefining a Tech Project Vision in Eight Quick Steps pdf
Defining a Tech Project Vision in Eight Quick Steps pdf
TechSoup 9.4K views
The Hero's Journey (For movie fans, Lego fans, and presenters!)The Hero's Journey (For movie fans, Lego fans, and presenters!)
The Hero's Journey (For movie fans, Lego fans, and presenters!)
Dan Roam28.9K views

Practical Threat Analysis – Martin Russ

  1. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Monday, 8 July 2019 © Martin Russ 2019 1 Sometimes security is about Trust… Why do people often implicitly trust an instruction?
  2. https://securitytiruces.blogspot.com/ Martin Russ: security researcher esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Getting your hands dirty… Practical Threat Analysis
  3. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Who am I? • Martin Russ • Ex-CISSP, now just an ordinary mortal. • I worked in the Security Engineering department of a major US utility metering company for nearly ten years… • Know too much about hacking devices that measure, or • Web front-ends that interface to the ‘mostly harmless’ real world, or • Cloud back-ends that assume that replication is a substitute for backups… • I have always wanted a t-shirt that says: ‘There’s no way that would ever happen…’ because I have heard it too many times in security workshops... Monday, 8 July 2019 © Martin Russ 2019 3
  4. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit What to take away from tonight… ‘There’s no way that would ever happen…’ Monday, 8 July 2019 © Martin Russ 2019 4
  5. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit What we will be doing… •Using a very straight-forward approach •Nothing scary or hard to understand •Doesn’t require a brain the size of a planet •No need for an expensive consultant • (At first… But they could be very useful later on…) Monday, 8 July 2019 © Martin Russ 2019 5
  6. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Background Monday, 8 July 2019 © Martin Russ 2019 6
  7. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Threat Analysis… •What is it? •When do we do it? •How do we do it? •Where do we hide the results? •How do we avoid doing it ever again? Monday, 8 July 2019 © Martin Russ 2019 7
  8. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Threat Analysis… •What is it? •When do we do it? •How do we do it? •Where do we hide the results? •How do we avoid doing it ever again? Monday, 8 July 2019 © Martin Russ 2019 8
  9. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Threat Analysis… •What is it? •When do we do it? •How do we do it? •How do we turn the results into actions? •How do we make sure we do it again? Monday, 8 July 2019 © Martin Russ 2019 9
  10. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit What is a Threat? •Anything that leads to alteration, interruption, or loss of any service, resource, data or device. https://xkcd.com/538/ Monday, 8 July 2019 © Martin Russ 2019 10
  11. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Alteration, Interruption, or Loss •Alteration Someone edits the data •Interruption Web-site not available •Loss Data: Names and Passwords published Reputation: We were hacked! Users: People stop using the service Money: GDPR Fines from the ICO, etc. Monday, 8 July 2019 © Martin Russ 2019 11
  12. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Alteration, Interruption, or Loss •Alteration Integrity •Interruption Availability •Loss Confidentiality Monday, 8 July 2019 © Martin Russ 2019 12
  13. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Confidentiality, Integrity and Availability Confidentiality AvailabilityIntegrity The CIA Triangle A triangle shape is only strong if you have all three parts… Monday, 8 July 2019 © Martin Russ 2019 13 ( Plus Privacy and Access Control )
  14. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Some more terminology: •Threat = bad event that might happen •Attack = intentionally causing bad event to happen •Vulnerability = weakness that enables an attack •Exploit = implementation of an attack •Risk = probability of an attack × damage caused Monday, 8 July 2019 © Martin Russ 2019 14
  15. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Monday, 8 July 2019 © Martin Russ 2019 15 Threat Analysis
  16. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Google Search: Threat Analysis? •A threat analysis will review the factors of a terrorist group's existence, capability, intentions, history, and targeting, as well as the security environment within which friendly forces operate. Threat analysis is an essential step in identifying probability of terrorist attack and results in a threat assessment. Monday, 8 July 2019 © Martin Russ 2019 16
  17. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit In a ‘cyber’ or IT security context: •Threat analysis is a process in which: •knowledge of internal and external vulnerabilities… •about a particular service, resource, data or device… •is matched against real-world attacks. Monday, 8 July 2019 © Martin Russ 2019 17
  18. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit So, for your , who knows about: •Vulnerabilities? •Attacks? Monday, 8 July 2019 © Martin Russ 2019 18 service/ resource/ data/ device
  19. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit <Insert Mirror Here> •The people who specify, design, develop, write, code… •They know the most about the •But they need a special weapon! Monday, 8 July 2019 © Martin Russ 2019 19 service/ resource/ data/ device
  20. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit THE QUESTION: •How would you edit the data? •How would you stop it working? •How would you steal the data? •… •How would YOU wreck it? Monday, 8 July 2019 © Martin Russ 2019 20
  21. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Monday, 8 July 2019 © Martin Russ 2019 21 We need something to put this in…
  22. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Structure •Just asking questions is only a part of the solution. •We need a process or structure to hold the answers… •Has anyone done a structure? Monday, 8 July 2019 © Martin Russ 2019 22
  23. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit The Microsoft Security Development Lifecycle •Whole lifecycle of software/service development + Lots of free resources and tools + Evolved, detailed and mature thinking + Can be a serious investment of time, people… (money!) - Not so good for physical security, anti-terrorism, hardware… - Not so good for smaller, simpler ‘1person+dog’ projects… Monday, 8 July 2019 © Martin Russ 2019 23
  24. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit SDL workflow… • Practice #1 - Provide Training • Practice #2 - Define Security Requirements • Practice #3 - Define Metrics and Compliance Reporting • Practice #4 - Perform Threat Modeling • Practice #5 - Establish Design Requirements • Practice #6 - Define and Use Cryptography Standards • Practice #7 - Manage the Security Risk of Using Third-Party Components • Practice #8 - Use Approved Tools • Practice #9 - Perform Static Analysis Security Testing (SAST) • Practice #10 - Perform Dynamic Analysis Security Testing (DAST) • Practice #11 - Perform Penetration Testing • Practice #12 - Establish a Standard Incident Response Process Monday, 8 July 2019 © Martin Russ 2019 24
  25. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit ETSI TVRA •Threat, Vulnerability, & Risk Analysis for Telecoms/Cyber + Lots of free resources + Evolved, detailed and mature thinking + Can be a serious investment of time, people… (money!) - Not so good for physical security, anti-terrorism, hardware… - Not so good for smaller, simpler ‘1person+dog’ projects… Monday, 8 July 2019 © Martin Russ 2019 25
  26. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit ETSI TVRA workflow… • 1. Specify target, purpose, assumptions, etc. • 2. Define security objectives • 3. Define functional requirements • 4. Define assets • 5. Identify vulnerabilities • 6. Likelihood of threats • 7. Determine risks • 8. Counter measures • 9 Cost-benefit analysis • 10. Feedback Monday, 8 July 2019 © Martin Russ 2019 26
  27. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit OWASP Application Threat Modelling •Most of the time, a threat model includes: • A description / design / model of what you’re worried about • A list of assumptions that can be checked or challenged in the future as the threat landscape changes • A list of potential threats to the system • A list of actions to be taken for each threat • A way of validating the model and threats, and verification of success of actions taken Monday, 8 July 2019 © Martin Russ 2019 27
  28. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit OWASP ATM workflow •Threat modelling should be part of the SDLC (!) •The motto is: Threat modelling: the sooner the better, but never too late. •What isn’t in Microsoft’s SDLC or TVRA: • 4. Did we do a good enough job? • Finally, carry out a retrospective activity over the work you have done to check quality, feasibility, progress, and/or planning. Monday, 8 July 2019 © Martin Russ 2019 28
  29. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Martin’s Incompleteness Theory •There is never a complete, perfect solution* • (From 2nd Law of Thermodynamics, but you don’t need to know that..) •There will be several ‘nearly complete’ offerings •Most of the solutions will be tedious and complex •Most of the solutions will be hated by your boss’s boss •That missing piece of the puzzle was eaten by the dog * There is no complete, perfect Incompleteness Theory Monday, 8 July 2019 © Martin Russ 2019 29
  30. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Just Good Enough •Remember the 4th point of OWASP’s ATM workflow? •Was it?: Monday, 8 July 2019 © Martin Russ 2019 30 Injection Broken Authentication Sensitive data exposure XML External Entities (XXE) Broken Access control Security misconfigurations Cross Site Scripting (XSS) Insecure Deserialization Using Components with known vulnerabilities Insufficient logging and monitoring
  31. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Just Good Enough •Remember the 4th point of OWASP’s ATM workflow? • 4. Did we do a good enough job? • Finally, carry out a retrospective activity over the work you have done to check quality, feasibility, progress, and/or planning. •Can we rewrite this as a ‘Just Good Enough’ criterion? • 0. What is a good enough job? • One where there is a plan to check quality, feasibility, progress… and it happens! Monday, 8 July 2019 © Martin Russ 2019 31
  32. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Just Good Enough Threat Analysis •So what might ‘Just Good Enough’ look like? • Microsoft SDLC? • ETSI TVRA? • OWASP ATM (+SDLC)? • None of the above? • Something else? Monday, 8 July 2019 © Martin Russ 2019 32 ✘✘✘✘✘
  33. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Monday, 8 July 2019 © Martin Russ 2019 33 KISS (Keep It Simple (=Simple))
  34. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Just something I made up… Monday, 8 July 2019 © Martin Russ 2019 34
  35. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Monday, 8 July 2019 © Martin Russ 2019 35 8 Columns Simple Rating System 1 Row per Threat
  36. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Preparation •Make a clean copy of the template and name it (and save…) •Get the real experts into the room •Try to prevent anyone’s boss from being in the room •Project the spreadsheet so everyone can see it •No emails, texting, etc. This means everyone… Monday, 8 July 2019 © Martin Russ 2019 36
  37. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit The 8 Columns (Left to Right = Flow) • Asset • Threat • Vulnerability • Damage (Impact) • Likelihood • Risk • Mitigation • Action Monday, 8 July 2019 © Martin Russ 2019 37
  38. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Asset – what are you protecting? •Data, Code, Servers, Network, Patents, Secret Sauce… •Partition your design/solution/system… •Rate each part (1-4) and ignore the 1 and 2s •Then ask each expert for the most important parts: • 'How would you stop/break/steal it?’ •If they can think of a way (very unlikely!), then add a row… •If they can think of other ways (!), more rows… Monday, 8 July 2019 © Martin Russ 2019 38
  39. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Threat – how it might be stopped/broken… •Accident/natural-disaster, Attack by insiders, Attack by outsiders, Failure through end of life, Lack of monitoring / oversight... •No 'wrong' answers or proposals are possible here - consider everything. •Rate the threat (1-4) and ignore the 1s and 2s Monday, 8 July 2019 © Martin Russ 2019 39
  40. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Vulnerability – what makes it possible? •Age of equipment, Wrong Configuration, Physical location, Incomplete process (e.g.backups not stored off-site), Bugs, OWASP Top Ten, No time, No Testing… •'That will never happen' is not a good input. •Listen to the expert… (They probably know!) Monday, 8 July 2019 © Martin Russ 2019 40
  41. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Damage – the impact of the threat •Loss of data, loss of service, loss of reputation, loss of income, loss of staff, loss of bonuses… •Does anyone want to make something that is naff? •One good approach when you summarise the results for bosses is to put monetary values on the damage, and then propose that the CEO should have that taken out of their bonus. Monday, 8 July 2019 © Martin Russ 2019 41
  42. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Likelihood – how often? •Expected frequency of occurrence… •How unlikely are several 'every n years' events in quick succession? •“There’s no way that would ever happen…” Monday, 8 July 2019 © Martin Russ 2019 42
  43. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Risk = Just A Calculation •Damage X Likelihood (1-16) •(You need to try and reduce both!) •You need to worry about low damage things that happen all the time, as well as high damage things that happen every few years. •Double figures are very scary! Fix them! Monday, 8 July 2019 © Martin Russ 2019 43
  44. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Mitigation – how to prevent it •How can the Damage be minimised? •How can the Asset be protected? •How can the Likelihood be reduced? •Brainstorming ideas can be in the analysis meeting (best), • or afterwards if extra help needed (another expert) • (best then to redo the analysis meeting) Monday, 8 July 2019 © Martin Russ 2019 44
  45. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Mitigation – danger signs! •No-one can come up with any mitigations… • Do you have the ‘real’ experts in the room? • Ask who might know about fixing it… • Then stop the meeting and restart with the real experts •Lots of mitigations, then more, then more… • The specification/design/implementation/testing may be incomplete… • Plan a second meeting when it is more complete… Monday, 8 July 2019 © Martin Russ 2019 45
  46. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Action – follow it up! •Define: Timescale, Actions, Responsibilities, Tracking, Regular progress monitoring with Penalties for late or non-completion. Involve a senior manager! •Final 'Sign-off and Date' must be at very senior level, and directly informed - and not just a blind signature! •Mandatory plan to revisit and assess actions after suitable time period. Monday, 8 July 2019 © Martin Russ 2019 46
  47. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Action – really follow it up! •Revisit and assess actions after suitable time period. •Escalate if progress is slow… •Keep the spreadsheet! • Look after it – it is a valuable asset itself! Monday, 8 July 2019 © Martin Russ 2019 47
  48. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Monday, 8 July 2019 © Martin Russ 2019 48 Let’s try some examples…
  49. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit •Asset •Threat •Vulnerability •Damage (Impact) •Likelihood •Risk •Mitigation •Action Monday, 8 July 2019 © Martin Russ 2019 49 Picture source: Internet, Owner: unknown
  50. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit •Asset •Threat •Vulnerability •Damage (Impact) •Likelihood •Risk •Mitigation •Action Monday, 8 July 2019 © Martin Russ 2019 50 Picture source: Internet, Owner: unknown
  51. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit •Asset •Threat •Vulnerability •Damage (Impact) •Likelihood •Risk •Mitigation •Action Monday, 8 July 2019 © Martin Russ 2019 51 Picture source: Internet, Owner: unknown Please type your Customer ID here: String query = "SELECT * FROM accounts WHERE custID=‘” + request.getParameter("id") + "'"; ' or '1'='1
  52. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Just something you can use! Monday, 8 July 2019 © Martin Russ 2019 52
  53. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit What to take away from tonight… ‘There’s no way that would ever happen…’ Monday, 8 July 2019 © Martin Russ 2019 53
  54. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit •Spreadsheet available from: Https://securitytiruces.blogspot.com ‘Security palindrome’
  55. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Thank You Monday, 8 July 2019 © Martin Russ 2019 55
  56. esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucese esecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurityt securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytiru securitytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecuritytirucesecurit Monday, 8 July 2019 © Martin Russ 2019 56