Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Практика безопасной разработки в СберТех / Дмитрий Янченко (СберТех)

251 views

Published on

РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 14:00

Тезисы:
http://ritfest.ru/2017/abstracts/2757.html

Я расскажу о том, как мы комплексно интегрируем практики безопасной разработки в жизненный цикл ПО. Рассмотрим наш технологический стек, особенности позиционирования наших сервисов внутри предприятия и применяемые способы вовлечения разработчиков в вопросы безопасности.

Также рассмотрим кейс с проектом реализации нового мобильного банка, в котором данные практики применялись с самого начала - как они повлияли на ход проекта, и какие результаты были получены.

Published in: Engineering
  • Be the first to comment

  • Be the first to like this

Практика безопасной разработки в СберТех / Дмитрий Янченко (СберТех)

  1. 1. Практика безопасной разработки в СберТех Дмитрий Янченко
  2. 2. • Модель обеспечения ИБ банка • Позиционирование подразделения SSG • Внутренние процессы SSG, методология • Технологический стек SSG • Управление требованиями • Анализ кода и тестирование ИБ • Метрики и аналитика • Повышение вовлечённости разработчиков • Кейс 2 О чём поговорим:
  3. 3. 3 Управление отношениями Защита инфраструктуры Защита банковских продуктов Проактивное противодействие угрозам Взаимодействие с гос. органами и внешними организациями Процессы и организационная модель 1 2 3 4 6 5 Забота о клиентах Модель обеспечения ИБ банка • BISO – свой ИБ профессионал для каждого Бизнес-Блока • Риск-ориентированный подход • Кросс-канальный фрод-мониторинг • Безопасная разработка • Контроль доступа к информационным ресурсам • Защита от DDoS-атак • Комплексный мониторинг и реагирование • Центр расследований и киберразведки • BigData, аналитика для проактивного выявления угроз • Единая культура ИБ у Банка и клиентов • Активное законотворчество • Консолидация усилий по борьбе с киберпреступностью • Разработка единых стандартов ИБ по банковской Группе • Повышение уровня зрелости процессов обеспечения ИБ 1 2 3 4 5 6
  4. 4. В рамках Департамента Качества СБТ • Максимальная близость к производству • QA-инженеры • Performance-инженеры • Производственные процессы Стейкхолдеры • Руководство производственных департаментов • Лидеры команд разработки • Руководство СБТ • Служба Кибербезопасности Сбербанка 4 Software Security Group
  5. 5. 5 ЗАДАЧА Комплексно интегрировать практики защиты ПО в жизненный цикл разработки (SDLC) для крупнейшего банка России. ВЫЗОВЫ • Позиционирование сервиса внутри и взаимодействие с производственными подразделениями • Несовершенный инструментарий • Минимальная экспертиза на рынке • Масштабирование Challenges
  6. 6. 6 СТРАТЕГИЯ Интеграция в проекты на начальных стадиях жизненного цикла разработки МАСШТАБИРУЕМОСТЬ • Развитие внутренних ключевых компетенций • Автоматизация процесса ПРИОРИТЕТЫ • Приложения и сервисы с высоким уровнем риска • Фокус на базовые практики Software Security 20% усилий vs. 80% эффекта • Реалистичные угрозы и уязвимости Базовые подходы
  7. 7. OWASP OpenSAMM СТО БР ИББСBSIMM СТАРТ ПРОЕКТА РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕАНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА 7 Стандарты безопасности vs процесс разработки
  8. 8. СТАРТ ПРОЕКТА РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕАНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА 8 Управление ЖЦ уязвимости Управление рисками ИБ Моделирование угроз Анализ бизнес- требований Разработка требований ИБ Использование гайдлайнов и чек-листов Анализ платформ и библиотек Статический анализ кода в рамках CI Разработка спец. правил анализа Код-ревью Статический анализ кода Код-ревью Динамический анализ Фаззинг Пентест Конфигураци- онный анализ Ретроспектива Пентест Динамический анализ Анализ системных требований Процессы Управление компетенциями Тренинги и интенсив- курсы Программы осведомлен- ности Разработка гайдлайнов Внутренние конференции и неформальные meet-up’ы Информационный портал Геймификация Архитектура и дизайн Разработка Тестирование
  9. 9. 9 Процесс взаимодействия с проектными командами - скоуп - даты - релизы Архитектурный портал Архитектура National Vulnerability Database Анализ библиотек Уязвимости библитек Дизайн Требования Модель угрозГайдлайныТребования Проектные команды Подразделение Software Security ЗависимостиПроектный репозиторий
  10. 10. 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ Архитектура стека СБТ & Практики App Sec 10
  11. 11. 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ Архитектура стека СБТ & Практики App Sec 11 00001 Управление уязвимостями в ЖЦ 00010 Управление рисками ИБ 00011 КоТ ИБ 00100 Ретроспектива
  12. 12. 12 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 Архитектура стека СБТ & Практики App Sec
  13. 13. 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ Архитектура стека СБТ & Практики App Sec 13 00101 Шаблоны защищенной архитектуры 00110 Сервисы уровня предприятия 00111 Инструменты защиты архитектуры
  14. 14. 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ Архитектура стека СБТ & Практики App Sec 14 01000 Частная модель угроз 01001 Частная модель нарушителя 01010 Классификация данных 01011 Классификация пользователей 01101 Разработка требований ИБ
  15. 15. 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ Архитектура стека СБТ & Практики App Sec 15 01101 Анализ компонент 01110 Статический анализ исходного кода (CI) 01111 Разработка спец. правил анализа кода 10000 Требования к защищенной конфигурации 10001 Ручная ревизия критичных участков кода 10010 Использование согласованных компонент 10011 Использование гайдлайнов разработки
  16. 16. Архитектура стека СБТ & Практики App Sec 16 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001
  17. 17. 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 Архитектура стека СБТ & Практики App Sec 17
  18. 18. 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ Архитектура стека СБТ & Практики App Sec 18 10100 Методика тестирования ИБ 10101 Сценарии пен. тестов 10110 Разработка спец. инструментария 10111 Ручная ревизия критичных участков кода 11000 Анализ конфигурации 11001 Пен. тест 11010 Fuzzing-тестирование 11011 Динамический анализ
  19. 19. 19 HA KMAN CTF Awareness Education Misconfiguration Authentication XSS XXE Injection Deliverable Security CSRF Testing OWASP Exploit CWE NVD VulnerabilityBSIMM Threat Black-box White-box Risk Hack Architecture PCI SAST DAST Exposure Data SDLC SAST ../ Гайдлайны разработки ../ Базовые интенсив-курсы ../ Внутренние конференции ../ Геймификация (соревнования в формате CTF) Развитие компетенций
  20. 20. 20 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 Развитие компетенций
  21. 21. 21
  22. 22. Кейс 22 Пилот мобильного приложения для Sberbank Europe
  23. 23. Кейс 23
  24. 24. Кейс 24 Sprint =
  25. 25. Кейс 25 Sprint = SSG
  26. 26. Кейс 26 Ревью требований Добавлено:  SSL Cert Pinning  Проверки на root/jailbreak  Контроль сессий  Проверка IMSI  Нормализация и валидация параметров запросов  Сигнатурный контроль файлов  … Исправлено:  Слабая энтропия UID  Слабое хэширование  Лишние permissions  Ограничения на попытки регистрации/подключения  Логирование  …
  27. 27. Кейс 27 SAST Android: Vulnerability Type Occurrences Severity Side Channel Data Leakage High Improper Verification Of Intent By Broadcast Receiver Medium Failure To Implement Least Privilege Medium Exported Service Without Permissions Medium Weak Encryption Medium Passing Non Encrypted Data Between Activities Low Non Encrypted Data Storage Low Log Forging Low iOS: Vulnerability Type Occurrences Severity Unscrubbed Secret Medium Jailbreak File Referenced By Name Low Jailbreak Unchecked File Operation Result Code Low Unchecked CString Convertion Low
  28. 28. Кейс 28 SAST Backend: Vulnerability Type Occurrences Severity Reflected XSS All Clients High Unnormalize Input String Medium Privacy Violation Medium Use of a One Way Hash with a Predictable Salt Medium CGI Stored XSS Medium CGI Reflected XSS All Clients Medium Heap Inspection Medium Absolute Path Traversal Medium Inadequate Encryption Strength Medium Input Path Not Canonicalized Medium Unchecked Input for Loop Condition Medium Cleartext Submission of Sensitive Information Medium Parameter Tampering Medium XSRF Medium
  29. 29. Кейс 29 DAST & PenTest  Прямой доступ к объектам других пользователей: удаление элементов личного кабинета произвольного пользователя, доступ к продуктам других пользователей  Отсутствие контроля доступа к административным сценариям, элементам личного кабинета пользователя  Злоупотребление стандартной функциональностью, приводящее к возможности регистрации произвольного устройства  Неэффективное управление сессиями — отсутствие привязки сессии к уникальным параметрам клиентского устройства  Неэффективная проверка числовых значений в отдельных операциях (Logic error)  Возможность остановки отдельных служб в результате перехода администратора на сфабрикованную страницу (отсутствие токена формы остановки служб)
  30. 30. Кейс 30 Резюме  Практики SSG были бесшовно интегрированы в циклы разработки  Большинство дефектов было устранено на самых ранних стадиях  ПСИ, включающие внешний пентест, были пройдены с первого раза, без замечаний  Проект был закрыт вовремя 
  31. 31. Эволюция процесса УСКОРЕНИЕИССЛЕДОВАНИЕ РЕАГИРОВАНИЕ Анализ и исправление кода ПРОАКТИВНЫЙ ПОДХОД Тиражирование лучших практик Требования Архитектура Исходный код Стенды Интервью с командой Выделение в проектной команде роли Security Champion Передача практик в проектную команду Наращивание экспертизы Повторяемый процесс Экспертная поддержка Тренинги Контроль результатов 31
  32. 32. 32 Спасибо за внимание! Дмитрий Янченко Software Security @ СберТех SBT_DK_OTIB@sberbank.ru

×