2012 Premium Technology usługi bezpieczeństwa teleinformatycznego

640 views

Published on

SDLC = Secure Development Life-Cycle

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
640
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

2012 Premium Technology usługi bezpieczeństwa teleinformatycznego

  1. 1. Rational Unified Process Usługi in Action bezpieczeństwa teleinformatycznego Szymon Dowgwiłłowicz-Nowicki Styczeń 2012 roku
  2. 2. Usługa Audytu Zabezpieczeń Wprowadzenie: testowania bezpieczeostwa systemów i aplikacji, nadzoru, kontroli i badania polityk zabezpieczeo, kontroli zgodności Audytor Audytor Audytor (desktop) (web client) zewnętrzny (web/desktop/ remote) Automatyczne Skalowalnośd Testowanie Szerokie Zabezpieczeo Raportowanie  Kompleksowy outsourcing usług audytu technicznego: ◦ Kompetentny monitoring ◦ Precyzyjne raportowanie ◦ Wypełnianie postulatów zgodności (przepisy, ustawy) ◦ Znacząco ogranicza potrzebę badania wewnętrznego, zwalnia zasoby ◦ Testowanie aplikacji zautomatyzowane i uzasadnione kosztowo ◦ Kompletna ochrona firmowych usług informatycznych
  3. 3. Bezpieczeństwo sieci  Projektowanie  Implementacja  Audyty – protokoły (sieci/dane)  Analiza architektury  Testy zabezpieczeń sieci  Coaching  Szkolenia  RAPORTOWANIE  Ciągłość działania  Wysoka dostępność
  4. 4. Bezpieczeństwo aplikacji  Testy bezpieczeństwa  Analiza podatności  Rekomendacje naprawcze  Model oparty na sesji  Pen-Testing  Coaching  Szkolenia  RAPORTOWANIE  Badanie zgodności (ustawy)  Dane osobowe / wrażliwe
  5. 5. Bezpieczeństwo informatyczne  Audyty bezpieczeństwa  Testy bezpieczeństwa aplikacji  Bezpieczny Cykl Rozwoju Oprogramowania (SDL)  Zarządzanie tożsamością  Badanie zabezpieczeń sieci  Projektowanie zabezpieczeń  Analiza podatności zabezpieczeń  Rekomendacje naprawcze  Pen-Testing  Badanie zgodności  Coaching / Szkolenia
  6. 6. Bezpieczeństwo Aplikacji Horyzont Bezpieczeństwa IBM ISS IBM Rational AppScan Desktop Transport Sieć Aplikacje Webowe Antywirus/ Enkrypcja Firewall’e IPS (SSL) Zaawansowane Routery Firewall Serwery Serwer Aplikacji Główny Rozwiązania Bezpieczeństwa Aplikacyjnego i Bazy Serwery Web Sieciowego dotyczą innych problemów Danych 6 Copyright © 2009 Premium Technology Sp. z o.o. All rights reserved.
  7. 7. Bezpieczeństwo, zgodność i jakość Korzyści wprowadzenia badania bezpieczeństwa i zgodności jako integralnej części zarządzania jakością Korzyść Problemy Zapewnienie integralności zanim aplikacje trafią do użytkowania poprzez wprowadzenie testowania zabezpieczeń do cyklu życia w Koszty naprawy w stosunku do ilości przełamań zarządzaniu jakością oprogramowania ochrony - w tym koszt odwrócenia negatywnego wpływu na wizerunek organizacji oraz jej relacji z klientami Zmniejszenie konsekwencji prawnych i Rosnące koszty wypełniania wymagań poprawa satysfakcji klienta poprzez standardów zgodności oraz potrzeba wprowadzenie badania zgodności i badania specjalistycznej konsultacji zawartości (polityk) do istniejących testów wydajnościowych i innych (QA) Niedojrzałość technologiczna – „ Posiadamy dobre opanowanie strony sieciowej, ale potrzebujemy zaufanego partnera, żeby Wdrożenie zasadniczej części zabezpieczeń rozpocząć ochronę najbardziej podatnych organizacji będącej uzupełnieniem ochrony aplikacji webowych ” aplikacji webowych na poziomie sieciowym
  8. 8. Adaptacyjność procesu wytwórczego i testów Definicja/ Projekt • Wymagania bezpieczeństwa, Rozwój architektura, modelowanie zagrożeń • Testowanie w kierunku bezpieczeństwa identyfikacja problemów w jak najwcześniejszej fazie • Optymalna pozycja testów w Produkcja procesie (redukcja kosztów) • Testowanie istniejących aplikacji • Eliminacja podatności w istniejących aplikacjach Deployment • Testowanie przed produkcją Testowanie • Testowanie oprogramowania w procesie • Deloyment bezpiecznych aplikacji QA na równi z testami funkcjonalnymi i wydajnościowymi • Redukcja kosztów testowania zabezpieczeń*Graphics from OWASP.com
  9. 9. Jaki jest koszt błędu oprogramowania?80% kosztów developmentu wydaje się na identyfikację i korektę błędów Po opublikowaniu W fazie testów/ produktu zapewnienia jakości $16,000/błąd (QA) Podczas kompilacji $450/błąd Podczas $100/błąd kodowania $25/błąd Wzrastający koszt naprawy błędu oprogramowania
  10. 10. Rezultat stosowania SDLC w procesie wytwórczym SDLC = Secure Development Life-Cycle Podstawowe cele bezpieczeństwa aplikacji webowych 1. Zarządzanie ryzykiem za pomocą audytów bezpieczeństwa 2. Poprawa efektywności poprzez testowanie Nowa najwcześniej w procesie wytwórczym jakość Wyzwanie dla audytorów bezpieczeństwa – Odpowiedzialni za zarządzanie ryzykiem organizacji wynikającym z udostępnienia aplikacji on-line – Ograniczenie zasobów (przez budżet i kompetencje) pomocnych w zapewnieniu ochrony na czas – Wynik ogranicza ilość cykli procesu wytwórczego Rozwiązanie – Zaangażować więcej testerów im wcześniej w procesie wytwórczym tym lepiej Copyright © 2009 Premium Technology Sp. z o.o. All rights reserved.
  11. 11. Wprowadzanie SDLC do procesu wytwórczego SDLC = Secure Development Life-Cycle SDLC Bezpieczeń- Kodowanie Kompilacja Jakość (QA) Produkcja -stwo Pozwala na efektywne Deweloperzy wprowadzenie napraw kwestii bezpieczeństwa do procesu wytwórczego Deweloperzy Zapewnia wykrycie i załatwienie problemu zagrożeń przed skierowaniem Deweloperzy Dostarcza deweloperom i testerom aplikacji do wiedzy, wykrywa podatności produkcji i sugeruje możliwości naprawy
  12. 12. Podsumowanie Zarządcze • Bezpieczeństwo aplikacji pozostaje nadal na szczycie piramidy zagrożeń • Wymagania prawne (np. PCI), potrzeby użytkowników (Web 2.0) oraz modernizacja architektury organizacyjnej (SOA) uświadamiają oraz wzmacniają potrzebę testowania zabezpieczeń • Wysoki koszt i niskie pokrycie ochrony reaktywnej (infrastruktura) kierują firmy ku innym rozwiązaniom – zabezpieczanie aplikacji na ich poziomie i od wewnątrz w procesie bezpiecznego rozwoju oprogramowania (SDLC) • Tradycyjne podejście nie wystarcza by zapewnić bezpieczeństwo podczas rozwoju oprogramowania ze względu na ryzyko projektowe i niebezpieczeństwo porażki projektu SDLC wprowadza nowe innowacyjne Zespół Security podejście polegające na integrację Koszt / testowania bezpieczeństwa w Trudnośd procesie rozwoju oprogramowania, Operacje / dostarcza najdokładniejsze oraz Infrastruktura łatwe w użyciu rozwiązanie Czas
  13. 13. Jak funkcjonuje Technologia WebApp SEC? Prywatność Jakość Bezpieczeństwo Standardy Zgodność 1 2 3 Skanowanie Analiza Raportowanie szczegółowe, gotowe do prowadzenia naprawy
  14. 14. Dziękuję za uwagę Szymon Dowgwiłłowicz-Nowicki sdow@premiumtechnology.pl 601.890.080Copyright © 2011 Premium Technology Sp. z o.o. All rights reserved.

×