Positive Hack Days, profile picture
Uploaded byPositive Hack Days
PPTX, PDF533 views

ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ

Документ обсуждает проблемы внедрения безопасной разработки в области информационной безопасности, включая необходимость интеграции исследований и повышения защищенности программных продуктов. Автор акцентирует внимание на важности команды в разработке и управлении безопасностью, а также на том, что безопасность должна стать приоритетом на всех этапах разработки. Упоминаются примеры уязвимостей и процесс их устранения, а также стратегические подходы к снижению рисков и аномалий в разработке ПО.

Embed presentation

Downloaded 17 times
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ Алексей Качалин ЗАО «Перспективный Мониторинг»
ЕСЛИ нас «сломают»  КОГДА нас «сломают»
Сколько можно исследовать ИБ? 0 5 10 15 20 25 30 35 2011 2012 2013 2014 ПРИМЕРНО ЛЮБОЙ ОТЧЕТ О ПЕРИОДИЧЕСКОМ АНАЛИЗЕ ИБ Критических уязвимостей Найдено новых Закрыто уязвимостей
НЕНАВИСТЬ
О себе/О нас О себе: Занимаюсь исследованиями и разработкой в ИБ ЗАО «ПМ» Аналитический и инструментальный анализ ПО и ИС С 2012 года – работаем по направлению повышения безопасности разработки В 2014 запустили ЦМ Принимаем участие в работе с регуляторами ИБ
О чём речь? Наш опыт проведения работ по взлому повышению защищённости разработки Проблемы интеграции исследований ИБ в цикл работ по созданию и обслуживанию ПО/ИС Дополнительные процессы и системы, полезные в нашей борьбе
ИБ-портрет: Разработчик (СЗИ) Компания – актуальны все угрозы для организаций и сотрудников Отрасль ИБ – активно вовлечен в противоборство ИБ Клиенты – информация о СЗИ, доступ, доверие Продукт – системный, инфраструктурный компонент ИС
Жизненный цикл разработки ПО*: где ИБ? 03.06.2015 11 Проектирование Требования Разработка Тестирование Выпуск Эксплуатация Сертификация Вывод из эксплуатации *Аналогичная ситуация с • Итеративными моделями разработки • Моделью непрерывного размещения
Безопасная разработка продукта  Мониторинг и реагирование  Проверка и выпуск продукта  Разработка  Проектирование  Требования  Подготовка и обучение разработчиков  Внедрение практик разработки
Что «вкусного» есть в ИС разработчика? Системы учёта ошибок и улучшений Системы версионного хранения кода Системы хранения жалоб потребителей Системы подготовки обновлений ------------------------------------------------------ Идеально для инжинерии атак
Можно грабить караваныTM Подключение к сетям заказчиков Тестовые устройства на периметре Необходимость загружать и тестировать недоверенное ПО Организация методов обновления Продукта Продукт в конце концов
Разработчик СЗИ – интересная мишень Интересны для атакующих «высоких классов», воспринимаются как активные участники государственной политики, представители интересов государства Продукт : Исходники и собранное ПО для исследования, алгоритмы Технологические мощности: сборочные сервера - возможность злоумышленнику собрать свою «подлинную» версию СЗИ, сетевые и серверные мощности Эксплуатация доверия - Рассылка писем/переписка от имени доверенной организации, люди – сотрудники, внешние контакты База установки Продукта: Контрактная документация, Сервисные подразделения
Собственная безопасность разработчика Регулярный аудит ИБ ИС Центр Мониторинга* * Нет мы не делаем “свой SIEM”, не умеем видеть невидимые вещи, спасибо за понимание
Развитие мониторинга и реагирования Технический анализ (состояние узлов, трафик, журналы) Обнаружить публикацию информации об уязвимости Публикация информации об уязвимости в компоненте/продукте Сети обмена информацией об уязвимостях Получить и интерпретировать обращения пользователей Сообщения о «странном поведении программы» (нет явного подозрения на проблемы ИБ) Попытки шантажа и ультиматумы, оскорбления и троллинг Готовый метод компрометации ИБ (пошаговый, в виде PoCE) Внутренние сообщение от разработчика – обратить внимание Указания на строчку кода Развёрнутый анализ с обоснованием неизбежности уязвимости
Тестирование и тестирование Анализ ИБ – безусловно один из видов тестирования продуктов Свои методики и тест-планы Автоматизация Инструментарий (инструкции) Работающий вариант: разработка автотестов для передачи в отдел тестирования
Ловушки для исследователя Не читать документацию Переписать документацию Не согласовывать цели/прогресс с заказчиком Не осознать зоны ответственности заинтересованных лиц …
Готовы ли разработчики? Выбор инструментов и компонентов Удобство среды разработки Использование знакомых компонентов Борьба с унаследованным кодом «Безопасное программирование» это достаточное ИБ? Утечки памяти, переполнение буфера, падения/повисания Безопасные опции компилятора Инструменты те же, а сценарии нет Практики управления Менеджер форсирует: бюджет, сроки, функционал
Безопасная разработка: есть рецепты Опыт «первопроходцев» Теория Практика Инструменты
Безопасная разработка продукта  Мониторинг и реагирование  Проверка и выпуск продукта  Разработка  Проектирование  Требования  Подготовка и обучение разработчиков  Внедрение практик разработки
Полнота требований: Ваш лог не вреден полезен для ИБ? 24
Модель угроз и нарушителя. Теперь в 3D
Условия внедрения безопасной разработки Осязаемые результаты: отдача от инвестиций в безопасность Возврат инвестиций ПО финансовых, подверженных фроду систем – возможно Снижение количества инцидентов и уязвимостей Снижение «стоимости» уязвимости Оперативность реагирования на инциденты Встраивание в существующий процесс разработки (заказа и эксплуатации ПО) Существующие продукты и компоненты Вовлечение команды (мотивация исполнителя и легитимизация затрат) на дополнительные практики ИБ 26
Стратегия внедрения безопасной разработки (наивный алгоритм) 27
Вот и договоритесь о приоритетах Проекты разработки Продукты Клиентские проекты
Безопасность 2.0 Необходимая скорость реакции Сократить окно уязвимости (Window of Vulnerability) Локализовать и ограничить инцидент Выявить первопричину уязвимости (ошибку) Разработать исправление Не позволяющее «обойти» себя Или атаковать аналогичную уязвимость Надежно устранить уязвимости, «не вернуть» ошибку в будущем
Что блокирует внедрение исследований ИБ Слабая прогнозируемость по срокам Непредсказуемость по результатам Отсутствие гарантий полноты исследований Отсутствие сходимости исследований Проблема повторных исследований Потребность: непрерывный адаптируемый процесс с управляемыми характеристиками
Цикл Безопасной Разработки  Свод Знаний  Домены (Разделы) практик  Мониторинг и реагирование  Проверка и выпуск продукта  Разработка  Проектирование  Требования  Сторонние компоненты  Соответствие требованиям регуляторов  Инструменты и системы разработки  Подготовка команды
Безопасность – командный вид спорта? Менеджер продукта Руководитель разработки Аналитик Архитектор Программист Тестировщик Специалист сопровождения Хакер Хакер Хакер Хакер Хакер Хакер Хакер
Осознать «свои» слабости 33 The CVE Identifier CVE-2014-0160 was released on April 7, 2014—the same day the Heartbleed bug was made public. This type of weakness is described in detail by CWE-130: Improper Handling of Length Parameter Inconsistency. The second weakness is an out-of-bounds memory read, which is described inCWE-125: Out-of- Bounds Read. These CWEs were first defined more than eight years ago CAPEC-540: Overread Buffers defines the general pattern commonly used by an attacker including how the attack is crafted, its potential severity and consequences
Не только сертификация
Выстроить чтобы ломать Исследователи и программисты Инструменты и методика База знаний и терминология (язык общения) Автоматизация консистентных процессов Процесс безопасной разработки Средства и процесс мониторинга
Начать с того что имеете Использовать доступное Делать возможное Качалин Алексей Директор ЗАО «ПМ» @kchln Kachalin@advancedmonitoring.ru

More Related Content

PPTX
лекция безопасная разработка приложений
byAlexander Kolybelnikov
 
PPTX
Безопасная разработка приложений на практике
byPointlane
 
PPTX
Ломать и строить. PHDays 2015
byAlexey Kachalin
 
PPTX
Методические рекомендации по техническому анализу. О. Макарова.
byExpolink
 
PPT
Цикл безопасной разработки SDL
byAlex Babenko
 
PPTX
Внутреннее качество в процедурах информационной безопасности
byAlex Babenko
 
PPTX
Разработка ПО в рамках PCI DSS
byAlex Babenko
 
PDF
Безопасность и сертификация банковского ПО
byAlex Babenko
 
лекция безопасная разработка приложений
byAlexander Kolybelnikov
 
Безопасная разработка приложений на практике
byPointlane
 
Ломать и строить. PHDays 2015
byAlexey Kachalin
 
Методические рекомендации по техническому анализу. О. Макарова.
byExpolink
 
Цикл безопасной разработки SDL
byAlex Babenko
 
Внутреннее качество в процедурах информационной безопасности
byAlex Babenko
 
Разработка ПО в рамках PCI DSS
byAlex Babenko
 
Безопасность и сертификация банковского ПО
byAlex Babenko
 

What's hot

PPTX
Secure development
byIhor Uzhvenko
 
PPTX
2015 02 пм качалин sdl
byAlexey Kachalin
 
PDF
Опасная разработка. Дорожная карта движения к катастрофе
bySelectedPresentations
 
PPTX
Метрики информационной безопасности
byАлександр Лысяк
 
PDF
Positive technologies а.гончаров
byDenial Solopov
 
PDF
Обеспечение качества ПО: международный опыт
byAleksey Lukatskiy
 
PDF
Цикл безопасной разработки
byRISClubSPb
 
PPTX
Внедрение безопасной разработки (Infosecurity 2014)
byAlexey Kachalin
 
PDF
Контроль уязвимостей в программных приложениях
byjet_information_security
 
PDF
Построение процесса безопасной разработки
byPositive Development User Group
 
PDF
PT Application Inspector SSDL Edition листовка
byValery Boronin
 
PPS
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
byExpolink
 
PDF
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
byPositive Hack Days
 
PPTX
Внутренняя угроза: выявление и защита с помощью ObserveIT
byBAKOTECH
 
PDF
Построение процесса безопасной разработки - Стачка 2016
byValery Boronin
 
PPTX
Противодействие мошенничеству и расследование инцидентов в страховых компаниях
byInfoWatch
 
PPTX
DLP 007: три элемента мобильной безопасности
byInfoWatch
 
PDF
Жизненный цикл безопасной разработки платежных приложений
byRISClubSPb
 
PPTX
Безопасная разработка для руководителей
byPositive Development User Group
 
PDF
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
byKaspersky
 
Secure development
byIhor Uzhvenko
 
2015 02 пм качалин sdl
byAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
bySelectedPresentations
 
Метрики информационной безопасности
byАлександр Лысяк
 
Positive technologies а.гончаров
byDenial Solopov
 
Обеспечение качества ПО: международный опыт
byAleksey Lukatskiy
 
Цикл безопасной разработки
byRISClubSPb
 
Внедрение безопасной разработки (Infosecurity 2014)
byAlexey Kachalin
 
Контроль уязвимостей в программных приложениях
byjet_information_security
 
Построение процесса безопасной разработки
byPositive Development User Group
 
PT Application Inspector SSDL Edition листовка
byValery Boronin
 
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
byExpolink
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
byPositive Hack Days
 
Внутренняя угроза: выявление и защита с помощью ObserveIT
byBAKOTECH
 
Построение процесса безопасной разработки - Стачка 2016
byValery Boronin
 
Противодействие мошенничеству и расследование инцидентов в страховых компаниях
byInfoWatch
 
DLP 007: три элемента мобильной безопасности
byInfoWatch
 
Жизненный цикл безопасной разработки платежных приложений
byRISClubSPb
 
Безопасная разработка для руководителей
byPositive Development User Group
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
byKaspersky
 

Viewers also liked

PDF
Aprender a escuchar, aprender a hablar
byAmaraVenayas
 
PDF
Pares craneanos
byVivi Delgado Castillo
 
PDF
1. ICV Kongres controllera Srbije 2013, Danijela Medić, šef finanasijske anal...
byMenadžment Centar Beograd
 
DOCX
Pricing challenges and models for consumer goods companies
bysteverogers2015
 
PPT
Chapter03
bypittore44
 
PDF
Павло Розенко: «Пенсійний фонд має не просто пливти за течією, а бути локом...
byPENSIA.ua
 
PPTX
JTM_OpEssay
bymcglinch11
 
PPTX
Final
byEvie Heffer
 
PDF
виткова
byKsenia Vitkova
 
PPT
Networking success
byJane Jackson ✦ Career Coach
 
PPTX
Uk film consumption
byfeelgoodinc2024
 
PDF
Placas examen
byVivi Delgado Castillo
 
PDF
02 ninguna-institución
byMinisterio Infantil Arcoiris
 
PPTX
272 .ppt
bygnezdilov
 
PPS
Bellissima
byOscar Morandini
 
PPT
шевченко
bygnezdilov
 
Aprender a escuchar, aprender a hablar
byAmaraVenayas
 
Pares craneanos
byVivi Delgado Castillo
 
1. ICV Kongres controllera Srbije 2013, Danijela Medić, šef finanasijske anal...
byMenadžment Centar Beograd
 
Pricing challenges and models for consumer goods companies
bysteverogers2015
 
Chapter03
bypittore44
 
Павло Розенко: «Пенсійний фонд має не просто пливти за течією, а бути локом...
byPENSIA.ua
 
JTM_OpEssay
bymcglinch11
 
Final
byEvie Heffer
 
виткова
byKsenia Vitkova
 
Networking success
byJane Jackson ✦ Career Coach
 
Uk film consumption
byfeelgoodinc2024
 
Placas examen
byVivi Delgado Castillo
 
02 ninguna-institución
byMinisterio Infantil Arcoiris
 
272 .ppt
bygnezdilov
 
Bellissima
byOscar Morandini
 
шевченко
bygnezdilov
 

Similar to ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ

PPS
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
byExpolink
 
PDF
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
byAndrey Fadin
 
PPTX
Безопасная разработка (СТАЧКА 2015)
byAlexey Kachalin
 
PDF
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
3. Типовые задачи и решения по ИБ
byКомпания УЦСБ
 
PPTX
Как сэкономить, вложив в информационную безопасность?
byIvan Piskunov
 
PDF
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
bySelectedPresentations
 
PPTX
Анализ угроз ИБ компаниям-разработчикам СЗИ
byAlexey Kachalin
 
PDF
Обеспечение защиты информации на стадиях жизненного цикла ИС
bySelectedPresentations
 
PDF
Исследование защищенности ИС
byAlexey Kachalin
 
PPTX
Анализ уязвимостей ИБ распределенного ПО (2012)
byAlexey Kachalin
 
PDF
Инструментальный анализ ИБ - РусКрипто'13
byAlexey Kachalin
 
PPTX
Softline: Информационная безопасность
bySoftline
 
PPTX
Безопасная разработка и риск-ориентированный подход к ИБ. Санкт-Петербург, Ко...
byAlexey Kachalin
 
PPTX
Безопасная разработка и риски ИБ (2014)
byAlexey Kachalin
 
PPT
Газинформсервис. Сергей Лачугин "Актуальные проблемы защиты SAP"
byExpolink
 
PPTX
Андрей Прозоров (InfoWatch) - Тенденции в информационной безопасности
byExpolink
 
PDF
Кратко про тенденции ИБ к обсуждению (Код ИБ)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Андрей Прозоров (InfoWatch) - Тенденции в информационной безопасности
byExpolink
 
PPTX
Обеспечение информационной безопасности систем, внедряемых в рамках ИТ-проектов
byMax Shalomovich
 
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
byExpolink
 
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
byAndrey Fadin
 
Безопасная разработка (СТАЧКА 2015)
byAlexey Kachalin
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
3. Типовые задачи и решения по ИБ
byКомпания УЦСБ
 
Как сэкономить, вложив в информационную безопасность?
byIvan Piskunov
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
bySelectedPresentations
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
byAlexey Kachalin
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
bySelectedPresentations
 
Исследование защищенности ИС
byAlexey Kachalin
 
Анализ уязвимостей ИБ распределенного ПО (2012)
byAlexey Kachalin
 
Инструментальный анализ ИБ - РусКрипто'13
byAlexey Kachalin
 
Softline: Информационная безопасность
bySoftline
 
Безопасная разработка и риск-ориентированный подход к ИБ. Санкт-Петербург, Ко...
byAlexey Kachalin
 
Безопасная разработка и риски ИБ (2014)
byAlexey Kachalin
 
Газинформсервис. Сергей Лачугин "Актуальные проблемы защиты SAP"
byExpolink
 
Андрей Прозоров (InfoWatch) - Тенденции в информационной безопасности
byExpolink
 
Кратко про тенденции ИБ к обсуждению (Код ИБ)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Андрей Прозоров (InfoWatch) - Тенденции в информационной безопасности
byExpolink
 
Обеспечение информационной безопасности систем, внедряемых в рамках ИТ-проектов
byMax Shalomovich
 

More from Positive Hack Days

PPTX
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
byPositive Hack Days
 
PDF
SOC для КИИ: израильский опыт
byPositive Hack Days
 
PPTX
Развитие сообщества Open DevOps Community
byPositive Hack Days
 
PPTX
Использование анализатора кода SonarQube
byPositive Hack Days
 
PDF
Credential stuffing и брутфорс-атаки
byPositive Hack Days
 
PPTX
Типовая сборка и деплой продуктов в Positive Technologies
byPositive Hack Days
 
PDF
Мастер-класс «Трущобы Application Security»
byPositive Hack Days
 
PPTX
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
byPositive Hack Days
 
PDF
Теоретические основы Application Security
byPositive Hack Days
 
PDF
Honeywell Industrial Cyber Security Lab & Services Center
byPositive Hack Days
 
PPTX
Требования по безопасности в архитектуре ПО
byPositive Hack Days
 
PPTX
Аналитика в проектах: TFS + Qlik
byPositive Hack Days
 
PPTX
От экспериментального программирования к промышленному: путь длиной в 10 лет
byPositive Hack Days
 
PDF
Эвристические методы защиты приложений
byPositive Hack Days
 
PPTX
Механизмы предотвращения атак в ASP.NET Core
byPositive Hack Days
 
PDF
Уязвимое Android-приложение: N проверенных способов наступить на грабли
byPositive Hack Days
 
PDF
Формальная верификация кода на языке Си
byPositive Hack Days
 
PPTX
Автоматизация построения правил для Approof
byPositive Hack Days
 
PPTX
Как мы собираем проекты в выделенном окружении в Windows Docker
byPositive Hack Days
 
PDF
Формальные методы защиты приложений
byPositive Hack Days
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
byPositive Hack Days
 
SOC для КИИ: израильский опыт
byPositive Hack Days
 
Развитие сообщества Open DevOps Community
byPositive Hack Days
 
Использование анализатора кода SonarQube
byPositive Hack Days
 
Credential stuffing и брутфорс-атаки
byPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
byPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
byPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
byPositive Hack Days
 
Теоретические основы Application Security
byPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
byPositive Hack Days
 
Требования по безопасности в архитектуре ПО
byPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
byPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
byPositive Hack Days
 
Эвристические методы защиты приложений
byPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
byPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
byPositive Hack Days
 
Формальная верификация кода на языке Си
byPositive Hack Days
 
Автоматизация построения правил для Approof
byPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
byPositive Hack Days
 
Формальные методы защиты приложений
byPositive Hack Days
 

ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ

  • 1.
    ЛОМАТЬ И СТРОИТЬ, И СНОВАЛОМАТЬ Алексей Качалин ЗАО «Перспективный Мониторинг»
  • 4.
    ЕСЛИ нас «сломают» КОГДА нас «сломают»
  • 5.
    Сколько можно исследоватьИБ? 0 5 10 15 20 25 30 35 2011 2012 2013 2014 ПРИМЕРНО ЛЮБОЙ ОТЧЕТ О ПЕРИОДИЧЕСКОМ АНАЛИЗЕ ИБ Критических уязвимостей Найдено новых Закрыто уязвимостей
  • 6.
  • 8.
    О себе/О нас Осебе: Занимаюсь исследованиями и разработкой в ИБ ЗАО «ПМ» Аналитический и инструментальный анализ ПО и ИС С 2012 года – работаем по направлению повышения безопасности разработки В 2014 запустили ЦМ Принимаем участие в работе с регуляторами ИБ
  • 9.
    О чём речь? Нашопыт проведения работ по взлому повышению защищённости разработки Проблемы интеграции исследований ИБ в цикл работ по созданию и обслуживанию ПО/ИС Дополнительные процессы и системы, полезные в нашей борьбе
  • 10.
    ИБ-портрет: Разработчик (СЗИ) Компания– актуальны все угрозы для организаций и сотрудников Отрасль ИБ – активно вовлечен в противоборство ИБ Клиенты – информация о СЗИ, доступ, доверие Продукт – системный, инфраструктурный компонент ИС
  • 11.
    Жизненный цикл разработкиПО*: где ИБ? 03.06.2015 11 Проектирование Требования Разработка Тестирование Выпуск Эксплуатация Сертификация Вывод из эксплуатации *Аналогичная ситуация с • Итеративными моделями разработки • Моделью непрерывного размещения
  • 12.
    Безопасная разработка продукта Мониторинг и реагирование  Проверка и выпуск продукта  Разработка  Проектирование  Требования  Подготовка и обучение разработчиков  Внедрение практик разработки
  • 13.
    Что «вкусного» естьв ИС разработчика? Системы учёта ошибок и улучшений Системы версионного хранения кода Системы хранения жалоб потребителей Системы подготовки обновлений ------------------------------------------------------ Идеально для инжинерии атак
  • 14.
    Можно грабить караваныTM Подключениек сетям заказчиков Тестовые устройства на периметре Необходимость загружать и тестировать недоверенное ПО Организация методов обновления Продукта Продукт в конце концов
  • 15.
    Разработчик СЗИ –интересная мишень Интересны для атакующих «высоких классов», воспринимаются как активные участники государственной политики, представители интересов государства Продукт : Исходники и собранное ПО для исследования, алгоритмы Технологические мощности: сборочные сервера - возможность злоумышленнику собрать свою «подлинную» версию СЗИ, сетевые и серверные мощности Эксплуатация доверия - Рассылка писем/переписка от имени доверенной организации, люди – сотрудники, внешние контакты База установки Продукта: Контрактная документация, Сервисные подразделения
  • 16.
    Собственная безопасность разработчика Регулярныйаудит ИБ ИС Центр Мониторинга* * Нет мы не делаем “свой SIEM”, не умеем видеть невидимые вещи, спасибо за понимание
  • 17.
    Развитие мониторинга иреагирования Технический анализ (состояние узлов, трафик, журналы) Обнаружить публикацию информации об уязвимости Публикация информации об уязвимости в компоненте/продукте Сети обмена информацией об уязвимостях Получить и интерпретировать обращения пользователей Сообщения о «странном поведении программы» (нет явного подозрения на проблемы ИБ) Попытки шантажа и ультиматумы, оскорбления и троллинг Готовый метод компрометации ИБ (пошаговый, в виде PoCE) Внутренние сообщение от разработчика – обратить внимание Указания на строчку кода Развёрнутый анализ с обоснованием неизбежности уязвимости
  • 18.
    Тестирование и тестирование АнализИБ – безусловно один из видов тестирования продуктов Свои методики и тест-планы Автоматизация Инструментарий (инструкции) Работающий вариант: разработка автотестов для передачи в отдел тестирования
  • 19.
    Ловушки для исследователя Нечитать документацию Переписать документацию Не согласовывать цели/прогресс с заказчиком Не осознать зоны ответственности заинтересованных лиц …
  • 21.
    Готовы ли разработчики? Выборинструментов и компонентов Удобство среды разработки Использование знакомых компонентов Борьба с унаследованным кодом «Безопасное программирование» это достаточное ИБ? Утечки памяти, переполнение буфера, падения/повисания Безопасные опции компилятора Инструменты те же, а сценарии нет Практики управления Менеджер форсирует: бюджет, сроки, функционал
  • 22.
    Безопасная разработка: естьрецепты Опыт «первопроходцев» Теория Практика Инструменты
  • 23.
    Безопасная разработка продукта Мониторинг и реагирование  Проверка и выпуск продукта  Разработка  Проектирование  Требования  Подготовка и обучение разработчиков  Внедрение практик разработки
  • 24.
    Полнота требований: Ваш логне вреден полезен для ИБ? 24
  • 25.
    Модель угроз инарушителя. Теперь в 3D
  • 26.
    Условия внедрения безопаснойразработки Осязаемые результаты: отдача от инвестиций в безопасность Возврат инвестиций ПО финансовых, подверженных фроду систем – возможно Снижение количества инцидентов и уязвимостей Снижение «стоимости» уязвимости Оперативность реагирования на инциденты Встраивание в существующий процесс разработки (заказа и эксплуатации ПО) Существующие продукты и компоненты Вовлечение команды (мотивация исполнителя и легитимизация затрат) на дополнительные практики ИБ 26
  • 27.
  • 28.
    Вот и договоритесьо приоритетах Проекты разработки Продукты Клиентские проекты
  • 29.
    Безопасность 2.0 Необходимая скоростьреакции Сократить окно уязвимости (Window of Vulnerability) Локализовать и ограничить инцидент Выявить первопричину уязвимости (ошибку) Разработать исправление Не позволяющее «обойти» себя Или атаковать аналогичную уязвимость Надежно устранить уязвимости, «не вернуть» ошибку в будущем
  • 30.
    Что блокирует внедрениеисследований ИБ Слабая прогнозируемость по срокам Непредсказуемость по результатам Отсутствие гарантий полноты исследований Отсутствие сходимости исследований Проблема повторных исследований Потребность: непрерывный адаптируемый процесс с управляемыми характеристиками
  • 31.
    Цикл Безопасной Разработки Свод Знаний  Домены (Разделы) практик  Мониторинг и реагирование  Проверка и выпуск продукта  Разработка  Проектирование  Требования  Сторонние компоненты  Соответствие требованиям регуляторов  Инструменты и системы разработки  Подготовка команды
  • 32.
    Безопасность – командныйвид спорта? Менеджер продукта Руководитель разработки Аналитик Архитектор Программист Тестировщик Специалист сопровождения Хакер Хакер Хакер Хакер Хакер Хакер Хакер
  • 33.
    Осознать «свои» слабости 33 TheCVE Identifier CVE-2014-0160 was released on April 7, 2014—the same day the Heartbleed bug was made public. This type of weakness is described in detail by CWE-130: Improper Handling of Length Parameter Inconsistency. The second weakness is an out-of-bounds memory read, which is described inCWE-125: Out-of- Bounds Read. These CWEs were first defined more than eight years ago CAPEC-540: Overread Buffers defines the general pattern commonly used by an attacker including how the attack is crafted, its potential severity and consequences
  • 34.
  • 35.
    Выстроить чтобы ломать Исследователии программисты Инструменты и методика База знаний и терминология (язык общения) Автоматизация консистентных процессов Процесс безопасной разработки Средства и процесс мониторинга
  • 36.
    Начать с тогочто имеете Использовать доступное Делать возможное Качалин Алексей Директор ЗАО «ПМ» @kchln Kachalin@advancedmonitoring.ru

Editor's Notes

  • #2 "Ломать и строить, и снова ломать"   Исследование информационной безопасности создаваемых информационных систем и разрабатываемых приложений стало достаточно распространенной практикой. Специалисты по практической безопасности получили заслуженное признание и "включены в цикл" разработки, их "вписывают" в нормативку, создают базы знаний для хранения результатов исследований уязвимостей. Обсудим ожидания разработчиков и владельцев информационных систем от работ исследователей, задачи, которые предстоит решать, аспекты качества исследований, проводимых на регулярной основе. 
  • #4 Недовольны вендорами
  • #5 Недоволен регулятор Априорная безопасность не тру
  • #7 Все не довольны
  • #8 Пиджак/футболка – кому какое дело – была бы работа сделана
  • #11 В широком смысле – т.е. по всем аспектам ИБ для п.п. выше
  • #27 Модель зрелости должна быть Подходящая этапность внедрения? Домены Можно суммировать и расширить Готовые методы, инструменты, классификации Моделирование угроз, трассировка уязвимостей для оценки ущерба
  • #28 Проекты по развитию существующих продуктов Критичность Распространение на рынке Критичность сценариев Пилотные и исследовательские проекты Новые продукты «Агрессивность» среды Модель угроз/нарушителя Статистика инцидентов Подверженность атакам на распространённые заимствованные компоненты
  • #29 Проекты по развитию существующих продуктов Критичность Распространение в организации Критичность сценариев «Агрессивность» среды Подверженность атакам на распространённые заимствованные компоненты Возможность доступа для анализа Компактность системы Скорость изменения Новые продукты Пилотные и исследовательские проекты Все проекты со значимыми угрозами
  • #34 Cybersecurity Security Standards Help Stop Heartbleed May 7, 2014Software Assurance: Post by Drew Buttner   PRINT The Heartbleed bug (CVE-2014-0160) is a critical vulnerability that first came to the attention of the public in early April and has been making headlines ever since. The vulnerability exists in certain versions of OpenSSL where it enables remote attackers to obtain sensitive information, such as passwords and encryption keys. Many popular websites have been affected or are at risk, which in turn, puts countless users and consumers at risk. Cybersecurity experts have mounted an aggressive and multi-faceted global response to Heartbleed, and security automation standards have played an important role in this effort. These standards were created to categorize and share information about system vulnerabilities and attacks to help the security community communicate consistently. Having a common language helps in understanding these issues and determining appropriate mitigation strategies. Effective communication about bugs also helps developers prevent them from reappearing in other applications. Specifically, these three security automation standards have been particularly helpful in dealing with Heartbleed: Common Vulnerabilities and Exposures (CVE®) provides unique identifiers for known information security vulnerabilities. CVE enables the fast, efficient, and effective correlation and sharing of information related to critical and time sensitive vulnerability. Common Weakness Enumeration (CWE™) provides an index of different types of software code weaknesses and serves as an information repository for the types of security problems found in a software application’s architecture, design, code, and setup. CWE helps developers prevent these mistakes from being repeated. Common Attack Pattern Enumeration and Classification (CAPEC™) is a publicly available catalogue of common attack patterns, along with a classification taxonomy that identifies relationships among attack patterns. An attack pattern is an abstraction mechanism for describing how an attack is executed. Many successful attacks are conducted in multiple, discrete, identifiable steps.  CVE and Heartbleed The CVE Identifier CVE-2014-0160 was released on April 7, 2014—the same day the Heartbleed bug was made public.  The existence of this identifier has enabled the worldwide community to converse and share information about this bug at an astonishingly rapid pace. The CVE Identifier (ID) quickly became so ubiquitous (with more than 100,000 lookups in the first few days alone) that simply entering its name into any search engine resulted in thousands of hits and a range of useful information including the official OpenSSL Security Advisory, major application vendors, details from industry experts, and guidance from security organizations. All of these search results underscores the main purpose of CVE:  to allow people to correlate information. For example, using the CVE identifier in a search engine could lead system administrators to the blog post at Fox-It with information on how to test for the Heartbleed vulnerability and what to do if it they find it. The CVE identifier could also further help system administrators ensure that they are using the appropriate security tools and vendor patches to address the issue. Without CVE, there would likely be a surfeit of proprietary and non-standard names—such as Heartbleed, Heartbeat, and SOL15159—making it difficult to track down critical information in a timely manner. For example, the official OpenSSL Security Advisory doesn't even mention the term “Heartbleed.” CWE and Heartbleed The Heartbleed bug exists because of two separate mistakes in the code. The first is an inconsistency between the stated length of the message body and its actual length. This type of weakness is described in detail by CWE-130: Improper Handling of Length Parameter Inconsistency. The second weakness is an out-of-bounds memory read, which is described inCWE-125: Out-of-Bounds Read. These CWEs were first defined more than eight years ago and both provide information about the respective problem—how to detect it, why it occurs, how to fix it, and how to prevent it from happening again. In the case of Heartbleed, developers could use CWE to quickly determine if they have the types of code analysis tools needed to ferret out these types of mistakes. Many tools can check for instances of CWE-125. CWE also helps developers know why Heartbleed occurred and how to avoid this type of mistake in future development. Without CWE, developers would be forced to perform hours of research to understand the root of the issue and how to correct it in their code. If you don't want your software to have the same issue as Heartbleed, ask your vendors about these weaknesses and educate your developers about CWE-130 and CWE-125. CAPEC and Heartbleed To prevent future attacks, security professionals need to know how an attacker thinks and operates. CAPEC helps expose the attacker mindset by shedding light on how a particular vulnerability has been exploited to launch an attack. Without CAPEC, organizations are likely to be stuck in a reactionary mode, addressing known vulnerabilities, while being blind-sided when the next "Heartbleed" arrives. Software designers, testers, and assessment teams can use CAPEC to sleuth out the next piece of software that might be similarly susceptible and eliminate it as a target. They can also look for the underlying weaknesses that make such attacks possible. CAPEC-540: Overread Buffersdefines the general pattern commonly used by an attacker including how the attack is crafted, its potential severity and consequences, as well as possible solutions and mitigating factors. CAPEC continually adds new attack patterns, such as the specific pattern used in Heartbleed, so be sure to visit the website for updates. Future Heartbleeds Security automation efforts such as CVE, CWE, and CAPEC can help reduce the possibility of similar severe vulnerabilities such as Heartbleed in the future. But it is incumbent upon developers and other security professionals to actively leverage resources such as these to be better prepared for the next Heartbleed. About Drew Buttner Drew Buttner leads a software assurance group at MITRE specializing in secure code review. He has worked on improving application security for both MITRE and its customers since joining the organization in 2001. An expert in the field of source code weaknesses, Drew is also involved in a number of research efforts related to secure software development and