SlideShare a Scribd company logo

FOSS Information Security Practices @OpenFest 07.11.2015

Code Runners
Code Runners

Code Runners' CTO talking about the caveats of information security, how to secure assets better and how to code in a more sustainable fashion. Language: Bulgarian; English on demand: dimiter.shalvardjiev@code-runners.com

Internet
1 of 12
Download to read offline
Web Application Security: FOSS edition
 КСТ ТУ 2006-2010  3xCCNP Cisco Systems 2008-2010  CEH and CISSP trained HP 2010-2011  Sys/netadmin Evolink 2008-2010  Information Security Officer Nokia, Ericsson 2010-2012  Бизнес консултант Philips, Pfizer 2012-2015  CTO CodeRunners 2012 + $ whoami
Защо е необходима информационна сигурност? Общи понятия Интегритет Конфиденциал ност Достъпност o Информацията през XXI век представлява за компаниите ресурс, сравним с авоарите, материалната база или човешкия капитал o Информацията не е само дигитална – съществуват договори, фактури, регистри и пр. o Различните индустрии поставят различен акцент върху важността на дигиталната си информация  Циментов бизнес vs. Онлайн търговия o Всеки бизнес модел може допълнително да репротизира важността на дигиталните си информационни активи:  Quora/Twitter vs. Facebook
Frontend Stack / API sFTP Mail servers Network accessible servers Host Web Application Database Backend stack SSH MongoDB LDAP Щом трябва да го охраняваме, колко врати има?
Информационна сигурност – аксиоми  Нулево доверие към околните (сървъри, услуги, хора) що се отнася до обмен на информация  Самостоятелно инсталирани услуги  „Зная и мога ли достатъчно, за да защитя инсталираната услуга?“  Системно инсталирани услуги (Windows, Mac, Ubuntu)  Rootkits  Spyware  Не-лично инсталирани услуги на хоста  „Инсталиращият знае и може ли достатъчно за защитаването на услугата и средата, за да му се доверя?“  Останалите хостове в мрежата, към които има политика на доверие  „Ние сме толкова защитени, колкото защитен е най-уязвимият от нас“  Външния свят – студеният лош Интернет
Приоритизация на рисковете 15% Проблеми на кода на уеб апликацията, проблеми на API обмена на данни и т.н. 100% Всички възможни заплахи и рискове: - Фалит - Природно бедствие - Световна война 50% Мрежови проблеми и проблеми, свързани с доверени сървъри, сървъри, с които се обменя информация, хостове, които достъпват сървъра и т.н. 25% Проблеми, свързани с хоста: зле администриран сървър, уязвими услуги, проблеми с колокация, неоторизиран достъп и т.н.
Frontend Stack / API sFTP Mail servers Network accessible servers Host Web Application Database Backend stack SSH MongoDB LDAP Карта на заплахите Магия! Автоматизирано сканиране Ръчен pen testing Тримесечен одит на достъпа и апликациите Автоматизирано сканиране Ръчен pen testing Тримесечен одит на достъпа и апликациите Минимален exposure, дори по-малък отколкото към Интернет
Магия?
Стъпки за (само)защита Сканиране Комуникационни потоци? Одит на кода Постоянно наблюдение Първата стъпка е сканиране на сървъра за уязвимости. Но сканирането не трябва да е само списък, а план на подобрения, върху който трябва да се работи. Toolbox: Nessus, OpenVAS Втората стъпка е одита на комуникационните потоци. Не забравяйте – ако не комуникира с други машини, Вашият сървър би бил много по-защитен. С кого си говори вашият сървър? Има ли валидна причина за това? Ключовата стъпка е одит на логиката на кода и интерфейсите му, както и на очакваното поведение спрямо особеностите на апликацията. Toolbox: Acunetix, ZAP Информационната сигурност не е явление, а процес. Като всеки друг процес, и този има нужда от постоянно наблюдение – и постоянна (форс-мажорна?) мотивация. Първата стъпка е идентификация, втората – подобрение, третата – постоянно наблюдение.
Вашият код трябва да е Ваша крепост?  Подготовка за одит  Познаване на проблематиката и познаване на кода  Дефиниране на контекст и поведение  Определяне на атакуваната повърхност  Ефективно моделиране на заплаха  Точки на достъп, достъпни за широкия свят  Определение и приоритизация на заплахите  Намиране на противодействие и имплементацията му  Сверяване на security audit чеклиста (see OWASP Top 10 2015)  Аутентикация / оторизация  Управление на cookies  Валидация на input, санитизация на output (вкл. error handling)  Запис и съхранение на събития (логове)  Криптиране на ключови данни и канали  Управление на сесии
OWASP Top 10  Injections  Broken authentication / Session Management  XSS  Insecure Direct Object References  Security misconfiguration <3  Sensitive Data Exposure  Missing Function Level Access Control  CSRF  Components with known vulnerabilities  Unvalidated Redirects / Forwards  Buffer overflow
Въпроси!

Recommended

Лекция първа Security
Лекция първа SecurityЛекция първа Security
Лекция първа SecurityLogMan Graduate School on Knowledge Economy
 
средства за защита на данни
средства за защита на даннисредства за защита на данни
средства за защита на данниХристиян Георгиев
 
ISACA Day - New CSX Certifications
ISACA Day - New CSX CertificationsISACA Day - New CSX Certifications
ISACA Day - New CSX CertificationsZdravko Stoychev, CISM, CRISC
 
Security mti2014the3a
Security mti2014the3aSecurity mti2014the3a
Security mti2014the3aLogMan Graduate School on Knowledge Economy
 
(You better) change focus, 2015 finance ict & isaca v2
(You better) change focus, 2015 finance ict & isaca v2(You better) change focus, 2015 finance ict & isaca v2
(You better) change focus, 2015 finance ict & isaca v2Zdravko Stoychev, CISM, CRISC
 
Web Applications Security
Web Applications Security Web Applications Security
Web Applications Security LogMan Graduate School on Knowledge Economy
 
Безопасност и защита при Cloud computing
Безопасност и защита при Cloud computingБезопасност и защита при Cloud computing
Безопасност и защита при Cloud computingDaniela Chudomirova
 
Referat
ReferatReferat
Referatt1234567t
 

Recommended

Лекция първа Security
Лекция първа SecurityЛекция първа Security
Лекция първа SecurityLogMan Graduate School on Knowledge Economy
 
средства за защита на данни
средства за защита на даннисредства за защита на данни
средства за защита на данниХристиян Георгиев
 
ISACA Day - New CSX Certifications
ISACA Day - New CSX CertificationsISACA Day - New CSX Certifications
ISACA Day - New CSX CertificationsZdravko Stoychev, CISM, CRISC
 
Security mti2014the3a
Security mti2014the3aSecurity mti2014the3a
Security mti2014the3aLogMan Graduate School on Knowledge Economy
 
(You better) change focus, 2015 finance ict & isaca v2
(You better) change focus, 2015 finance ict & isaca v2(You better) change focus, 2015 finance ict & isaca v2
(You better) change focus, 2015 finance ict & isaca v2Zdravko Stoychev, CISM, CRISC
 
Web Applications Security
Web Applications Security Web Applications Security
Web Applications Security LogMan Graduate School on Knowledge Economy
 
Безопасност и защита при Cloud computing
Безопасност и защита при Cloud computingБезопасност и защита при Cloud computing
Безопасност и защита при Cloud computingDaniela Chudomirova
 
Referat
ReferatReferat
Referatt1234567t
 
Web Api services using IBM Datapower
Web Api services using IBM DatapowerWeb Api services using IBM Datapower
Web Api services using IBM DatapowerSigortam.net
 
College Edition Slide for Electronic Media Board
College Edition Slide for Electronic Media BoardCollege Edition Slide for Electronic Media Board
College Edition Slide for Electronic Media BoardDiscoverE
 
DiscoverE Leading Kids Through A Successful Engineering Experience
DiscoverE Leading Kids Through A Successful Engineering ExperienceDiscoverE Leading Kids Through A Successful Engineering Experience
DiscoverE Leading Kids Through A Successful Engineering ExperienceDiscoverE
 
5 easy tips to prep for engineers week
5 easy tips to prep for engineers week5 easy tips to prep for engineers week
5 easy tips to prep for engineers weekDiscoverE
 
DiscoverE Family Day Toolkit
DiscoverE Family Day Toolkit DiscoverE Family Day Toolkit
DiscoverE Family Day Toolkit DiscoverE
 
Inspiration Innovation: Exploring Engineering Careers
Inspiration Innovation: Exploring Engineering Careers Inspiration Innovation: Exploring Engineering Careers
Inspiration Innovation: Exploring Engineering Careers DiscoverE
 
Ethical Hacking by Rasool Kareem Irfan
Ethical Hacking by Rasool Kareem IrfanEthical Hacking by Rasool Kareem Irfan
Ethical Hacking by Rasool Kareem IrfanRasool Irfan
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingKunal Gawade, CFE
 
Effectively talking to kids about engineering
Effectively talking to kids about engineeringEffectively talking to kids about engineering
Effectively talking to kids about engineeringDiscoverE
 
The Apple Experience
The Apple ExperienceThe Apple Experience
The Apple ExperienceSaman Sara
 
Introduction to Swift programming language.
Introduction to Swift programming language.Introduction to Swift programming language.
Introduction to Swift programming language.Icalia Labs
 
Cyber crime in the digital age
Cyber crime in the digital ageCyber crime in the digital age
Cyber crime in the digital ageSaman Sara
 
Unity presentation
Unity presentationUnity presentation
Unity presentationguest8f07923a
 
Artificial Intelligence
Artificial IntelligenceArtificial Intelligence
Artificial IntelligenceMegha Jain
 
2017 Engineers Week Planning Webinar
2017 Engineers Week Planning Webinar 2017 Engineers Week Planning Webinar
2017 Engineers Week Planning Webinar DiscoverE
 
Artificial Intelligence Presentation
Artificial Intelligence PresentationArtificial Intelligence Presentation
Artificial Intelligence Presentationlpaviglianiti
 
Artificial Intelligence
Artificial IntelligenceArtificial Intelligence
Artificial IntelligenceGirish Naik
 
Conference on Digital Forensics & Cyber Security 2016
Conference on Digital Forensics & Cyber Security 2016Conference on Digital Forensics & Cyber Security 2016
Conference on Digital Forensics & Cyber Security 2016Kayisa Herman Dube
 
Artificial Intelligence
Artificial IntelligenceArtificial Intelligence
Artificial Intelligenceu053675
 
The Basics of Unity - The Game Engine
The Basics of Unity - The Game EngineThe Basics of Unity - The Game Engine
The Basics of Unity - The Game EngineOrisysIndia
 
Безопасност и защита
Безопасност и защитаБезопасност и защита
Безопасност и защитаFatih Dmrl
 
Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетMonika Petrova
 

More Related Content

Viewers also liked

Web Api services using IBM Datapower
Web Api services using IBM DatapowerWeb Api services using IBM Datapower
Web Api services using IBM DatapowerSigortam.net
 
College Edition Slide for Electronic Media Board
College Edition Slide for Electronic Media BoardCollege Edition Slide for Electronic Media Board
College Edition Slide for Electronic Media BoardDiscoverE
 
DiscoverE Leading Kids Through A Successful Engineering Experience
DiscoverE Leading Kids Through A Successful Engineering ExperienceDiscoverE Leading Kids Through A Successful Engineering Experience
DiscoverE Leading Kids Through A Successful Engineering ExperienceDiscoverE
 
5 easy tips to prep for engineers week
5 easy tips to prep for engineers week5 easy tips to prep for engineers week
5 easy tips to prep for engineers weekDiscoverE
 
DiscoverE Family Day Toolkit
DiscoverE Family Day Toolkit DiscoverE Family Day Toolkit
DiscoverE Family Day Toolkit DiscoverE
 
Inspiration Innovation: Exploring Engineering Careers
Inspiration Innovation: Exploring Engineering Careers Inspiration Innovation: Exploring Engineering Careers
Inspiration Innovation: Exploring Engineering Careers DiscoverE
 
Ethical Hacking by Rasool Kareem Irfan
Ethical Hacking by Rasool Kareem IrfanEthical Hacking by Rasool Kareem Irfan
Ethical Hacking by Rasool Kareem IrfanRasool Irfan
 
Effectively talking to kids about engineering
Effectively talking to kids about engineeringEffectively talking to kids about engineering
Effectively talking to kids about engineeringDiscoverE
 
The Apple Experience
The Apple ExperienceThe Apple Experience
The Apple ExperienceSaman Sara
 
Introduction to Swift programming language.
Introduction to Swift programming language.Introduction to Swift programming language.
Introduction to Swift programming language.Icalia Labs
 
Cyber crime in the digital age
Cyber crime in the digital ageCyber crime in the digital age
Cyber crime in the digital ageSaman Sara
 
Artificial Intelligence
Artificial IntelligenceArtificial Intelligence
Artificial IntelligenceMegha Jain
 
2017 Engineers Week Planning Webinar
2017 Engineers Week Planning Webinar 2017 Engineers Week Planning Webinar
2017 Engineers Week Planning Webinar DiscoverE
 
Artificial Intelligence Presentation
Artificial Intelligence PresentationArtificial Intelligence Presentation
Artificial Intelligence Presentationlpaviglianiti
 
Artificial Intelligence
Artificial IntelligenceArtificial Intelligence
Artificial IntelligenceGirish Naik
 
Conference on Digital Forensics & Cyber Security 2016
Conference on Digital Forensics & Cyber Security 2016Conference on Digital Forensics & Cyber Security 2016
Conference on Digital Forensics & Cyber Security 2016Kayisa Herman Dube
 
Artificial Intelligence
Artificial IntelligenceArtificial Intelligence
Artificial Intelligenceu053675
 
The Basics of Unity - The Game Engine
The Basics of Unity - The Game EngineThe Basics of Unity - The Game Engine
The Basics of Unity - The Game EngineOrisysIndia
 

Viewers also liked (20)

Web Api services using IBM Datapower
Web Api services using IBM DatapowerWeb Api services using IBM Datapower
Web Api services using IBM Datapower
 
College Edition Slide for Electronic Media Board
College Edition Slide for Electronic Media BoardCollege Edition Slide for Electronic Media Board
College Edition Slide for Electronic Media Board
 
DiscoverE Leading Kids Through A Successful Engineering Experience
DiscoverE Leading Kids Through A Successful Engineering ExperienceDiscoverE Leading Kids Through A Successful Engineering Experience
DiscoverE Leading Kids Through A Successful Engineering Experience
 
5 easy tips to prep for engineers week
5 easy tips to prep for engineers week5 easy tips to prep for engineers week
5 easy tips to prep for engineers week
 
DiscoverE Family Day Toolkit
DiscoverE Family Day Toolkit DiscoverE Family Day Toolkit
DiscoverE Family Day Toolkit
 
Inspiration Innovation: Exploring Engineering Careers
Inspiration Innovation: Exploring Engineering Careers Inspiration Innovation: Exploring Engineering Careers
Inspiration Innovation: Exploring Engineering Careers
 
Ethical Hacking by Rasool Kareem Irfan
Ethical Hacking by Rasool Kareem IrfanEthical Hacking by Rasool Kareem Irfan
Ethical Hacking by Rasool Kareem Irfan
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Effectively talking to kids about engineering
Effectively talking to kids about engineeringEffectively talking to kids about engineering
Effectively talking to kids about engineering
 
The Apple Experience
The Apple ExperienceThe Apple Experience
The Apple Experience
 
Introduction to Swift programming language.
Introduction to Swift programming language.Introduction to Swift programming language.
Introduction to Swift programming language.
 
Cyber crime in the digital age
Cyber crime in the digital ageCyber crime in the digital age
Cyber crime in the digital age
 
Unity presentation
Unity presentationUnity presentation
Unity presentation
 
Artificial Intelligence
Artificial IntelligenceArtificial Intelligence
Artificial Intelligence
 
2017 Engineers Week Planning Webinar
2017 Engineers Week Planning Webinar 2017 Engineers Week Planning Webinar
2017 Engineers Week Planning Webinar
 
Artificial Intelligence Presentation
Artificial Intelligence PresentationArtificial Intelligence Presentation
Artificial Intelligence Presentation
 
Artificial Intelligence
Artificial IntelligenceArtificial Intelligence
Artificial Intelligence
 
Conference on Digital Forensics & Cyber Security 2016
Conference on Digital Forensics & Cyber Security 2016Conference on Digital Forensics & Cyber Security 2016
Conference on Digital Forensics & Cyber Security 2016
 
Artificial Intelligence
Artificial IntelligenceArtificial Intelligence
Artificial Intelligence
 
The Basics of Unity - The Game Engine
The Basics of Unity - The Game EngineThe Basics of Unity - The Game Engine
The Basics of Unity - The Game Engine
 

Similar to FOSS Information Security Practices @OpenFest 07.11.2015

Безопасност и защита
Безопасност и защитаБезопасност и защита
Безопасност и защитаFatih Dmrl
 
Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетMonika Petrova
 
Start UP 2008: Information systems for startups - Kalderon
Start UP 2008: Information systems for startups - KalderonStart UP 2008: Information systems for startups - Kalderon
Start UP 2008: Information systems for startups - KalderonRock'n'Roll.bg
 
безопасности защита на Web application
безопасности защита на Web applicationбезопасности защита на Web application
безопасности защита на Web applicationkarizka3
 
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешно
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешноЗащо ни трябва софтуер, за да управляваме бизнеса си по-успешно
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешноBGService Ltd.
 
Start-UP 2008: Как да изберем информационна система
Start-UP 2008: Как да изберем информационна системаStart-UP 2008: Как да изберем информационна система
Start-UP 2008: Как да изберем информационна системаBGService Ltd.
 
Php sec referat
Php sec referatPhp sec referat
Php sec referatDido_mn
 
Безопасност и защита при Cloud Copmputing
Безопасност и защита при Cloud CopmputingБезопасност и защита при Cloud Copmputing
Безопасност и защита при Cloud CopmputingДеница Петкова
 
VET4SBO Level 2 module 6 - unit 4 - v1.0 bg
VET4SBO Level 2 module 6 - unit 4 - v1.0 bgVET4SBO Level 2 module 6 - unit 4 - v1.0 bg
VET4SBO Level 2 module 6 - unit 4 - v1.0 bgKarel Van Isacker
 
Cloud computing course overview
Cloud computing course overviewCloud computing course overview
Cloud computing course overviewMiroslav Lessev
 
VET4SBO Level 1 module 3 - unit 1 - v0.9 bg
VET4SBO Level 1 module 3 - unit 1 - v0.9 bgVET4SBO Level 1 module 3 - unit 1 - v0.9 bg
VET4SBO Level 1 module 3 - unit 1 - v0.9 bgKarel Van Isacker
 
Bezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqBezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqMartin Kenarov
 
Penetration testing for dummies
Penetration testing for dummiesPenetration testing for dummies
Penetration testing for dummiesCode Runners
 
Безопасност и защита на VPN
Безопасност и защита на VPNБезопасност и защита на VPN
Безопасност и защита на VPNEma Angelova
 
Защита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в ИнтернетЗащита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в ИнтернетВалентин Атанасов
 

Similar to FOSS Information Security Practices @OpenFest 07.11.2015 (20)

Безопасност и защита
Безопасност и защитаБезопасност и защита
Безопасност и защита
 
Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернет
 
Start UP 2008: Information systems for startups - Kalderon
Start UP 2008: Information systems for startups - KalderonStart UP 2008: Information systems for startups - Kalderon
Start UP 2008: Information systems for startups - Kalderon
 
Информационна сигурност - интро
Информационна сигурност - интро Информационна сигурност - интро
Информационна сигурност - интро
 
безопасности защита на Web application
безопасности защита на Web applicationбезопасности защита на Web application
безопасности защита на Web application
 
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешно
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешноЗащо ни трябва софтуер, за да управляваме бизнеса си по-успешно
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешно
 
86101
8610186101
86101
 
Start-UP 2008: Как да изберем информационна система
Start-UP 2008: Как да изберем информационна системаStart-UP 2008: Как да изберем информационна система
Start-UP 2008: Как да изберем информационна система
 
Open Free Security Software
Open Free Security SoftwareOpen Free Security Software
Open Free Security Software
 
Php sec referat
Php sec referatPhp sec referat
Php sec referat
 
Безопасност и защита при Cloud Copmputing
Безопасност и защита при Cloud CopmputingБезопасност и защита при Cloud Copmputing
Безопасност и защита при Cloud Copmputing
 
VET4SBO Level 2 module 6 - unit 4 - v1.0 bg
VET4SBO Level 2 module 6 - unit 4 - v1.0 bgVET4SBO Level 2 module 6 - unit 4 - v1.0 bg
VET4SBO Level 2 module 6 - unit 4 - v1.0 bg
 
Cloud computing course overview
Cloud computing course overviewCloud computing course overview
Cloud computing course overview
 
VET4SBO Level 1 module 3 - unit 1 - v0.9 bg
VET4SBO Level 1 module 3 - unit 1 - v0.9 bgVET4SBO Level 1 module 3 - unit 1 - v0.9 bg
VET4SBO Level 1 module 3 - unit 1 - v0.9 bg
 
Bizzio
BizzioBizzio
Bizzio
 
презентация Microsoft
презентация Microsoftпрезентация Microsoft
презентация Microsoft
 
Bezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqBezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniq
 
Penetration testing for dummies
Penetration testing for dummiesPenetration testing for dummies
Penetration testing for dummies
 
Безопасност и защита на VPN
Безопасност и защита на VPNБезопасност и защита на VPN
Безопасност и защита на VPN
 
Защита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в ИнтернетЗащита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в Интернет
 

FOSS Information Security Practices @OpenFest 07.11.2015

  • 2.  КСТ ТУ 2006-2010  3xCCNP Cisco Systems 2008-2010  CEH and CISSP trained HP 2010-2011  Sys/netadmin Evolink 2008-2010  Information Security Officer Nokia, Ericsson 2010-2012  Бизнес консултант Philips, Pfizer 2012-2015  CTO CodeRunners 2012 + $ whoami
  • 3. Защо е необходима информационна сигурност? Общи понятия Интегритет Конфиденциал ност Достъпност o Информацията през XXI век представлява за компаниите ресурс, сравним с авоарите, материалната база или човешкия капитал o Информацията не е само дигитална – съществуват договори, фактури, регистри и пр. o Различните индустрии поставят различен акцент върху важността на дигиталната си информация  Циментов бизнес vs. Онлайн търговия o Всеки бизнес модел може допълнително да репротизира важността на дигиталните си информационни активи:  Quora/Twitter vs. Facebook
  • 4. Frontend Stack / API sFTP Mail servers Network accessible servers Host Web Application Database Backend stack SSH MongoDB LDAP Щом трябва да го охраняваме, колко врати има?
  • 5. Информационна сигурност – аксиоми  Нулево доверие към околните (сървъри, услуги, хора) що се отнася до обмен на информация  Самостоятелно инсталирани услуги  „Зная и мога ли достатъчно, за да защитя инсталираната услуга?“  Системно инсталирани услуги (Windows, Mac, Ubuntu)  Rootkits  Spyware  Не-лично инсталирани услуги на хоста  „Инсталиращият знае и може ли достатъчно за защитаването на услугата и средата, за да му се доверя?“  Останалите хостове в мрежата, към които има политика на доверие  „Ние сме толкова защитени, колкото защитен е най-уязвимият от нас“  Външния свят – студеният лош Интернет
  • 6. Приоритизация на рисковете 15% Проблеми на кода на уеб апликацията, проблеми на API обмена на данни и т.н. 100% Всички възможни заплахи и рискове: - Фалит - Природно бедствие - Световна война 50% Мрежови проблеми и проблеми, свързани с доверени сървъри, сървъри, с които се обменя информация, хостове, които достъпват сървъра и т.н. 25% Проблеми, свързани с хоста: зле администриран сървър, уязвими услуги, проблеми с колокация, неоторизиран достъп и т.н.
  • 7. Frontend Stack / API sFTP Mail servers Network accessible servers Host Web Application Database Backend stack SSH MongoDB LDAP Карта на заплахите Магия! Автоматизирано сканиране Ръчен pen testing Тримесечен одит на достъпа и апликациите Автоматизирано сканиране Ръчен pen testing Тримесечен одит на достъпа и апликациите Минимален exposure, дори по-малък отколкото към Интернет
  • 9. Стъпки за (само)защита Сканиране Комуникационни потоци? Одит на кода Постоянно наблюдение Първата стъпка е сканиране на сървъра за уязвимости. Но сканирането не трябва да е само списък, а план на подобрения, върху който трябва да се работи. Toolbox: Nessus, OpenVAS Втората стъпка е одита на комуникационните потоци. Не забравяйте – ако не комуникира с други машини, Вашият сървър би бил много по-защитен. С кого си говори вашият сървър? Има ли валидна причина за това? Ключовата стъпка е одит на логиката на кода и интерфейсите му, както и на очакваното поведение спрямо особеностите на апликацията. Toolbox: Acunetix, ZAP Информационната сигурност не е явление, а процес. Като всеки друг процес, и този има нужда от постоянно наблюдение – и постоянна (форс-мажорна?) мотивация. Първата стъпка е идентификация, втората – подобрение, третата – постоянно наблюдение.
  • 10. Вашият код трябва да е Ваша крепост?  Подготовка за одит  Познаване на проблематиката и познаване на кода  Дефиниране на контекст и поведение  Определяне на атакуваната повърхност  Ефективно моделиране на заплаха  Точки на достъп, достъпни за широкия свят  Определение и приоритизация на заплахите  Намиране на противодействие и имплементацията му  Сверяване на security audit чеклиста (see OWASP Top 10 2015)  Аутентикация / оторизация  Управление на cookies  Валидация на input, санитизация на output (вкл. error handling)  Запис и съхранение на събития (логове)  Криптиране на ключови данни и канали  Управление на сесии
  • 11. OWASP Top 10  Injections  Broken authentication / Session Management  XSS  Insecure Direct Object References  Security misconfiguration <3  Sensitive Data Exposure  Missing Function Level Access Control  CSRF  Components with known vulnerabilities  Unvalidated Redirects / Forwards  Buffer overflow