SlideShare a Scribd company logo

Внедрение безопасной разработки (Infosecurity 2014)

Download as PPTX, PDF
Alexey Kachalin
Alexey Kachalin

Теория и практика SSDL

Technology
1 of 18
Практика внедрения в организациях «Цикла безопасной разработки» Качалин Алексей Зам. Генерального директора ЗАО «ПМ» ЗАО «Перспективный мониторинг»
Анализ ИБ Инф. Систем Анализ ПО Практики SDL Исследования и Разработка О Компании • Исследовательское подразделение ГК ИнфоТеКС • Специализация: исследования и инструментальный анализ ИБ, методы и средства атак на информационные системы • Услуги ЗАО «ПМ» – Инструментальный анализ ИБ – Тест на проникновение – Анализ ПО – Расследование инцидентов
ЦИКЛ БЕЗОПАСНОЙ РАЗРАБОТКИ
Безопасность разработки - требование рынка • Уязвимости и инциденты ИБ – Больше не «приватный вопрос», не всегда возможно контролировать раскрытие информации – Раскрытие информации об уязвимостях используемых компонентов – Обращения к регулятору с вопросами от пользователей • Необходимость реакции на обращение об уязвимости, инцидентах – Взаимодействие с «атакующим» сообществом • Требования НПА и регуляторов • Требования 3-их лиц по гарантиям ИБ
Условия внедрения безопасной разработки • Осязаемые результаты: отдача от инвестиций – Возврат инвестиций – Снижение количества инцидентов – Оперативность реагирования на инциденты • Встраивание в существующий процесс разработки (заказа и эксплуатации ПО) • Применение к имеющимся продуктам • Вовлечение команды (мотивация исполнителя) на дополнительные практики ИБ 5
Безопасная разработка: этапы осознания проблем  Реагирование  Проверка и выпуск продукта  Разработка  Проектирование  Требования  Подготовка команды  Внедрение цикла безопасной разработки
Реагирование на инциденты • Продукт эксплуатируется – «Отключить» нельзя – Обслуживаются процессы (в т.ч. критические) • Подрядчик/команда разработки работы сдали • Анализ проблемы? – В системе «боевые» данные – нельзя «передать» на исследование/воспроизведение проблемы Даже самый «безобидный» сценарий – сработал сканер уязвимостей уже достаточно плохо
Источники сигналов об инцидентах ИБ в ПО • Публикация уязвимости в используемом компоненте • Публикация «обращения» в Интернет • Внешние обращения – звонки/письма: – Сообщения о «странном поведении программы» (нет явного подозрения на проблемы ИБ) – Попытки шантажа и ультиматумы – Оскорбления и троллинг – Готовый метод компрометации ИБ (пошаговый, в виде PoCE) • Внутренние обращения – Указания на строчку кода – Развёрнутый анализ с обоснованием неизбежности уязвимости Система учета обращений/багов необходима, но нужно выстраивать процесс реагирования! 8
Пример: Взаимодействие с исследователями ИБ 9
Проверка и выпуск - «Обречены на релиз» На этом этапе никто не рассматривает возможность отказаться от выпуска продукта или существенно сдвинуть сроки • Релизное тестирование – исправить нельзя убрать • Дорогие и длительные работы с сюрпризами – Сертификация продукта – Проверки сторонними ИБ-экспертами • Внезапно - проблемы – Уязвимость сторонних компонентов – Быстрые исправления выявленных ошибок – костыли и проблемы «на будущее» – Отключение «проблемных» сценариев
Разработка: ловушки инструментов и практик • Безопасность не в приоритете – Удобство среды разработки – Использование знакомых компонентов – Борьба с унаследованным кодом • Безопасный продукт? – Утечки памяти, переполнение буфера, падения/повисания – Архитектор потребует «безопасные» опции компилятора • Ловушка – бессистемное использование инструментов не- специалистами ИБ – Анализаторы кода – Генераторы нагрузки без тонкой настройки – Системы автоматизированного тестирования • Менеджер форсирует: бюджет, сроки, функционал – Унаследованный долг: было 500 предупреждений, будет 507 – ок?
Проектирование • «Безопасные решения» мешают красивой архитектуре – лёгкая жертва – Ограничения гибкости и расширяемости – Дополнительные операции (журналирование) – Затруднение сопровождения (обфускация) • Исправление известных проблем дорого и «не оплачено» – Удаление «вшитых» паролей • Ревью дизайна архитектуры – не частая процедура – Ревью безопасности? На это нет времени – Моделирование угроз – Анализ рисков ИБ
Требования (на развитие продукта) Требования от заказчика на развитие функциональных характеристик продукта могут не учитывать текущего состояния продукта и реализованных сценариев • Анализ требований – Моделирование актуальных и возможных угроз • Анализ сценариев с точки зрения ИБ - предложение дополнительных «контролей» ИБ – Обоснованность (необходимость) и достаточность набора мер ИБ • Оценка уровня безопасности продукта после реализации требований – Прозрачность управления уровнем ИБ продукта/продуктовой линейки – Ранжирование известных уязвимостей и исправление – Группировка и привязка к релизам исправления уязвимостей – Возможность построения «общей картины» по срезу (проект/продукт/менеджер) • Прогноз - как изменится окружение (использование) продукта с точки зрения ИБ? • Менеджера продукта формирует требования на проект – Унаследованный продукт, технологический долг – Динамика развития функционала, архитектурные компромиссы – Внешние и внутренние ИБ-риски предлагаемого проекта и продукта в целом – Факторы ИБ как элемент оценки качества работы (обоснования необходимости затрат)
Обучение и мотивация: примеры Каждой роли в создании продукта, проекте, компании необходима информация о специфичных аспектах безопасной разработки • Демонстрация эксплуатации уязвимостей – для разработчиков • Обзор комплексных атак на аналогичные системы – для архитекторов • Планирование работ по анализу продуктов – для менеджеров разработки • Практика выработки метрик для оценки состояния ИБ продукта – для менеджеров продуктов Обучение позволяет повысить компетенцию и, что часто важнее - осведомлённость о проблемах ИБ
Выбор проектов для внедрения безопасной разработки • Проекты по развитию существующих продуктов – Критичность • Распространение на рынке • Критичность сценариев – «Агрессивность» среды • Подверженность атакам на распространённые заимствованные компоненты • Возможность доступа для анализа – Компактность продукта • Новые продукты • Пилотные и исследовательские проекты • Все проекты со значимыми угрозами 15
Итого: • Внедрение SDL - это сложный процесс, должен быть организован и поддержан руководством • Разрозненные практики ИБ – расходы на иллюзию безопасности • Многое зависит от автоматизации и инструментов – Инструменты определяют отдельные сценарии – Корректность и взаимосвязь процессов определяются практиками • Реагирование дороже предотвращения – Дополнительные риски – непрогнозируемые сроки • Предотвращение не бесплатно – Корректное бюджетирование – Безопасность – в «системе ценностей» менеджмента 16
Безопасная разработка: этапы осознания проблем  Реагирование  Проверка и выпуск продукта  Разработка  Проектирование  Требования  Подготовка команды  Внедрение цикла безопасной разработки
худшая из угроз - Неведение Инструментальный анализ и аналитика ИБ ИС Расследование инцидентов ИБ Разработка инструментов сбора и анализа данных в ИС Центр компетенций ИБ Исследования и аналитика технологий ИБ Тренинги по практике ИБ

Recommended

2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 

Recommended

2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаValery Boronin
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителейValery Boronin
 
Software testing - introduction
Software testing - introductionSoftware testing - introduction
Software testing - introductionAngelina Roshchupkina
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Профилактика дефектов
Профилактика дефектовПрофилактика дефектов
Профилактика дефектовSQALab
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
 
SqaВфны8
SqaВфны8SqaВфны8
SqaВфны8Catherine Tipanova
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
А.Иванов -- Системная инженерия SmartGrid
А.Иванов -- Системная инженерия SmartGridА.Иванов -- Системная инженерия SmartGrid
А.Иванов -- Системная инженерия SmartGridAnatoly Levenchuk
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
Исследование защищенности ИС
Исследование защищенности ИСИсследование защищенности ИС
Исследование защищенности ИСAlexey Kachalin
 
Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Alexey Kachalin
 

More Related Content

What's hot

Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаValery Boronin
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителейValery Boronin
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Профилактика дефектов
Профилактика дефектовПрофилактика дефектов
Профилактика дефектовSQALab
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
А.Иванов -- Системная инженерия SmartGrid
А.Иванов -- Системная инженерия SmartGridА.Иванов -- Системная инженерия SmartGrid
А.Иванов -- Системная инженерия SmartGridAnatoly Levenchuk
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 

What's hot (20)

Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработки
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовка
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителей
 
Software testing - introduction
Software testing - introductionSoftware testing - introduction
Software testing - introduction
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13
 
Профилактика дефектов
Профилактика дефектовПрофилактика дефектов
Профилактика дефектов
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
 
SqaВфны8
SqaВфны8SqaВфны8
SqaВфны8
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
А.Иванов -- Системная инженерия SmartGrid
А.Иванов -- Системная инженерия SmartGridА.Иванов -- Системная инженерия SmartGrid
А.Иванов -- Системная инженерия SmartGrid
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle
 

Similar to Внедрение безопасной разработки (Infosecurity 2014)

Исследование защищенности ИС
Исследование защищенности ИСИсследование защищенности ИС
Исследование защищенности ИСAlexey Kachalin
 
Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Alexey Kachalin
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИАнализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИAlexey Kachalin
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Expolink
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииExpolink
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Expolink
 
астерит код иб 25.09.2014
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014Expolink
 
RST2014_Volgograd_AutomatedISMS
RST2014_Volgograd_AutomatedISMSRST2014_Volgograd_AutomatedISMS
RST2014_Volgograd_AutomatedISMSRussianStartupTour
 
Security Testing - Polazhenko Sergey
Security Testing - Polazhenko SergeySecurity Testing - Polazhenko Sergey
Security Testing - Polazhenko SergeyQA Club Minsk
 
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...Expolink
 
ТИЦ - инжиниринговые услуги
ТИЦ - инжиниринговые услугиТИЦ - инжиниринговые услуги
ТИЦ - инжиниринговые услугиVladislav Troshin
 
Гибкие методологии при создании ИТ продукта.
Гибкие методологии при создании ИТ продукта.Гибкие методологии при создании ИТ продукта.
Гибкие методологии при создании ИТ продукта.Project Management Institute (PMI) in Ufa
 

Similar to Внедрение безопасной разработки (Infosecurity 2014) (20)

Исследование защищенности ИС
Исследование защищенности ИСИсследование защищенности ИС
Исследование защищенности ИС
 
Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИАнализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИ
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
 
астерит код иб 25.09.2014
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014
 
RST2014_Volgograd_AutomatedISMS
RST2014_Volgograd_AutomatedISMSRST2014_Volgograd_AutomatedISMS
RST2014_Volgograd_AutomatedISMS
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентов
 
Security Testing - Polazhenko Sergey
Security Testing - Polazhenko SergeySecurity Testing - Polazhenko Sergey
Security Testing - Polazhenko Sergey
 
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
 
ТИЦ - инжиниринговые услуги
ТИЦ - инжиниринговые услугиТИЦ - инжиниринговые услуги
ТИЦ - инжиниринговые услуги
 
Agile Testing Process
Agile Testing ProcessAgile Testing Process
Agile Testing Process
 
Гибкие методологии при создании ИТ продукта.
Гибкие методологии при создании ИТ продукта.Гибкие методологии при создании ИТ продукта.
Гибкие методологии при создании ИТ продукта.
 
Agile Testing Process
Agile Testing ProcessAgile Testing Process
Agile Testing Process
 

More from Alexey Kachalin

Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Alexey Kachalin
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)Alexey Kachalin
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAlexey Kachalin
 
Угрозы мессенджерам и доверие
Угрозы мессенджерам и довериеУгрозы мессенджерам и доверие
Угрозы мессенджерам и довериеAlexey Kachalin
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017Alexey Kachalin
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Alexey Kachalin
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыAlexey Kachalin
 
Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаAlexey Kachalin
 
Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Alexey Kachalin
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Alexey Kachalin
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБAlexey Kachalin
 
Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Alexey Kachalin
 
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Alexey Kachalin
 
Практические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияПрактические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияAlexey Kachalin
 
Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Alexey Kachalin
 

More from Alexey Kachalin (20)

Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условия
 
Угрозы мессенджерам и доверие
Угрозы мессенджерам и довериеУгрозы мессенджерам и доверие
Угрозы мессенджерам и доверие
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспекты
 
Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетика
 
Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБ
 
Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)
 
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
 
Практические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияПрактические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестирования
 
Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)
 

Внедрение безопасной разработки (Infosecurity 2014)

  • 1. Практика внедрения в организациях «Цикла безопасной разработки» Качалин Алексей Зам. Генерального директора ЗАО «ПМ» ЗАО «Перспективный мониторинг»
  • 2. Анализ ИБ Инф. Систем Анализ ПО Практики SDL Исследования и Разработка О Компании • Исследовательское подразделение ГК ИнфоТеКС • Специализация: исследования и инструментальный анализ ИБ, методы и средства атак на информационные системы • Услуги ЗАО «ПМ» – Инструментальный анализ ИБ – Тест на проникновение – Анализ ПО – Расследование инцидентов
  • 4. Безопасность разработки - требование рынка • Уязвимости и инциденты ИБ – Больше не «приватный вопрос», не всегда возможно контролировать раскрытие информации – Раскрытие информации об уязвимостях используемых компонентов – Обращения к регулятору с вопросами от пользователей • Необходимость реакции на обращение об уязвимости, инцидентах – Взаимодействие с «атакующим» сообществом • Требования НПА и регуляторов • Требования 3-их лиц по гарантиям ИБ
  • 5. Условия внедрения безопасной разработки • Осязаемые результаты: отдача от инвестиций – Возврат инвестиций – Снижение количества инцидентов – Оперативность реагирования на инциденты • Встраивание в существующий процесс разработки (заказа и эксплуатации ПО) • Применение к имеющимся продуктам • Вовлечение команды (мотивация исполнителя) на дополнительные практики ИБ 5
  • 6. Безопасная разработка: этапы осознания проблем  Реагирование  Проверка и выпуск продукта  Разработка  Проектирование  Требования  Подготовка команды  Внедрение цикла безопасной разработки
  • 7. Реагирование на инциденты • Продукт эксплуатируется – «Отключить» нельзя – Обслуживаются процессы (в т.ч. критические) • Подрядчик/команда разработки работы сдали • Анализ проблемы? – В системе «боевые» данные – нельзя «передать» на исследование/воспроизведение проблемы Даже самый «безобидный» сценарий – сработал сканер уязвимостей уже достаточно плохо
  • 8. Источники сигналов об инцидентах ИБ в ПО • Публикация уязвимости в используемом компоненте • Публикация «обращения» в Интернет • Внешние обращения – звонки/письма: – Сообщения о «странном поведении программы» (нет явного подозрения на проблемы ИБ) – Попытки шантажа и ультиматумы – Оскорбления и троллинг – Готовый метод компрометации ИБ (пошаговый, в виде PoCE) • Внутренние обращения – Указания на строчку кода – Развёрнутый анализ с обоснованием неизбежности уязвимости Система учета обращений/багов необходима, но нужно выстраивать процесс реагирования! 8
  • 9. Пример: Взаимодействие с исследователями ИБ 9
  • 10. Проверка и выпуск - «Обречены на релиз» На этом этапе никто не рассматривает возможность отказаться от выпуска продукта или существенно сдвинуть сроки • Релизное тестирование – исправить нельзя убрать • Дорогие и длительные работы с сюрпризами – Сертификация продукта – Проверки сторонними ИБ-экспертами • Внезапно - проблемы – Уязвимость сторонних компонентов – Быстрые исправления выявленных ошибок – костыли и проблемы «на будущее» – Отключение «проблемных» сценариев
  • 11. Разработка: ловушки инструментов и практик • Безопасность не в приоритете – Удобство среды разработки – Использование знакомых компонентов – Борьба с унаследованным кодом • Безопасный продукт? – Утечки памяти, переполнение буфера, падения/повисания – Архитектор потребует «безопасные» опции компилятора • Ловушка – бессистемное использование инструментов не- специалистами ИБ – Анализаторы кода – Генераторы нагрузки без тонкой настройки – Системы автоматизированного тестирования • Менеджер форсирует: бюджет, сроки, функционал – Унаследованный долг: было 500 предупреждений, будет 507 – ок?
  • 12. Проектирование • «Безопасные решения» мешают красивой архитектуре – лёгкая жертва – Ограничения гибкости и расширяемости – Дополнительные операции (журналирование) – Затруднение сопровождения (обфускация) • Исправление известных проблем дорого и «не оплачено» – Удаление «вшитых» паролей • Ревью дизайна архитектуры – не частая процедура – Ревью безопасности? На это нет времени – Моделирование угроз – Анализ рисков ИБ
  • 13. Требования (на развитие продукта) Требования от заказчика на развитие функциональных характеристик продукта могут не учитывать текущего состояния продукта и реализованных сценариев • Анализ требований – Моделирование актуальных и возможных угроз • Анализ сценариев с точки зрения ИБ - предложение дополнительных «контролей» ИБ – Обоснованность (необходимость) и достаточность набора мер ИБ • Оценка уровня безопасности продукта после реализации требований – Прозрачность управления уровнем ИБ продукта/продуктовой линейки – Ранжирование известных уязвимостей и исправление – Группировка и привязка к релизам исправления уязвимостей – Возможность построения «общей картины» по срезу (проект/продукт/менеджер) • Прогноз - как изменится окружение (использование) продукта с точки зрения ИБ? • Менеджера продукта формирует требования на проект – Унаследованный продукт, технологический долг – Динамика развития функционала, архитектурные компромиссы – Внешние и внутренние ИБ-риски предлагаемого проекта и продукта в целом – Факторы ИБ как элемент оценки качества работы (обоснования необходимости затрат)
  • 14. Обучение и мотивация: примеры Каждой роли в создании продукта, проекте, компании необходима информация о специфичных аспектах безопасной разработки • Демонстрация эксплуатации уязвимостей – для разработчиков • Обзор комплексных атак на аналогичные системы – для архитекторов • Планирование работ по анализу продуктов – для менеджеров разработки • Практика выработки метрик для оценки состояния ИБ продукта – для менеджеров продуктов Обучение позволяет повысить компетенцию и, что часто важнее - осведомлённость о проблемах ИБ
  • 15. Выбор проектов для внедрения безопасной разработки • Проекты по развитию существующих продуктов – Критичность • Распространение на рынке • Критичность сценариев – «Агрессивность» среды • Подверженность атакам на распространённые заимствованные компоненты • Возможность доступа для анализа – Компактность продукта • Новые продукты • Пилотные и исследовательские проекты • Все проекты со значимыми угрозами 15
  • 16. Итого: • Внедрение SDL - это сложный процесс, должен быть организован и поддержан руководством • Разрозненные практики ИБ – расходы на иллюзию безопасности • Многое зависит от автоматизации и инструментов – Инструменты определяют отдельные сценарии – Корректность и взаимосвязь процессов определяются практиками • Реагирование дороже предотвращения – Дополнительные риски – непрогнозируемые сроки • Предотвращение не бесплатно – Корректное бюджетирование – Безопасность – в «системе ценностей» менеджмента 16
  • 17. Безопасная разработка: этапы осознания проблем  Реагирование  Проверка и выпуск продукта  Разработка  Проектирование  Требования  Подготовка команды  Внедрение цикла безопасной разработки
  • 18. худшая из угроз - Неведение Инструментальный анализ и аналитика ИБ ИС Расследование инцидентов ИБ Разработка инструментов сбора и анализа данных в ИС Центр компетенций ИБ Исследования и аналитика технологий ИБ Тренинги по практике ИБ

Editor's Notes

  1. Процесс обеспечения безопасности ПО – затратная процедура: по ресурсам, прямым расходам, по влиянию на сроки выполнения проекта. Однако, в ситуации, когда обеспечение безопасности не является опциональным, особенно остро встаёт вопрос оптимизации затрат и управления уровнем гарантируемой безопасности конечного продукта. В крупных компаниях-вендорах (Microsoft, Cisco, SAP, Oracle и других) активное внедрение практик безопасной разработки для оптимизации затрат на обеспечение безопасности ведётся с начала 2000-х годов, – т.к. к этому времени стали очевидны коммерческие и репутационные риски, а также экспоненциальный характер роста стоимости исправления ошибок в зависимости от этапа локализации проблемы. Общепринятое название практик безопасной разработки - жизненный цикл безопасной разработки ПО (Security Development Lifecycle, SDL) – совокупность практик и инструментов, позволяющих управлять безопасностью разрабатываемых программных продуктов на всех этапах – от подготовки сотрудников, занятых в разработке, до сопровождения готового продукта. В российских реалиях разработки ПО мы часто сталкиваемся как с «классическими» проблемами обеспечения безопасности разработки, так и со сложившейся практикой использования недоверенных компонентов: инструментов разработки, программно-аппаратных платформ, подключаемых библиотек. В некоторых случаях такие компоненты могут быть исследованы, но зачастую максимальным результатом может быть лишь ограничение степени и характера негативного воздействия. С особой тщательностью надо подходить к процессу разработки в тех компонентах, где этот процесс управляем; а также лучше вводить дополнительные практики – например, мониторинг публикации информации об уязвимостях в используемых компонентах. С другой стороны – значительно возросли потребности пользователей систем (доступ через сети общего доступа, доступ с мобильных платформ) и масштабы внедрения систем, а как следствие – и объемы разработок. Учитывая мировой опыт, можно констатировать: проблемы, не решённые сейчас, на этапе активного развития индустрии разработки ПО, не уйдут, а будут накапливаться и неминуемо решаться позже, когда отказ от технологии станет невозможен. Такая альтернатива, как отказ от информационных технологий и возврат, например, к пишущим машинкам (как это происходит не только у нас, но и в Германии) – хотя и может быть рассмотрена в ряде особых случаев, но вряд ли послужит развитию эффективного общества и государства. Возможным способом борьбы с этой проблемой может стать совокупность мер: «драйвер» - активно развиваемые в настоящее время требования регулятора как по безопасной эксплуатации, так и по разработке информационных систем; долгосрочная стратегия безопасности заказчика систем (инвестиции в безопасность); взвешенная стратегия компаний разработчиков, позволяющая объективно подходить к уровню безопасности предлагаемых систем, так как абсолютно-безопасная система будет настолько же абсолютно непригодна к использованию (не говоря уже о сроках и цене её производства). В докладе развернуто представлен опыт по внедрению практик безопасной разработки и сопровождению проектов, проводимых ЗАО «Перспективный Мониторинг» как в ГК «ИнфоТеКС», так и в компаниях, выполняющих продуктовую и заказную разработку ПО для систем массового использования и критически-важных объектов инфраструктуры.