Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. En løsning er å bygge inn sikkerhet som en del av programvareutviklingen. Det er utfordrende å måle programvaresikkerhet, men modenhet på programvaresikkerhetsarbeidet kan måles med BSIMM-rammeverket.
This document provides information about marketing and advertising a product. It begins with defining key terms like marketing, advertising, and sales. It then discusses different forms of advertising like posters, magazines, TV commercials and more. The document also explains different aspects of marketing, including research, advertising, sales, public relations, and customer service. It notes that while advertising is one part of marketing, marketing involves additional strategic planning and efforts to meet customer needs.
Discover how Coaching can work using an online platform and interactive processes to empower and equip yourself with the self-mastery skills for personal success.
Kayleigh created a Google Slides presentation to showcase things she learned in her online class, including how to add pictures, slide animations, and videos to slides. She included a link to her favorite country singer's music video and a link to the website she made for the class which provides more details on what she learned.
This document is Stefanos Liveris' curriculum vitae. It provides information about his education, work experience, projects, seminars, meetings, and references. It details that he has a BSc in Agriculture from the University of Thessaly and worked for the Greek National Committee for Combating Desertification and the National Agricultural Research Foundation. He has participated in several projects and meetings related to desertification.
This document provides information about marketing and advertising a product. It begins with defining key terms like marketing, advertising, and sales. It then discusses different forms of advertising like posters, magazines, TV commercials and more. The document also explains different aspects of marketing, including research, advertising, sales, public relations, and customer service. It notes that while advertising is one part of marketing, marketing involves additional strategic planning and efforts to meet customer needs.
Discover how Coaching can work using an online platform and interactive processes to empower and equip yourself with the self-mastery skills for personal success.
Kayleigh created a Google Slides presentation to showcase things she learned in her online class, including how to add pictures, slide animations, and videos to slides. She included a link to her favorite country singer's music video and a link to the website she made for the class which provides more details on what she learned.
This document is Stefanos Liveris' curriculum vitae. It provides information about his education, work experience, projects, seminars, meetings, and references. It details that he has a BSc in Agriculture from the University of Thessaly and worked for the Greek National Committee for Combating Desertification and the National Agricultural Research Foundation. He has participated in several projects and meetings related to desertification.
Kontinuerlige Leveranser og DevOps er praksiser som lar virksomheter dytte idéer ut til sine kunder før andre er ferdige med sin første iterasjon. Kvaliteten på det som leveres øker i takt med hyppigheten på leveransene. Tettere samarbeid mellom drift og utvikling bidrar til at alle trekker i samme retning. Det er forretning som bestemmer når noe skal ut i produksjon, ikke IT. Vi er vitne til et av de største paradigmeskiftene innen IT i vår tid. De som ikke transformerer sine IT-organisasjoner risikerer å bli etterlatt for å dø.
Stein Inge vil i dette foredraget forklare hva DevOps og Kontinuerlige Leveranser innebærer og hvorfor det er så viktig å ikke bli sittende på gjerdet. Han vil også presentere egne erfaringer med å levere kontinuerlig.
I dette foredraget vil vi presentere forebyggende vedlikehold og «shift-right» testing, som går utover rammene for tradisjonelt utviklingsløp for IT-systemer. Vi vil diskutere hvordan intelligent automatisering og statistikkdrevet beslutningsstøtte benyttes for å avdekke potensielle problemer på både kortsiktig og langsiktig horisont.
Frokostseminar mai 2010 solr open source cominvent asCominvent AS
Slides fra frokostseminar om Open Souce søk med Apache Lucene/Solr i Oslo mai 2010. Dette var et arrangement av Cominvent AS og FindWise AB.
Presentation is in Norwegian language
Foredrag holdt for SIkkerhetssymposiet i Bergen 19. oktober 2016. Cyberforsikring er stadig mer populært og forsikringsselskapene har kommet inn som en ny aktør i hendelseshåndteringen ved et cyberangrep. Det kan imidlertid være krevende for en virksomhet å vurdere cyberforsikring opp mot andre risikoreduserende tiltak: Hva dekker egentlig cyberforsikringen? Når bør man velge å forsikre? Hvilke erfaringer har cyberforsikrings-tilbydere og kunder gjort seg?
Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern; også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett. Marie Moe er avhengig av et medisinsk implantat, en pacemaker som sørger for at hjertet hennes slår. Som sikkerhetsforsker ønsket hun å finne ut mer om informasjonssikkerheten i denne datamaskinen inne i sin egen kropp, men hun fikk ikke tilgang til å se koden som holder henne i live. Marie startet derfor et hacking-prosjekt for å finne ut av sikkerheten i sin egen personlige kritiske infrastruktur.
More Related Content
Similar to Software Security: Hvordan bygge sikre systemer?
Kontinuerlige Leveranser og DevOps er praksiser som lar virksomheter dytte idéer ut til sine kunder før andre er ferdige med sin første iterasjon. Kvaliteten på det som leveres øker i takt med hyppigheten på leveransene. Tettere samarbeid mellom drift og utvikling bidrar til at alle trekker i samme retning. Det er forretning som bestemmer når noe skal ut i produksjon, ikke IT. Vi er vitne til et av de største paradigmeskiftene innen IT i vår tid. De som ikke transformerer sine IT-organisasjoner risikerer å bli etterlatt for å dø.
Stein Inge vil i dette foredraget forklare hva DevOps og Kontinuerlige Leveranser innebærer og hvorfor det er så viktig å ikke bli sittende på gjerdet. Han vil også presentere egne erfaringer med å levere kontinuerlig.
I dette foredraget vil vi presentere forebyggende vedlikehold og «shift-right» testing, som går utover rammene for tradisjonelt utviklingsløp for IT-systemer. Vi vil diskutere hvordan intelligent automatisering og statistikkdrevet beslutningsstøtte benyttes for å avdekke potensielle problemer på både kortsiktig og langsiktig horisont.
Frokostseminar mai 2010 solr open source cominvent asCominvent AS
Slides fra frokostseminar om Open Souce søk med Apache Lucene/Solr i Oslo mai 2010. Dette var et arrangement av Cominvent AS og FindWise AB.
Presentation is in Norwegian language
Foredrag holdt for SIkkerhetssymposiet i Bergen 19. oktober 2016. Cyberforsikring er stadig mer populært og forsikringsselskapene har kommet inn som en ny aktør i hendelseshåndteringen ved et cyberangrep. Det kan imidlertid være krevende for en virksomhet å vurdere cyberforsikring opp mot andre risikoreduserende tiltak: Hva dekker egentlig cyberforsikringen? Når bør man velge å forsikre? Hvilke erfaringer har cyberforsikrings-tilbydere og kunder gjort seg?
Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern; også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett. Marie Moe er avhengig av et medisinsk implantat, en pacemaker som sørger for at hjertet hennes slår. Som sikkerhetsforsker ønsket hun å finne ut mer om informasjonssikkerheten i denne datamaskinen inne i sin egen kropp, men hun fikk ikke tilgang til å se koden som holder henne i live. Marie startet derfor et hacking-prosjekt for å finne ut av sikkerheten i sin egen personlige kritiske infrastruktur.
The demand for insurance against cyber attacks is rapidly increasing and insurance companies are entering the field as actors in the incident response food chain. Businesses that want to use cyber insurance as a risk management strategy need to understand the risk they are facing, and how cyber insurance can reduce this risk. This implies a need to understand and evaluate cyber insurance policies. Insurance companies, on the other hand, need to be able to differentiate between potential clients based on the risk they are facing, so as to reduce the risk of adverse selection. They also need to understand the needs of the various market segments, in order to offer cyber insurance products that are relevant.
Presentation by Marie Moe and Eireann Leverett at the 28th Annual FIRST Conference in Seoul, June 14th, 2016.
Gradually we are all becoming more and more dependent on machines, we will be able to live longer with an increased quality of life due to machines integrated into our body. However, our dependence on technology grows faster than our ability to secure it, and a security failure of a medical device can have fatal consequences. This talk is about my personal experience with being the host of an unpatchable medical implant, and how this has forced me to become a human part of the "Internet-of-Things”.
The Internet is no longer virtual; the harm is real. Economics plays a very important role in harm reduction. Drawing on breaking research, this session will cover a wide variety of cyber-physical effects and possible long-term social, political and policy solutions. We’ll explore thru a variety of lenses: economic, macro-economic, risk, software quality assurance and computer security, to name a few.
Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern; også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett.
Gradually we are all becoming more and more dependent on machines, we will be able to live longer with an increased quality of life due to machines integrated into our body. However, our dependence on technology grows faster than our ability to secure it, and a security failure of a medical device can have fatal consequences. This talk is about Marie's personal experience with being the host of a vulnerable medical implant, and how this has forced her to become a human part of the "Internet-of-Things".
Keynote presentation at Hack.lu 2015 by Marie Moe. This talk is focused on the problem that we have these life critical devices with vulnerabilities that can’t easily be patched without performing surgery on patients, my personal experience with being the host of such a device, and how the hacker community can proceed to work with the vendors to secure the devices.
Incident handling of intrusions related to cyber espionage operations is a complex and challenging task. As a national CERT with a unique national early warning detection system, NSM NorCERT has detected and responded to incidents that vary from traditional incident response and abuse handling to counter-intelligence operations. Based on some real-world examples, this talk will be about incident handling of cyber espionage intrusions. What are the most common pitfalls and how can companies be better prepared?
9. SINTEF
IKT
Trender
• Økning
i
DDoS
• Innloggingsinformasjon
på
avveie
• Flere
alvorlige
sårbarheter
• Destruk`v
skadevare/løsepengevirus
• Vannhullsangrep
og
spearphishing
Slid
e 9
10. SINTEF
IKT
Hva er truslene?
10
Spionasje
Sabotasje
Økonomisk krim
Rampestreker
Krise / Krig
Politiske protester
Kaosaktører
Kompetente, ressurssterke aktører
11. SINTEF
IKT
Noen
ubordringer
• Proprietære
løsninger
som
ikke
har
bliW
kvalitetssikret
• Sikkerhetsmekanismer
er
`lstede,
men
vanskelige
å
konfigurere
eller
ikke
slåW
på
som
standard
• Standard
eller
hardkodede
passord,
dårlig
nøkkelhåndtering
• Ikke
implementert
`lfredss`llende
mekanismer
eller
ru`ner
for
programvare-‐oppdatering
• Produkter
med
lang
leve`d
blir
hengende
eWer
i
forhold
`l
nye
sikkerhetsmekanismer
og
utviklingen
i
trusselbildet
12. SINTEF
IKT
SLIK
STOPPER
DU
DATAANGREPENE
• Oppgrader
program-‐
og
maskinvare
• Installer
sikkerhetsoppdateringer
så
fort
som
mulig
• Ikke
>ldel
slu?brukere
administrator-‐reAgheter
• Blokker
kjøring
av
ikke-‐autoriserte
programmer
• Ak`ver
kodebeskyWelse
mot
ukjente
sårbarheter
• Herde
applikasjoner
• Bruk
klientbrannmur
• Bruk
sikker
oppstart
og
diskkryptering
• Bruk
an`virus
/
an`-‐malware
• Ikke
ta
i
bruk
flere
applikasjoner
og
funksjoner
enn
nødvendig
Slid
e 12
Kilde:
hWp://nsm.stat.no/blogg/enkle-‐`ltak-‐mot-‐dataangrep/
14. SINTEF
IKT
² Safety-‐By-‐Design
² Tredjeparts
samarbeid
² Bevissikring
² Sikkerhetsoppdateringer
² Segmentering
og
isolering
14
5-‐Stjerners
rammeverk
(automo`ve)
ü Innse
at
det
vil
gå
galt
og
planlegg
håndtering
ü Kjenn
dine
allierte
før
det
går
galt
ü Finn
problemet
og
lær
av
dine
feil
ü Ta
tak
i
hendelsen
og
fiks
problemet
ü Unngå
at
problemet
påvirker
flere
deler
av
systemet
OversaW
fra:
hWps://www.iamthecavalry.org/domains/automo`ve/5star/
15. SINTEF
IKT
• Det
handler
ikke
bare
om
å
bli
kviW
“bugs”,
også
feildesign
• Sikkerhet
bygges
ikke
kun
av
sikkerhetsfunksjoner
• F.eks
ved
å
“legge
`l
krypto”
• Sikkerhet
angår
alle,
ikke
bare
sikkerhetsfolk
og
systemadministratorer
• Sikkerhetskrav
bør
likes`lles
med
kvalitetskrav
• Ikke-‐funksjonelle
krav
er
essensielt!
• Oppe`d
• Kapasitet
Sikker
programvare
krever
fokus
på
sikkerhet
gjennom
hele
utviklingsløpet!
15
Hvordan
“bygge
inn”
sikkerhet?
16. SINTEF
IKT
• Det
holder
ikke
å
bare
telle
antall
bugs
per
1000
linjer
kode
• Utbredelsen
av
produktet
teller
• Har
angriper
et
stort
insen`v
for
å
utnyWe
sårbarhetene?
• Spesielt
for
programvare:
• Programvare
“slites”
ikke
over
`d
• Ingen
“mean
`me
to
failure”
• Ingen
grunn
`l
at
det
skal
eksistere
flere
bugs
i
et
populært
produkt
• I
stedet
for
å
måle
kodekvalitet
kan
man
måle
kvalitet
på
utviklingsprosessen
• Hva
er
beste
praksis?
• I
hvor
stor
grad
følges
beste
praksis?
16
Hvordan
måle
sikker
kode?
17. SINTEF
IKT
17
Sikker
programvareutvikling
• Building
Security
In
Maturity
Model
• Basert
på
etablert
praksis
hos
78
selskaper
• 112
ak`viteter,
12
praksiser
• Måler
modenhet
på
praksis
• SoDware
Assurance
Maturity
Model
• Beskriver
beste
praksis
• En
av
flere
eksempler
på
metodikk
hWp://www.opensamm.org
hWps://www.bsimm.com
19. SINTEF
IKT
BSIMM
SoDware
Security
Framework
Kilde:
hWp://www.informit.com/ar`cles/ar`cle.aspx?p=1271382,
hWp://bsimm.com
Se
også
norsk
versjon:
hWp://infosec.sintef.no/informasjonssikkerhet/2014/03/dypdykk-‐i-‐bsimm-‐del-‐0/
20. SINTEF
IKT
20
Eksempel:
Konfigurasjonsstyring
og
sårbarhetsstyring
Nivå
1:
• OppreW
eller
oppreW
kontakt
med
hendelseshåndtering
• Iden`fiser
programvarefeil
som
oppdages
ved
overvåkning
av
driDen,
og
mat
disse
`lbake
`l
utviklingsavdelingen
Nivå
2:
• Ha
et
system
for
å
gjøre
hur`ge
krise-‐endringer
i
koden
når
en
applikasjon
er
under
angrep
• Hold
styr
på
programvarefeil
som
er
funnet
i
driDen
gjennom
hele
opprerngsprosessen
• OppreW
en
katalog
over
applikasjoner
for
driDen
Nivå
3:
• Fiks
alle
programvarefeil
som
oppdages
i
driDen
• Utvid
organisasjonens
SSDL
`l
å
forhindre
feil
som
oppdages
i
driDen
• Simulér
programvarekriser
• Skuddpremie
på
programvarefeil
21. SINTEF
IKT
BSIMM
Scorecard
(n=78)
1. Bruk eksterne penetreringstestere for å finne
problemer. (69)
2. Sørg for at grunnleggende system- og
nettverkssikkerhetsmekanismer er på plass. (69)
3. Identifiser programvarefeil som oppdages ved
overvåkning av driften, og mat disse tilbake til
utviklingsavdelingen. (73)
4. Identifiser beslutningpunkter, samle
nødvendige artefakter. (66)
5. Foreta gjennomgang av sikkerhets-
mekanismer. (67)
6. La sikkerhetsmekanismer og sikkerhetskrav
drive testene. (66)
7. Lag og publisér sikkerhetsfunksjonalitet. (61)
8. Identifisér krav til personvern. (61)
9. Tilby sikkerhetsbevissthetsopplæring. (59)
10. Bruk automatiserte verktøy sammen med
manuell gjennomgang. (55)
11. Lag et graderingssystem for data og
katalogiser. (51)
12. Lag sikkerhetsstandarder. (57)
22. SINTEF
IKT
22
Måling
av
20
norske
offentlige
virksomheter
hWp://infosec.sintef.no/informasjonssikkerhet/2015/04/hvordan-‐star-‐det-‐`l-‐med-‐programvaresikkerheten-‐i-‐norske-‐offentlige-‐virksomheter/
28. SINTEF
IKT
Vår
avhengighet
av
systemer
som
styres
av
programvare
øker
raskere
enn
vår
evne
>l
å
sikre
systemene
• En
løsning
er
å
bygge
inn
sikkerhet
som
en
del
av
programvareutviklingen
• Programvare
vil
all`d
inneholde
bugs
• Det
er
ubordrende
å
måle
programvaresikkerhet
• Modenhet
på
programvaresikkerhetsarbeidet
kan
måles
med
BSIMM
28
Konklusjon