Hoten mot våra IT-system blir större och mer komplexa, men att investera ihjäl sig i säkerhet är ingen lösning. Det handlar om att ha koll på sin riskbild och fokusera på rätt saker. Säkerhetskonsulten Magnus Andersson berättar om vad risk egentligen är och hur riskhantering kan hänga ihop med utvecklingsprocessen.
7. Vulnerability in HTTP.sys Could
Allow Remote Code Execution
(MS15-034)
A remote code execution vulnerability in the HTTP protocol
stack (HTTP.sys) that is caused when HTTP.sys improperly
parses specially crafted HTTP requests.
An attacker who successfully exploited this vulnerability
could execute arbitrary code in the context of the System
account.
Ex DOS-attack
”Blue screen of death”
8. risk
en sannolikhet för skada, ansvar, förlust eller
annan negativ händelse
orsakad av
externa eller interna sårbarheter
och som kan
undvikas genom förebyggande åtgärder
9. risk
en sannolikhet för skada, ansvar, förlust eller
annan negativ händelse
orsakad av
externa eller interna sårbarheter
och som kan
undvikas genom förebyggande åtgärder
26. exempel #1
vanligt scenario:
”affären” vill ha ny lösning för ny affär
asap!
(affärsrisker)
projektrisker
processrisker
teknikrisker
säkerhetsrisker
kompetensrisker
m.fl.
27. exempel #2
ny exploit blir känd
(CVE-2015-1635)
patch finns
normalt patchfönster inom en månad
vilka risker har vi om vi väntar till dess?
28. Vulnerability in HTTP.sys Could
Allow Remote Code Execution
(MS15-034)
A remote code execution vulnerability in the HTTP protocol
stack (HTTP.sys) that is caused when HTTP.sys improperly
parses specially crafted HTTP requests.
An attacker who successfully exploited this vulnerability
could execute arbitrary code in the context of the System
account.
Ex DOS-attack
”Blue screen of death”
29. exempel 3
webbapplikation ska hantera persondata
publikt åtkomlig
inloggning och sökning
hur säkerställer vi att resultatet uppfyller
kraven?
30. riskanalys!
jag förväntas bygga det här
vilka hot finns det?
hur sannolikt är det?
vad händer om det händer?
vad kostar det att förebygga?
31. svårt?
ja om blankt papper,
men det går att minska dina möjliga hot med
bra metodik,
kravhantering,
tester,
kompetenta utvecklare m.m.
34. Utmaningar
• Svårast:
– Få Business att svara på vilka kostnader de
dragit på sig…
– Få Operations att göra detsamma…
• Statistiska kostnader kan bara användas
för ett fåtal incidenter