Доклад на конференции Fintech PLUS Forum 2023 в Алматы (Казахстан), посвященный неочевидным вопросам применения Agile в сфере информационной безопасности

1. Agile-подходы
в информационной
безопасности
Всеволод Шабад,
независимый консультант
vshabad@vshabad.com

2. Коротко обо мне: международный осьминог
IT OT Security
Cloud
Technologies
Risk
Management
Compliance
Data Science
& ML
Project
Management
Culture
Changes
Fraud
Prevention
🇷🇺 🇰🇿
🇷🇸 🇧🇬
🇸🇬
🇹🇷
Cybersecurity
🇬🇧 🇮🇱

3. Традиционный «сервисный» подход
Разработка релиза
Заявка в ИБ
на проверку
Проверка
релиза
Выпуск
в прод
Внедрение нового инфраструктурного решения в ОПЭ
Заявка в ИБ
на проверку
Проверка
решения
Выпуск
в прод

4. Современный «DevSecOps» подход
Dev / IT
ИБ
DevSecOps

5. Тривиальная часть работы
Автоматизация проверки на уязвимости
Отбраковка False Positives
Архитектурные улучшения

6. Нетривиальная часть работы
Распространение культуры безопасности
Моделирование угроз
Гашение конфликтов между ИТ и ИБ

7. Практический пример моделирования угроз
Threat Desired Property Preventive control Detective Control
Spoofing Authenticity Docker Content Trust DOCKER_CONTENT_TRUST = 1
Tampering Integrity SHA256 Digest Tagging ‘docker pull’ return code
Repudiation Non-Repudiability Personalized Docker Hub accounts Docker Hub Audit Logs
Information Disclosure Confidentiality No No
Denial of Service Availability Docker Hub Download Rate Limit Docker pull timeout
Elevation of Privilege Authorisation Image vulnerability check Falco runtime monitoring
Asset (object) – distributive Docker images of the supplied software

8. Сложность: поиск подходящего кандидата
Dev / IT
Sec
Culture
Changes

9. Сложность: двойное управление
CTO/CIO CISO

10. Сложность: «свой» стал «чужим»

11. Есть ли волшебный рецепт? Нет!
•Слушать и слышать
•Конструктивно
и уважительно
разговаривать
•Обсуждать
создаваемую ценность

12. Буду рад оказаться
полезным!
vshabad@vshabad.com
+7 777 726 4790