PAWEŁ KRAWCZYKTESTOWANIE BEZPIECZEŃSTWA APLIKACJI

Otoczenie prawno-organizacyjne

• GDS (Government Digital Services)• GOV.UK, Government Gateway, IDA, PSN• Akty prawne, standardy, rekomendacje, interpretacje

• CESG (Communications-Electronics Security Group)• GPG 43 – Requirements of Secure Delivery of Online Public Services• GPG dotyczące uwierzytelniania, zarządzania tożsamością itd.

• Zarządzanie bezpieczeństwem oparte na ocenie ryzyka• Podejście IDA(BC) Authentication Policy

• G-Cloud (IaaS, PaaS, SaaS, SCS, 1200 dostawców, 80% MŚP)• ISO 27001, Cyber Essentials

• Obowiązkowa akredytacja systemów• Szeroki zakres, podejście procesowe

Przygotowanie projektu

• Analiza potrzeb klienta• Analizy ryzyka, metody uwierzytelniania, poziomy zabezpieczeń, klasyfikacja

danych

• Architektura aplikacji• Logiczna separacja danych, metody uwierzytelniania

• Szkolenia dla architektów i programistów• Przygotowane pod kątem konkretnej platformy

Bezpieczeństwo operacyjne

• Bezpieczeństwo operacyjne• Weryfikacja pracowników (BPSS, Security Check)• Hardening środowisk rozwojowych

• OSSEC• Skany podatności środowisk rozwojowych

• OpenVAS• Bieżąca współpraca z ops/devops

• Reakcja na incydenty

Testy bezpieczeństwa

• Testy bezpieczeństwa• Wewnętrzne, zewnętrzne (CREST)

• Definicja zakresu testu (OWASP Top 10, OWASP ASVS, patrz też https://goo.gl/JgXgyn) • Ręczne, automatyczne (skany podatności)

• BurpSuite

• Współpraca z działem bezpieczeństwa klienta• Ocena ryzyka podatności, zwłaszcza z testów zewnętrznych• Planowanie działań naprawczych

Agile

• Współpraca przy tworzeniu “user stories”• Specjalne “user stories” związane z bezpieczeńtwem• Testowanie ręczne co najmniej w każdym sprincie• Continuous Integration• OWASP ZAProxy, w3af, Dependency Check, Retire.js, Seccubus, GAUNTLT• PMD, Yasca, Brakeman, OWASP Lapse+, FindBugs

Dziękuję za uwagę!pawel.krawczyk@hush.com