Zürich, 16.05.2013Digicomp Hacking Day 2013IT-Security im Web und Time-to-Market −Chance statt WiderspruchCoop: Dirk Schmi...
© 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Einführung→ IT-Security bei Coop→ Erfahrungswerte→ Q&A→ Anhan...
3Zürich, 16.05.2013Über mich– Dirk Schmidt– Studium der technischen Betriebswirtschaft an derFachhochschule Offenburg– Stu...
© 2013 OneConsult GmbHwww.oneconsult.comÜber mich→ Christoph Baumgartner→ Studium der Wirtschaftsinformatik an derUniversi...
© 2013 OneConsult GmbHwww.oneconsult.comOneConsult GmbH→ IT Security Consulting & strategische Beratung (kein Verkauf von ...
© 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Einführung→ IT-Security bei Coop→ Erfahrungswerte→ Q&A→ Anhan...
© 2013 OneConsult GmbHwww.oneconsult.com“There are only two types of companies,those that have been hacked and thosethat w...
© 2013 OneConsult GmbHwww.oneconsult.com8EinführungVorfälle
© 2013 OneConsult GmbHwww.oneconsult.comVorfälleZeitpunkt Betroffene VorfallJuli 2011 Rewe/Penny - Hacker stellen 52’000 g...
© 2013 OneConsult GmbHwww.oneconsult.comApplication Security AuditGründliche, technische, unprivilegierte und privilegiert...
© 2013 OneConsult GmbHwww.oneconsult.comMögliche UntersuchungsbereicheEinführung11→ IT Infrastruktur und Basisdienste: feh...
© 2013 OneConsult GmbHwww.oneconsult.comStichwörter→ Applikationen◦ Online-Shops◦ Interbanking-Portale◦ Mailserver◦ Datenb...
© 2013 OneConsult GmbHwww.oneconsult.comZweck und Nutzen→ Qualitätssicherung dank (unabhängiger) IT Security-Analyse→ Comp...
© 2013 OneConsult GmbHwww.oneconsult.comGenerischer Ablauf Application Security AuditEinführung14
© 2013 OneConsult GmbHwww.oneconsult.comOneConsult TestansatzMischung aus zwei bekannten und verbreiteten Methoden→ Open S...
© 2013 OneConsult GmbHwww.oneconsult.comTypische Szenarien→ Bestehende Lösung→ Neuentwicklung→ Neuer ReleaseEinführung16
© 2013 OneConsult GmbHwww.oneconsult.comTypische Zeitpunkte→ Frühe Entwicklung: Eher Konzept-Review→ In der Entwicklung: E...
© 2013 OneConsult GmbHwww.oneconsult.comTypische Zeitpunkte→ In Produktiv-Umgebung vor Go-Live: optimal◦ Funktionalität ko...
© 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Einführung→ IT-Security bei Coop→ Erfahrungswerte→ Q&A→ Anhan...
Coop und IT-Security20
21Zürich, 16.05.2013Fakten coop-Internet– coop.ch– wurde in den letzten Jahren ein bedeutendesKommunikationsmedium von Coo...
22Zürich, 16.05.2013Fakten coop-Internet– Online-Shops  2.7 Mio Besuche / Monat– microspot / Interdiscount / Fust– coop@h...
23Zürich, 16.05.2013IT-Sicherheit bei coopVerfügbarkeitIT-SicherheitIntegritätVertraulichkeitAuthentizitätManagement Unter...
24Zürich, 16.05.2013ZielDas langfristige Sicherstellen der korrekten Informationsverarbeitung imInteresse des Gesamtuntern...
25Zürich, 16.05.2013Zusätzliche Awareness im Bereich Internetgeschaffen:
26Zürich, 16.05.2013Ausgangslage– Coop investiert(e) seit langem viel in die Datensicherheit – sowohl fürtechnische, als a...
27Zürich, 16.05.2013
28Zürich, 16.05.2013Massnahmen– Kritische Findings (Prio1): Sofortige Information der Lieferanten / Betreiber derexternen ...
29Zürich, 16.05.2013Konsequente Umsetzung– Einbeziehen der Sicherheitsüberlegungen in Architektur und Entwicklung vonAnfan...
30Zürich, 16.05.2013IT-Security darf nicht lähmen!– Eine schnelle IT mit agilenProjekten muss IT-Securitybereits von Anfan...
31Zürich, 16.05.2013Knappe Ressourcen und dennoch sicher?– Externe Experten können parallel unterstützen und Testen – dies...
32Zürich, 16.05.2013DOs und DONTs– Management Attention schaffen –Sicherheit muss TopDown "verordnet"werden– Testinfrastru...
33Zürich, 16.05.2013Gratislieferung für einen Einkauf ab CHF 200www.coopathome.chCode bis 31.12.2013 einlösbarVISIT13F-X
© 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Einführung→ IT-Security bei Coop→ Erfahrungswerte→ Q&A→ Anhan...
© 2013 OneConsult GmbHwww.oneconsult.comKnackpunkte→ Fach- und Sozialkompetenz der Tester und der am Projektbeteiligten Mi...
© 2013 OneConsult GmbHwww.oneconsult.comTypische Stolpersteine→ Offerte◦ Kein Geld/Budget eingeplant◦ Offerte zu früh: gen...
© 2013 OneConsult GmbHwww.oneconsult.comErfahrungswerte→ Bei sämtlichen Projekten Schwachstellen gefunden, beieinigen aber...
© 2013 OneConsult GmbHwww.oneconsult.comErfahrungswerte→ Mobile Apps: «Calling Home Syndrom»→ Spezialentwicklungen für ein...
© 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Einführung→ IT-Security bei Coop→ Erfahrungswerte→ Q&A→ Anhan...
Danke für Ihre Aufmerksamkeit!Fragen?Kontakt Coop:Dirk SchmidtInformatik Prozesse Services+41 61 336 53 03Dirk.Schmidt@coo...
© 2013 OneConsult GmbHwww.oneconsult.comOSSTMM→ Open Source Security Testing Methodology Manual→ Entwicklung unter der Lei...
© 2013 OneConsult GmbHwww.oneconsult.comOSSTMM→ Sicherheitsniveau als neutraler Zahlenwert (Risk Assessment Value)→ Umfass...
© 2013 OneConsult GmbHwww.oneconsult.comOpen Web Application Security Project (OWASP)Gratis und offen für jeden, der Siche...
© 2013 OneConsult GmbHwww.oneconsult.comDie OWASP Top10 (2013 – RC1)→ A1 Injection→ A2 Broken Authentication and Session M...
© 2013 OneConsult GmbHwww.oneconsult.comDie OWASP Top10 (2010 - 2013)45Anhang: Methoden & Standards
Nächste SlideShare
Wird geladen in …5
×

IT-Security im Web und Time-to-Market – Chance statt Widerspruch

700 Aufrufe

Veröffentlicht am

Aufgrund der zunehmenden Verlagerung von Geschäftsprozessen ins Internet ist der Betrieb von eigenen Web-Applikationen wie beispielsweise Onlineshops, Internet-Banking und zugehörigen Mobile Apps für viele Unternehmen Pflicht. In diesem Referat wird aufgezeigt, wie Coop das Spannungsfeld zwischen wirtschaftlichen Interessen und Sicherheit bewältigt und sich die IT Security konsequent umsetzen lässt. Dabei werden auch Aspekte wie Motivation, Methoden und Standards, Erfahrungen und DOs & DON’Ts aus Sicht des Auftraggebers und des Auditors OneConsult dargestellt.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
700
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
181
Aktionen
Geteilt
0
Downloads
15
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

IT-Security im Web und Time-to-Market – Chance statt Widerspruch

  1. 1. Zürich, 16.05.2013Digicomp Hacking Day 2013IT-Security im Web und Time-to-Market −Chance statt WiderspruchCoop: Dirk Schmidt OneConsult: Christoph Baumgartner
  2. 2. © 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Einführung→ IT-Security bei Coop→ Erfahrungswerte→ Q&A→ Anhang: Methoden und StandardsAgenda2
  3. 3. 3Zürich, 16.05.2013Über mich– Dirk Schmidt– Studium der technischen Betriebswirtschaft an derFachhochschule Offenburg– Studium Business Administration RMIT Melbourne– Seit 2004 bei coop als Leiter eCommerce– Seit 2010 Leiter Prozesse Services– Internet / Intranet– eCommerce– CRM– HR / Workflow
  4. 4. © 2013 OneConsult GmbHwww.oneconsult.comÜber mich→ Christoph Baumgartner→ Studium der Wirtschaftsinformatik an derUniversität Zürich (MSc UZH IS)→ Seit 1996 Berater in den BereichenIT Security und Strategie→ Gründer der OneConsult GmbH im Jahr 2003→ Seither CEO und Inhaber→ ISECOM Board MemberVorstellung4
  5. 5. © 2013 OneConsult GmbHwww.oneconsult.comOneConsult GmbH→ IT Security Consulting & strategische Beratung (kein Verkauf von Hard- und Software)→ Kunden◦ Hunderte Unternehmen und Konzerne in Europa und Übersee◦ Tätig in allen Branchen→ Security Audit Kompetenz: seit 2003 mehr als◦ 650 technische Security Audit Projekte, davon über 550 nach OSSTMM – Nr. 1 für OSSTMM-konforme Security Audits in Europa◦ 200 Web Application Security Audits (Internetbanking-Lösungen und Onlineshops) und DutzendeMobile Application Security Audits◦ 100 konzeptionelle Security Audits→ 9-köpfiges, festangestelltes und zertifiziertes Penetration Tester Team→ Standorte◦ Schweiz: Hauptsitz in Thalwil◦ Deutschland: Büro in München◦ Österreich: Büro in Wien5Vorstellung
  6. 6. © 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Einführung→ IT-Security bei Coop→ Erfahrungswerte→ Q&A→ Anhang: Methoden und StandardsAgenda6
  7. 7. © 2013 OneConsult GmbHwww.oneconsult.com“There are only two types of companies,those that have been hacked and thosethat will be.”Robert Mueller, head of the Federal Bureau of Investigation,www.nytimes.com, 4 March 20127Einführung
  8. 8. © 2013 OneConsult GmbHwww.oneconsult.com8EinführungVorfälle
  9. 9. © 2013 OneConsult GmbHwww.oneconsult.comVorfälleZeitpunkt Betroffene VorfallJuli 2011 Rewe/Penny - Hacker stellen 52’000 gestohlene Datensätze (E-Mail-Adressen und Passwörter) ins Internet- Passwörter unverschlüsselt gespeichert- Entwendete AdministratordatenJuni 2012 LinkedIn - Passwort-Hashes von mehr als 6,4 Millionen Nutzern imInternet veröffentlicht- Mit Hilfe schneller Grafikkarten stellen Sicherheitsexpertenca. 85 Prozent der Original-Passwörter wieder herJuli 2012 Dropbox - Hacker verschaffen sich über das Dropbox-Konto einesMitarbeiters Zugriff auf zahlreiche E-Mail-Adressen- Nutzung für Versand von SpamApril 2013 Wordpress - Botnet Angriffswelle gegen die Blog-Plattform- Brute-force Attacke nutzt verbreitete Usernamen undschwache Passwörter ausEinführung9
  10. 10. © 2013 OneConsult GmbHwww.oneconsult.comApplication Security AuditGründliche, technische, unprivilegierte und privilegierteSicherheitsüberprüfung einer Applikation und der zugehörigenSysteme aus der Perspektive eines versierten Angreifers.Einführung10
  11. 11. © 2013 OneConsult GmbHwww.oneconsult.comMögliche UntersuchungsbereicheEinführung11→ IT Infrastruktur und Basisdienste: fehlende Security Patches undKonfigurationsmängel→ Applikationen: Schwerpunkte◦ Authentisierung◦ Autorisierung / Vertrauensstellungen◦ Validierung◦ Datenkommunikation◦ Datenhaltung→ Ansätze◦ Laufende Systeme (= mittels Application Security Audit / PenetrationTest)◦ Source Code (= mittels Code Review)◦ Binaries (= mittels Reverse Engineering)◦ Application Architektur (= mittels Design- und Configuration Review)
  12. 12. © 2013 OneConsult GmbHwww.oneconsult.comStichwörter→ Applikationen◦ Online-Shops◦ Interbanking-Portale◦ Mailserver◦ Datenbanken◦ Branchenlösungen◦ Mobile Apps◦ etc.12Einführung→ Ansätze◦ Client und Server◦ Dediziert vs. virtualisiert(Cloud)◦ Mobile Client◦ Web Application vs. WebService◦ etc.→ Environment◦ Betriebssystem◦ Programmiersprache◦ Framework◦ etc.
  13. 13. © 2013 OneConsult GmbHwww.oneconsult.comZweck und Nutzen→ Qualitätssicherung dank (unabhängiger) IT Security-Analyse→ Compliance: Nachweis bezüglich gesetzlicher Rahmenbedingungenund Vorgaben→ Prävention: Ermöglicht (in der Zukunft) direkte und indirekteKosteneinsparungen→ Awareness auf allen Stufen→ Know-how Transfer→ Argumentationsgrundlage für zukünftige◦ IT Security-Investitionen◦ AktivitätenEinführung13
  14. 14. © 2013 OneConsult GmbHwww.oneconsult.comGenerischer Ablauf Application Security AuditEinführung14
  15. 15. © 2013 OneConsult GmbHwww.oneconsult.comOneConsult TestansatzMischung aus zwei bekannten und verbreiteten Methoden→ Open Source Security Testing Methodology Manual(OSSTMM)→ Open Web Application Security Project (OWASP)→ Weitere Informationen: siehe AnhangEinführung15
  16. 16. © 2013 OneConsult GmbHwww.oneconsult.comTypische Szenarien→ Bestehende Lösung→ Neuentwicklung→ Neuer ReleaseEinführung16
  17. 17. © 2013 OneConsult GmbHwww.oneconsult.comTypische Zeitpunkte→ Frühe Entwicklung: Eher Konzept-Review→ In der Entwicklung: Eher Code-Review→ Gegen Ende der Entwicklung:◦ Häufig noch nicht alles fertig oder nicht funktionierend (-)◦ Nicht finales Umfeld (-)→ In der Test-Phase:◦ Nicht finales Umfeld (-)◦ Teilweise noch nicht alles fertig / komplett funktionierend (-)Einführung17
  18. 18. © 2013 OneConsult GmbHwww.oneconsult.comTypische Zeitpunkte→ In Produktiv-Umgebung vor Go-Live: optimal◦ Funktionalität komplett (+)◦ In Zielumgebung (+)◦ Noch nicht produktiv (+)◦ Meistens dedizierte Testingzeit nötig (-)→ Live:◦ Funktionalität komplett (+)◦ In Zielumgebung (+)◦ Produktiv (evtl. Ausfälle) (-)Einführung18
  19. 19. © 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Einführung→ IT-Security bei Coop→ Erfahrungswerte→ Q&A→ Anhang: Methoden und StandardsAgenda19
  20. 20. Coop und IT-Security20
  21. 21. 21Zürich, 16.05.2013Fakten coop-Internet– coop.ch– wurde in den letzten Jahren ein bedeutendesKommunikationsmedium von Coop– Nahezu jede "Offline"-Kampagne wird Online begleitet– Jede grosse Marketing-Kampagne (z.B. BigWin, Simsalawinetc.) hat Kernelemente auf der Webseite, die wesentlich fürden Erfolg der Kampagne sind.– Stark steigende Besucherraten – November 2012: > 5.4 MioBesucher (143% z.V.) // sonst 2.2 Mio Besuche / Monat– coop.ch belegte Rang # 10 (!) der Top 50 Schweizer Internet-Seiten (Migros # 19; Amazon # 21)– Suchanfragen bei Google (Zeitgeist 2012): Rang #3
  22. 22. 22Zürich, 16.05.2013Fakten coop-Internet– Online-Shops  2.7 Mio Besuche / Monat– microspot / Interdiscount / Fust– coop@home– Trading (Toptip, Lumimart, Import Parfumerie, Christ,The Body Shop)– coopzeitung.ch  400000 Besuche / Monat– supercard.ch  300000-600000 Besuche / Monat– Mobile Applikationen haben ein starkes Wachstum
  23. 23. 23Zürich, 16.05.2013IT-Sicherheit bei coopVerfügbarkeitIT-SicherheitIntegritätVertraulichkeitAuthentizitätManagement UnterstützungGL trägt Gesamtverantwortung für die SicherheitOrganisatorische Massnahmen Technische MassnahmenBedrohungRisikoWirtsch. machbarInformatikSicherheitshandbuchWaiver
  24. 24. 24Zürich, 16.05.2013ZielDas langfristige Sicherstellen der korrekten Informationsverarbeitung imInteresse des Gesamtunternehmens. Dabei müssen in jedem Fall auchdie rechtlichen Aspekte (z.B. Datenschutzgesetz) abgedeckt werden.Grundsätze– Verantwortung übernehmen– Fortbestand des Unternehmens sichern– Daten schützen– Netze schützen– Funktionen trennen– Dritte einbindenÜberprüfung durch diein- und externe Revision
  25. 25. 25Zürich, 16.05.2013Zusätzliche Awareness im Bereich Internetgeschaffen:
  26. 26. 26Zürich, 16.05.2013Ausgangslage– Coop investiert(e) seit langem viel in die Datensicherheit – sowohl fürtechnische, als auch organisatorische Massnahmen– Aufgrund der Datenpannen bei REWE, PENNY und Marktkauf in Deutschlandwurden und werden bei Coop alle relevanten Webseiten/Applikationen (inkl.mobile Apps) von einem externen Spezialisten (OneConsult) aufSicherheitslücken untersucht:– Im Speziellen die folgenden Seiten/Auftritte:– Hello Family-Seiten– Memofit (extern gehostet)– Ernährungscoach (extern gehostet)– Coop-Verantwortung.ch– Publikationen bestellen– Mobile Applikationen– Online-Shops
  27. 27. 27Zürich, 16.05.2013
  28. 28. 28Zürich, 16.05.2013Massnahmen– Kritische Findings (Prio1): Sofortige Information der Lieferanten / Betreiber derexternen Applikationen die detektierten Schwachstellen unverzüglich zuschliessen / vom Netz zu nehmen.– Wichtige Findings (Prio2 und geringer): detektierte Schwachstellen wurdenaufgezeigt und bzgl. Umsetzung eng terminiert und überwacht.– Neugestaltung der Rahmenverträge mit externen Lieferanten– Aufnahme von Web-Sicherheits-Standards in die Entwicklungsrichtlinien Von Seiten des Managements wurde der Grundsatz erlassen, dass bei allenWeb-Präsenzen und mobilen Applikationen, welche Kundendaten speichernund verwalten (unabhängig ob in- oder extern gehostet), ein externesSicherheitsaudit vor GoLive durchgeführt werden muss. Dies ist in denjeweiligen Projektplänen und –budgets zu berücksichtigen. Verantwortlich fürdie Umsetzung ist die Projektleitung. Der Informatik Security-Officer unterstütztdie Projektleitung.
  29. 29. 29Zürich, 16.05.2013Konsequente Umsetzung– Einbeziehen der Sicherheitsüberlegungen in Architektur und Entwicklung vonAnfang an– Alle neuen Gewinnspiele boten bisher keine Angriffsfläche– Sämtliche neue Apps wurden bisher nicht kompromittiert– Alle neuen Shops wurden einem Audit unterworfen und zeigten bisher keinenennenswerten Sicherheitsprobleme– Konsequente Überprüfung ca. 3-4 Wochen vor einem GoLive auf möglichstproduktiver / produktionsnaher Umgebung
  30. 30. 30Zürich, 16.05.2013IT-Security darf nicht lähmen!– Eine schnelle IT mit agilenProjekten muss IT-Securitybereits von Anfang anberücksichtigen– Security lähmt nicht – sie gibtdie notwendige "Bodenhaftung"– Klares Abwägen von Risiko,Bedrohung und wirtschaftlicherMachbarkeit
  31. 31. 31Zürich, 16.05.2013Knappe Ressourcen und dennoch sicher?– Externe Experten können parallel unterstützen und Testen – diese rechtzeitigplanen!– Externe Experten dürfen die Organisation nur minimal belasten – die langjährigeZusammenarbeit mit OneConsult sorgte hier für ein integriertes Prozesswissen– Klares Abarbeiten der Findings entlang der Prioritäten Eingestehen, wenn noch zu vielePunkte offen sind
  32. 32. 32Zürich, 16.05.2013DOs und DONTs– Management Attention schaffen –Sicherheit muss TopDown "verordnet"werden– Testinfrastruktur sicherstellen:idealerweise Tests auf Pre-ProductionPlattform, welche identisch mit derzukünftigen produktiven Plattform sein soll– Security Tracking als Prozess im Projektetablieren– Priorisierung und konsequenteUmsetzung von Massnahmen– Alle Zugriffsmöglichkeiten testen: WebApplikationen, Web Services, MobileApps, Formulare (z.B. optimiert für Webund/oder Mobile)– Rechtzeitige Evaluation und Einbindungdes (externen) Security Auditors– Die Dos vernachlässigen– Wegschauen - "es wird schon nichtspassieren" ist grob fahrlässig– Termintreue vor Sicherheit stellen– Security-Tests nicht im Projekt- undFinanzplan (Budget) berücksichtigenDos Donts
  33. 33. 33Zürich, 16.05.2013Gratislieferung für einen Einkauf ab CHF 200www.coopathome.chCode bis 31.12.2013 einlösbarVISIT13F-X
  34. 34. © 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Einführung→ IT-Security bei Coop→ Erfahrungswerte→ Q&A→ Anhang: Methoden und StandardsAgenda34
  35. 35. © 2013 OneConsult GmbHwww.oneconsult.comKnackpunkte→ Fach- und Sozialkompetenz der Tester und der am Projektbeteiligten Mitarbeiter→ Vergleichbarkeit und Nachvollziehbarkeit von◦ Offerten◦ Vorgehen◦ Resultaten und Dokumentationen→ Compliance zu Gesetzen, Standards und Vorgaben erwünscht,aber:◦ Nur rudimentäre Behandlung von technischen Audits in Standards(z.B. ISO/IEC 2700x)◦ Keine offiziellen Checklisten oder Guidelines verfügbarErfahrungswerte35
  36. 36. © 2013 OneConsult GmbHwww.oneconsult.comTypische Stolpersteine→ Offerte◦ Kein Geld/Budget eingeplant◦ Offerte zu früh: genauer Scope noch nicht bekannt◦ Offerte zu spät: zu wenig Zeit für Projekt vor Go-Live→ Kick-off◦ Parteien kommunizieren auf unterschiedlichen Ebenen◦ Zu viele/falsche Personen sind anwesend◦ Änderung des Scopes→ Audit◦ Verschiebungen◦ Applikation/Umgebung noch nicht fertig◦ Kundenseitige Vorbereitungen nicht abgeschlossenErfahrungswerte36
  37. 37. © 2013 OneConsult GmbHwww.oneconsult.comErfahrungswerte→ Bei sämtlichen Projekten Schwachstellen gefunden, beieinigen aber nur sogenannte Exposures→ Sicherheitsniveau in der Finanzbranche und bei grossenOnline Shop Betreibern höher als z.B. bei Unternehmen derFertigungsindustrie→ Grossteil der Lücken von Web Applikationen und dendazugehörigen Systemen basiert auf schlecht gepflegtemBasisbetriebssystem◦ Zeitnahes Security Patching◦ Umdenken bezüglich Trennung der Verantwortlichkeiten für ITInfrastruktur und darüber liegender ApplikationenErfahrungswerte37
  38. 38. © 2013 OneConsult GmbHwww.oneconsult.comErfahrungswerte→ Mobile Apps: «Calling Home Syndrom»→ Spezialentwicklungen für einen einzigen Kunden◦ Tendenziell mehr Sicherheitslücken◦ Schliessung dieser Lücken nimmt mehr Zeit in Anspruch als beiSoftware von der Stange→ Sicherheitsüberprüfung in einer frühen Projektphase planen◦ Tendenziell weniger Sicherheitslücken→ Kommerzielle Software im CMS Bereich◦ Tendenziell weniger Sicherheitslücken als Open Source◦ Schliessung von Lücken erfolgt zeitnaher→ Altbekannte Sicherheitslücken bei ca. einem Drittel derProjekte wieder gefundenErfahrungswerte38
  39. 39. © 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Einführung→ IT-Security bei Coop→ Erfahrungswerte→ Q&A→ Anhang: Methoden und StandardsAgenda39
  40. 40. Danke für Ihre Aufmerksamkeit!Fragen?Kontakt Coop:Dirk SchmidtInformatik Prozesse Services+41 61 336 53 03Dirk.Schmidt@coop.chKontakt OneConsult:Christoph BaumgartnerCEO & Owner+41 43 377 22 22christoph.baumgartner@oneconsult.com
  41. 41. © 2013 OneConsult GmbHwww.oneconsult.comOSSTMM→ Open Source Security Testing Methodology Manual→ Entwicklung unter der Leitung von ISECOM,Institute for SECurity and Open Methodologies,http://www.osstmm.org→ Erstausgabe 2001, aktueller offizieller Release OSSTMM 3.0→ Offene und frei verfügbare Methode zur◦ Planung◦ Durchführung◦ Grobdokumentationvon (technischen) Security AuditsAnhang: Methoden & Standards41
  42. 42. © 2013 OneConsult GmbHwww.oneconsult.comOSSTMM→ Sicherheitsniveau als neutraler Zahlenwert (Risk Assessment Value)→ Umfassender Verhaltenskodex (Rules of Engagement)→ Compliant zu ISO/IEC 17799/27001, ITIL, BSI-Standard-100-1/4, SOX, BaselII etc.→ Optionale Zertifizierung (Projekte, Personen und Organisationen) durchISECOM→ OneConsult◦ ISECOM Licensed Auditor (Platinum Level)◦ ISECOM Partner (akkreditierter Schulungsanbieter)◦ Aktive Mitarbeit am OSSTMM: 3 Mitarbeiter im ISECOM Core Team◦ Mehr als 550 Projekte nach OSSTMM seit 2003Anhang: Methoden & Standards42
  43. 43. © 2013 OneConsult GmbHwww.oneconsult.comOpen Web Application Security Project (OWASP)Gratis und offen für jeden, der Sicherheitsaspekte vonApplikationen verbessern möchte.→ OWASP Top 10→ Tools→ Dokumente→ Foren→ Teilnahme an Meetings der Ortsverbändehttp://www.owasp.orgAnhang: Methoden & Standards43
  44. 44. © 2013 OneConsult GmbHwww.oneconsult.comDie OWASP Top10 (2013 – RC1)→ A1 Injection→ A2 Broken Authentication and Session Management→ A3 Cross-Site Scripting (XSS)→ A4 Insecure Direct Object References→ A5 Security Misconfiguration→ A6 Sensitive Data Exposure→ A7 Missing Function Level Access Control→ A8 Cross-Site Request Forgery (CSRF)→ A9 Using Known Vulnerable Components→ A10 Unvalidated Redirects and Forwards44Anhang: Methoden & Standards
  45. 45. © 2013 OneConsult GmbHwww.oneconsult.comDie OWASP Top10 (2010 - 2013)45Anhang: Methoden & Standards

×