Prezentacja z konferencji CyberGov.pl 2015 w Warszawie

1. PAWEŁ KRAWCZYK
TESTOWANIE BEZPIECZEŃSTWA APLIKACJI

2. Otoczenie prawno-organizacyjne
• GDS (Government Digital Services)
• GOV.UK, Government Gateway, IDA, PSN
• Akty prawne, standardy, rekomendacje, interpretacje
• CESG (Communications-Electronics Security Group)
• GPG 43 – Requirements of Secure Delivery of Online Public Services
• GPG dotyczące uwierzytelniania, zarządzania tożsamością itd.
• Zarządzanie bezpieczeństwem oparte na ocenie ryzyka
• Podejście IDA(BC) Authentication Policy
• G-Cloud (IaaS, PaaS, SaaS, SCS, 1200 dostawców, 80% MŚP)
• ISO 27001, Cyber Essentials
• Obowiązkowa akredytacja systemów
• Szeroki zakres, podejście procesowe

3. Przygotowanie projektu
• Analiza potrzeb klienta
• Analizy ryzyka, metody uwierzytelniania, poziomy zabezpieczeń, klasyfikacja
danych
• Architektura aplikacji
• Logiczna separacja danych, metody uwierzytelniania
• Szkolenia dla architektów i programistów
• Przygotowane pod kątem konkretnej platformy

4. Bezpieczeństwo operacyjne
• Bezpieczeństwo operacyjne
• Weryfikacja pracowników (BPSS, Security Check)
• Hardening środowisk rozwojowych
• OSSEC
• Skany podatności środowisk rozwojowych
• OpenVAS
• Bieżąca współpraca z ops/devops
• Reakcja na incydenty

5. Testy bezpieczeństwa
• Testy bezpieczeństwa
• Wewnętrzne, zewnętrzne (CREST)
• Definicja zakresu testu (OWASP Top 10, OWASP ASVS, patrz też https://goo.gl/JgXgyn)
• Ręczne, automatyczne (skany podatności)
• BurpSuite
• Współpraca z działem bezpieczeństwa klienta
• Ocena ryzyka podatności, zwłaszcza z testów zewnętrznych
• Planowanie działań naprawczych

6. Agile
• Współpraca przy tworzeniu “user stories”
• Specjalne “user stories” związane z bezpieczeńtwem
• Testowanie ręczne co najmniej w każdym sprincie
• Continuous Integration
• OWASP ZAProxy, w3af, Dependency Check, Retire.js, Seccubus, GAUNTLT
• PMD, Yasca, Brakeman, OWASP Lapse+, FindBugs

7. Dziękuję za uwagę!
pawel.krawczyk@hush.com