Unit-Tests, Integrationstests und Co. machen es möglich, zu überprüfen, ob entwickelte Software den funktionalen Anforderungen entspricht. Durch die zunehmende Vernetzung von Softwaresystemen und die Auslagerung von Anwendungen in die Cloud und das Internet werden aber auch Security-Anforderungen immer relevanter. Traditionelle Qualitätssicherungsmethoden laufen hier oft ins Leere. Wenn überhaupt, wird meist nur am Ende stichprobenartig getestet, ob eine Software sicher ist. Fallen Sicherheitsmängel erst so spät auf, sind sie in der Regel aber nur schwierig zu beheben, und schlimmstenfalls müssen sogar ganze Anwendungsteile neu entwickelt werden. Deshalb ist es sinnvoll, IT-Sicherheit möglichst früh im Entwicklungsprozess zu berücksichtigen, um teure Schwachstellen zu vermeiden. Aber wie können Sicherheitsrisiken frühzeitig ermittelt und bei der agilen Entwicklung berücksichtigt werden? Eine Lösung ist ein Security-Aware-Development, bei dem IT-Sicherheitsanforderungen fest in den agilen Entwicklungsprozess integriert werden.
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
Zielgruppe: Admins, CISOs
Schwerpunkt: organisatorisch & technisch
Sprache: Deutsch
Abstract:
**********
An Hand von typischen Audit-Findings diskutieren wir entlang der „Dreifaltigkeit“ People – Processes – Technology die wichtigsten Sicherheitsaspekte zum Thema Remote Access und Telearbeit. Nachdem wir im ersten Termin bereits die Bereiche People und Processes behandelt haben, werden wir in diesem Talk auf den Bereich Technoloy eingehen und auch einen kurzen Ausblick auf einige fortgeschrittenere Ideen wie Zero Trust Architekturen geben.
About the Speaker:
*********************
Philipp Reisinger is consultant in the Information Security Management team. He received his master’s degree in “Information Security” at the St. Pölten University of Applied Sciences and is CISSP and CISA certified. His consulting activities are focused on the organizational aspects of information security such as: Information security management systems (ISMS), ISO27001 gap and business impact analyses, IT/IS audit, Information risk management and Security Awareness
Günther Roat is consultant and team lead of the Information Security Management team at SBA Research. He is a Microsoft Certified Technology Specialist and received his degree in Business Informatics at the University of Applied Sciences Technikum Vienna. His consulting activities are focused on the organizational aspects of information security.
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
Unit-Tests, Integrationstests und Co. machen es möglich, zu überprüfen, ob entwickelte Software den funktionalen Anforderungen entspricht. Durch die zunehmende Vernetzung von Softwaresystemen und die Auslagerung von Anwendungen in die Cloud und das Internet werden aber auch Security-Anforderungen immer relevanter. Traditionelle Qualitätssicherungsmethoden laufen hier oft ins Leere. Wenn überhaupt, wird meist nur am Ende stichprobenartig getestet, ob eine Software sicher ist. Fallen Sicherheitsmängel erst so spät auf, sind sie in der Regel aber nur schwierig zu beheben, und schlimmstenfalls müssen sogar ganze Anwendungsteile neu entwickelt werden. Deshalb ist es sinnvoll, IT-Sicherheit möglichst früh im Entwicklungsprozess zu berücksichtigen, um teure Schwachstellen zu vermeiden. Aber wie können Sicherheitsrisiken frühzeitig ermittelt und bei der agilen Entwicklung berücksichtigt werden? Eine Lösung ist ein Security-Aware-Development, bei dem IT-Sicherheitsanforderungen fest in den agilen Entwicklungsprozess integriert werden.
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talksSBA Research
"BIG BANG!" Highlights & key takeaways of 24 security talks by Stefan Jakoubi & Thomas Konrad
In this talk we will point out highlights and key takeaways of two months SBA Live Academy!
Missed some talks? Watch them on YouTube (https://www.youtube.com/channel/UCGkdNRPzjB2c6RxoMJ5POCg/videos)!
Speaker:
Stefan Jakoubi, SBA Research
Thomas Konrad, SBA Research
Talk language: German
About the Speaker:
*********************
Stefan Jakoubi ist Geschäftsleiter für den Bereich „Professional Services“ bei SBA Research. Er ist seit über 13 Jahren im Großraum der Informationssicherheit tätig und "Sicherheits-Architekt" für Kunden und Forschungspartner. Hierbei liegt sein spezieller Fokus auf dem balancierten Zusammenspiel geschäftlicher Anforderungen und erforderlicher Sicherheitsmaßnahmen, um Entscheidungsträger in der Erfüllung ihrer Sorgfaltspflichten entsprechend zu unterstützen. Am liebsten hält er allerdings Security Awareness Vorträge, um komplexe Themengebiete zielgruppengerecht "zu übersetzen".
Thomas Konrad is Principal Security Consultant at SBA Research and has been part of software security team since 2010. He focuses on secure software development, web application security, penetration testing, secure software design, architecture, and process, and trains software development teams in those areas.
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Research
Zielgruppe: CEOs, CIOs, CTOs, CISOs, Supply Chain Manager
Schwerpunkt: organisatorisch
Sprache: Deutsch
Abstract
**********
Können Sie diese Frage mit „gut“ beantworten? Digitale und Cyber-Risiken werden mittlerweile als Top-Risiken für Unternehmen betrachtet. Aktuelle Entwicklungen wie Industrie 4.0, Digitalisierung, Internet of Things oder Smart Home werden diesen Trend weiter verstärken. Aber verstehen wir diese Risiken auch entlang unserer Wertschöpfungskette? Weltweit gibt es vermehrt Angriffe auf Unternehmen und deren Supply-Chain-Partner, bei denen entweder heikle (Kunden-) Daten gestohlen oder die Produktionsabläufe beeinträchtigt werden – in manchen Fällen bis hin zum Produktionsstopp.
About the Speaker:
***********************
Stefan Jakoubi ist Geschäftsleiter für den Bereich „Professional Services“ bei SBA Research. Er ist seit über 13 Jahren im Großraum der Informationssicherheit tätig und "Sicherheits-Architekt" für Kunden und Forschungspartner. Hierbei liegt sein spezieller Fokus auf dem balancierten Zusammenspiel geschäftlicher Anforderungen und erforderlicher Sicherheitsmaßnahmen, um Entscheidungsträger in der Erfüllung ihrer Sorgfaltspflichten entsprechend zu unterstützen. Am liebsten hält er allerdings Security Awareness Vorträge, um komplexe Themengebiete zielgruppengerecht "zu übersetzen".
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...SBA Research
Abstract:
Remote Access – Top Security Challenges
An Hand von typischen Audit-Findings diskutieren wir entlang der „Dreifaltigkeit“ People – Processes – Technology die wichtigsten Sicherheitsaspekte zum Thema Remote Access und Telearbeit.
Speaker:
Günther Roat, SBA Research
Philipp Reisinger, SBA Research
Talk language: German
About the Speaker:
*********************
Günther Roat is consultant and team lead of the Information Security Management team at SBA Research. He is a Microsoft Certified Technology Specialist and received his degree in Business Informatics at the University of Applied Sciences Technikum Vienna. His consulting activities are focused on the organizational aspects of information security.
Philipp Reisinger is consultant in the Information Security Management team. He received his master’s degree in “Information Security” at the St. Pölten University of Applied Sciences and is CISSP and CISA certified. His consulting activities are focused on the organizational aspects of information security such as: Information security management systems (ISMS), ISO27001 gap and business impact analyses, IT/IS audit, Information risk management and Security Awareness
Dass eine Anwendung gegen Angriffe von Außen abgesichert werden muss, ist in der heutigen Zeit keine Frage mehr. Die OWASP Top10 sind in aller Munde. Um so verwunderlicher ist es, dass in den meisten Projekten die Suche nach Sicherheitslücken frühestens nach Fertigstellung der Software angegangen wird. Dabei gibt es ein paar Möglichkeiten, bekannte Security-Probleme bereits während der Entwicklung automatisiert zu erkennen und dem Entwickler so durch geeignetes Feedback die Möglichkeit zu geben, diese zeitnah zu beheben.
In dem Talk werden verschiedene Tools vorgestellt und gezeigt, welche Security-Probleme schon während der Entwicklung durch Continous Integration vermieden werden können.
Bei dem Vorhaben, Container in Produktion zu betreiben, sind einige Aspekte zu betrachten. Unter anderem besteht der Bedarf, die erzeugten Images in geeigneten Repositories innerhalb einer sogenannten Container-Registry abzulegen. Es muss sichergestellt werden, dass nicht ungewollt fremde Container aus unbekannten Quellen oder manipulierte Images mit Malware den Weg in die Produktion schaffen. Des Weiteren sollen keine Container betrieben werden, deren Images bekannte Verwundbarkeiten beinhalten. In diesem Vortrag wird Projekt Harbor vorgestellt, eine Open-Source-Cloud-Native-Container-Registry, die on premises betrieben werden kann und Vulnerability-Scans und Content-Trust unterstützt. Darüberhinaus stelle ich euch den OWASP-Container-Security-Verification-Standard vor, der wichtige Tipps für sicherere Container und Infrastruktur bereitstellt.
Ein (nicht-technischer) Überblick über die Grundlagen der Cybersicherheit und die Werkzeuge, die man im Rahmen eines DevSecOps-Ansatzes einsetzen kann.
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
Zielgruppe: Admins, CISOs
Schwerpunkt: organisatorisch & technisch
Sprache: Deutsch
Abstract:
**********
An Hand von typischen Audit-Findings diskutieren wir entlang der „Dreifaltigkeit“ People – Processes – Technology die wichtigsten Sicherheitsaspekte zum Thema Remote Access und Telearbeit. Nachdem wir im ersten Termin bereits die Bereiche People und Processes behandelt haben, werden wir in diesem Talk auf den Bereich Technoloy eingehen und auch einen kurzen Ausblick auf einige fortgeschrittenere Ideen wie Zero Trust Architekturen geben.
About the Speaker:
*********************
Philipp Reisinger is consultant in the Information Security Management team. He received his master’s degree in “Information Security” at the St. Pölten University of Applied Sciences and is CISSP and CISA certified. His consulting activities are focused on the organizational aspects of information security such as: Information security management systems (ISMS), ISO27001 gap and business impact analyses, IT/IS audit, Information risk management and Security Awareness
Günther Roat is consultant and team lead of the Information Security Management team at SBA Research. He is a Microsoft Certified Technology Specialist and received his degree in Business Informatics at the University of Applied Sciences Technikum Vienna. His consulting activities are focused on the organizational aspects of information security.
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
Unit-Tests, Integrationstests und Co. machen es möglich, zu überprüfen, ob entwickelte Software den funktionalen Anforderungen entspricht. Durch die zunehmende Vernetzung von Softwaresystemen und die Auslagerung von Anwendungen in die Cloud und das Internet werden aber auch Security-Anforderungen immer relevanter. Traditionelle Qualitätssicherungsmethoden laufen hier oft ins Leere. Wenn überhaupt, wird meist nur am Ende stichprobenartig getestet, ob eine Software sicher ist. Fallen Sicherheitsmängel erst so spät auf, sind sie in der Regel aber nur schwierig zu beheben, und schlimmstenfalls müssen sogar ganze Anwendungsteile neu entwickelt werden. Deshalb ist es sinnvoll, IT-Sicherheit möglichst früh im Entwicklungsprozess zu berücksichtigen, um teure Schwachstellen zu vermeiden. Aber wie können Sicherheitsrisiken frühzeitig ermittelt und bei der agilen Entwicklung berücksichtigt werden? Eine Lösung ist ein Security-Aware-Development, bei dem IT-Sicherheitsanforderungen fest in den agilen Entwicklungsprozess integriert werden.
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talksSBA Research
"BIG BANG!" Highlights & key takeaways of 24 security talks by Stefan Jakoubi & Thomas Konrad
In this talk we will point out highlights and key takeaways of two months SBA Live Academy!
Missed some talks? Watch them on YouTube (https://www.youtube.com/channel/UCGkdNRPzjB2c6RxoMJ5POCg/videos)!
Speaker:
Stefan Jakoubi, SBA Research
Thomas Konrad, SBA Research
Talk language: German
About the Speaker:
*********************
Stefan Jakoubi ist Geschäftsleiter für den Bereich „Professional Services“ bei SBA Research. Er ist seit über 13 Jahren im Großraum der Informationssicherheit tätig und "Sicherheits-Architekt" für Kunden und Forschungspartner. Hierbei liegt sein spezieller Fokus auf dem balancierten Zusammenspiel geschäftlicher Anforderungen und erforderlicher Sicherheitsmaßnahmen, um Entscheidungsträger in der Erfüllung ihrer Sorgfaltspflichten entsprechend zu unterstützen. Am liebsten hält er allerdings Security Awareness Vorträge, um komplexe Themengebiete zielgruppengerecht "zu übersetzen".
Thomas Konrad is Principal Security Consultant at SBA Research and has been part of software security team since 2010. He focuses on secure software development, web application security, penetration testing, secure software design, architecture, and process, and trains software development teams in those areas.
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Research
Zielgruppe: CEOs, CIOs, CTOs, CISOs, Supply Chain Manager
Schwerpunkt: organisatorisch
Sprache: Deutsch
Abstract
**********
Können Sie diese Frage mit „gut“ beantworten? Digitale und Cyber-Risiken werden mittlerweile als Top-Risiken für Unternehmen betrachtet. Aktuelle Entwicklungen wie Industrie 4.0, Digitalisierung, Internet of Things oder Smart Home werden diesen Trend weiter verstärken. Aber verstehen wir diese Risiken auch entlang unserer Wertschöpfungskette? Weltweit gibt es vermehrt Angriffe auf Unternehmen und deren Supply-Chain-Partner, bei denen entweder heikle (Kunden-) Daten gestohlen oder die Produktionsabläufe beeinträchtigt werden – in manchen Fällen bis hin zum Produktionsstopp.
About the Speaker:
***********************
Stefan Jakoubi ist Geschäftsleiter für den Bereich „Professional Services“ bei SBA Research. Er ist seit über 13 Jahren im Großraum der Informationssicherheit tätig und "Sicherheits-Architekt" für Kunden und Forschungspartner. Hierbei liegt sein spezieller Fokus auf dem balancierten Zusammenspiel geschäftlicher Anforderungen und erforderlicher Sicherheitsmaßnahmen, um Entscheidungsträger in der Erfüllung ihrer Sorgfaltspflichten entsprechend zu unterstützen. Am liebsten hält er allerdings Security Awareness Vorträge, um komplexe Themengebiete zielgruppengerecht "zu übersetzen".
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...SBA Research
Abstract:
Remote Access – Top Security Challenges
An Hand von typischen Audit-Findings diskutieren wir entlang der „Dreifaltigkeit“ People – Processes – Technology die wichtigsten Sicherheitsaspekte zum Thema Remote Access und Telearbeit.
Speaker:
Günther Roat, SBA Research
Philipp Reisinger, SBA Research
Talk language: German
About the Speaker:
*********************
Günther Roat is consultant and team lead of the Information Security Management team at SBA Research. He is a Microsoft Certified Technology Specialist and received his degree in Business Informatics at the University of Applied Sciences Technikum Vienna. His consulting activities are focused on the organizational aspects of information security.
Philipp Reisinger is consultant in the Information Security Management team. He received his master’s degree in “Information Security” at the St. Pölten University of Applied Sciences and is CISSP and CISA certified. His consulting activities are focused on the organizational aspects of information security such as: Information security management systems (ISMS), ISO27001 gap and business impact analyses, IT/IS audit, Information risk management and Security Awareness
Dass eine Anwendung gegen Angriffe von Außen abgesichert werden muss, ist in der heutigen Zeit keine Frage mehr. Die OWASP Top10 sind in aller Munde. Um so verwunderlicher ist es, dass in den meisten Projekten die Suche nach Sicherheitslücken frühestens nach Fertigstellung der Software angegangen wird. Dabei gibt es ein paar Möglichkeiten, bekannte Security-Probleme bereits während der Entwicklung automatisiert zu erkennen und dem Entwickler so durch geeignetes Feedback die Möglichkeit zu geben, diese zeitnah zu beheben.
In dem Talk werden verschiedene Tools vorgestellt und gezeigt, welche Security-Probleme schon während der Entwicklung durch Continous Integration vermieden werden können.
Bei dem Vorhaben, Container in Produktion zu betreiben, sind einige Aspekte zu betrachten. Unter anderem besteht der Bedarf, die erzeugten Images in geeigneten Repositories innerhalb einer sogenannten Container-Registry abzulegen. Es muss sichergestellt werden, dass nicht ungewollt fremde Container aus unbekannten Quellen oder manipulierte Images mit Malware den Weg in die Produktion schaffen. Des Weiteren sollen keine Container betrieben werden, deren Images bekannte Verwundbarkeiten beinhalten. In diesem Vortrag wird Projekt Harbor vorgestellt, eine Open-Source-Cloud-Native-Container-Registry, die on premises betrieben werden kann und Vulnerability-Scans und Content-Trust unterstützt. Darüberhinaus stelle ich euch den OWASP-Container-Security-Verification-Standard vor, der wichtige Tipps für sicherere Container und Infrastruktur bereitstellt.
Ein (nicht-technischer) Überblick über die Grundlagen der Cybersicherheit und die Werkzeuge, die man im Rahmen eines DevSecOps-Ansatzes einsetzen kann.
Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.
Azure Days 2019: Master the Move to Azure (Konrad Brunner)Trivadis
Die Azure Cloud hat sich in den letzten 10 Jahren etabliert und steht heute sowohl global, als auch lokal zur Verfügung,
der Schritt in die Cloud muss aber gut geplant werden. In diesem Talk teilen wir unsere Erfahrungen aus diversen Projekten mit Ihnen. Wir zeigen, worauf Sie besonders achten müssen, damit Ihr Wechsel in die Cloud ein Erfolg wird.
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps
Continuous Delivery (CD) ist in aller Munde. Zu Recht, doch wollen wir unsere Software kontinuierlich ausliefern, müssen wir auch kontinuierlich Sicherheitstests durchführen.
Continuous Security Testing bedeutet, statische und dynamische Analysen bereits während der Entwicklung durchzuführen, um frühzeitig und regelmäßig Sicherheitsmaßnahmen umzusetzen, bevor manuelle Prüfungen wie Penetrationstests zum Einsatz kommen. Um eine Anwendung bereits während der Entwicklung auf das Vorhandensein sicherheitskritischer Schwachstellen hin überprüfen zu können, ist eine Integration in den Entwicklungsprozess und somit eine kontinuierliche und am besten automatisierte Prüfung notwendig.
Der Vortrag stellt die praktischen Erfahrungen aus einem Projekt vor, bei dem Sicherheitsrichtlinien (Secure Coding Guide) für die eigene Entwicklung von Java-Webanwendungen aufgestellt und Sicherheitstests in den Softwareentwicklungsprozess integriert wurden. Dabei wird auf die organisatorischen, inhaltlichen und technischen Überlegungen eingegangen.
Holistische Sicherheit für Microservice ArchitekturenQAware GmbH
OOP 2020, Februar 2020, München: Vortrag von Mario-Leander Reimer (@LeanderReimer, Technischer Geschäftsbereichsleiter bei QAware)
== Dokument bitte herunterladen, falls unscharf! Please download slides if blurred! ==
Abstract: Holistische Sicherheit für Microservice-Architekturen ist komplex: Eine Vielzahl an Infrastruktur-Bausteinen, Technologien und Betriebseinheiten mit ihren API-Endpunkten und Kommunikationskanälen muss berücksichtigt werden. Hier braucht es ein flexibles und vor allem mehrschichtiges Vorgehen. Dieser Vortrag gibt einen Überblick zu Ansätzen, relevanten Schutzmechanismen und Technologien zur Absicherung von Microservice-Architekturen auf Ebene der Infrastruktur, der Plattform und der Anwendung.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
JCON 2018, Düsseldorf: Vortrag von Mario-Leander Reimer (@LeanderReimer, Cheftechnologe bei QAware)
Abstract:
Jahrzehnte lang haben wir mehr oder weniger erfolgreich monolithische Enterprise Applikationen gebaut. Leider können diese Systeme und deren Betriebsmodelle den hohen Anforderungen moderner Geschäftsmodelle nur noch schwer genügen. Kurze Release-Zyklen, Antifragilität und Hyperscale scheinen unerreichbar zu sein. Was also tun? Muss man diese Systeme alle neu bauen? Das ist sicherlich kein besonders ökonomischer und sinnvoller Weg. Dieser Vortrag zeigt mögliche Wege der Cloud-nativen Evolution von Bestandssystemen und berichtet aus der Praxis.
Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“OPEN KNOWLEDGE GmbH
„Cloud is the new Normal”, so Andrew R. Jassy (CIO AWS). Was also liegt näher, als genau jetzt den Schritt in die Cloud zu wagen? Denn schließlich wollen wir ja alle irgendwie ein klein wenig „normal“ sein. Aber ist dieser Schritt wirklich so einfach, wie uns die verschiedenen Cloudanbieter glauben machen? Lässt sich eine klassische Enterprise-Architektur einfach so in die Cloud überführen oder bedarf es neuer cloud-spezifischer Architekturmuster? Und was steckt eigentlich hinter Akronymen wie IaaS, PaaS, BaaS, SaaS und FaaS?
Im Rahmen der Session werden ich Schritt für Schritt eine bestehende Enterprise-Anwendung in die Cloud migrieren. Angefangen bei der Nutzung von Cloudinfrastruktur (IaaS) über die Anbindung von Cloudplattformkomponenten (PaaS) und Backend-Services (BaaS) bis hin zu Serverless Functions (FaaS) werden wir für die unterschiedlichen Anwendungsszenarien unserer Applikation passende Architekturansätze entwerfen und deren Vor- und Nachteile diskutieren. Natürlich sprechen wir dabei auch Themen wie Testing, Monitoring und automatisiertes Deployment an.
Ein Blick in die Kristallkugel mit dem Ziel spannende und relevante Online-Trends für das Jahr 2006 hervorzusagen. Auf der Liste sind:
- Desktop Widgets
- 2D Barcoding
- JSR-170/286
- REST
- Lightweight APIs und JSON
- Presence und Instant Messaging
- Home Networking
- Microformats/Structured Blogging
- Online Identity
- Antiphishing
Enterprise Cloud Native ist das neue NormalQAware GmbH
CodeDays 2020, Februar 2020, München: Vortrag von Mario-Leander Reimer (@LeanderReimer, Technischer Geschäftsbereichsleiter bei QAware)
== Dokument bitte herunterladen, falls unscharf! Please download slides if blurred! ==
Abstract: Der Einsatz Cloud nativer Technologien gehört in vielen deutschen Unternehmen mittlerweile zur Normalität. Großartig! Doch bei aller Liebe zur Technologie ist derzeit bei vielen Teams und Kunden ein gewisser Grad an Ernüchterung zu beobachten, bis hin zu Zweifeln und Vorbehalten was den Einsatz dieser modernen Tools und Techniken angeht. Mit steigender Verbreitung gibt es naturgemäß auch negative Erfahrungen. Das ist ganz normal! Um so wichtiger ist es aktuelle Trends und Neuerungen kontinuerlich im Auge zu behalten.
Programmierung einer Blockchain zur Verwaltung von ZertifikatenAndreas Wittke
Vortrag bei der Digitalen Woche Kiel zu Blockchain, Digitalen Zertifikaten in Moodle.
Haben analoge Zertifikate in einer digitalen Gesellschaft noch Sinn? Im Zuge der Digitalisierung benötigt man auch digitale Urkunden die man souverän, transparent, flexibel und fälschungssicher benutzen kann. Beim Fraunhofer Institut wurde eine Ethereum Blockchain dafür entwickelt und an der TH Lübeck wird ein Moodle Plugin dafür gerade entwickelt.
Compliance und Governance in der DevOps-AchtBATbern
In der Cloud leben wir im Spannungsfeld zwischen Enterprise Compliance und Continuous Delivery. Wie schaffen wir es, dass Entwickler:innen schnell Wert liefern können, ohne dabei Compliance und Governance zu vernachlässigen oder die DevOps-Acht zu unterbrechen? Wir zeigen anhand von verschiedenen Beispielen wie wir diese Herausforderungen lösen und wie bei uns Shift Left gelebt wird.
Automatisierung von Security Test im Build-Prozessx-celerate
Das Thema Security gewinnt in der Anwendungsentwicklung immer mehr an Bedeutung. Durch die Sensibilisierung durch die Medien und die Einführung der GDPR ist Web Application Security zu den Managern, Kunden und Projektverantwortlichen vorgedrungen. Mit diesem Vortrag begleiten Sie mich auf meiner Reise von den manuellen statischen Security Tests bis zur vollautomatisierten Einbindung in eine CDI Pipeline von agilen Projekten. Die Erlebnisse und Diskussionen bei der Toolauswahl, die Hürden bei der Einbindung in den CI Server, die Probleme und Widerstände bei der täglichen Verwendung der Werkzeuge sowie spaßige Vertriebsgespräche sollen einen Einblick und Vorgeschmack auf die Einführung von Security Tests im Entwicklungsprozess geben.
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Boris Adryan
Talk in German. Abstract: Prospective end users new to IoT are overwhelmed with the vast number of offerings around IoT data brokerage, storage and analysis. This talk exemplifies some of the challenges that have to be met in real-world deployments, and why there is no one-size-fits-all IoT solution. We conclude that IoT solution providers in many cases need to consider PaaS solutions with customer-specific modifications.
Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...QAware GmbH
ECN Summit 2019, München: Workshop von Josef Adersberger (@adersberger, CTO QAware), Helmut Weiss (Beck et al.) und Mario Lohner (Syncier Cloud)
Abstract:
Um eine Anwendungslandschaft in die Zukunft zu führen wird immer deutlicher, dass kein Weg mehr an Cloud Native Plattformen wie Kubernetes vorbei führt. Eine flexiblere Entwicklung, hochfrequente Releases sowie geringere Betriebskosten und eine bessere Skalierbarkeit zählen mit zu den Hauptvorteilen dieser Technologie. Dies erreicht man jedoch nicht durch eine simple Migration der bestehenden Anwendungen in einen Container und einem Betrieb auf Kubernetes.
Im Workshop gliedert sich dabei in drei Teile:
- Migration von IT-Services in die Cloud
- Migration von Anwendungen in die Cloud
- Aufbau einer Kubernetes-Plattform mit Blick auf Day 2
stackconf 2020 | SecDevOps in der Cloud by Florian WiethoffNETWAYS
Public Clouds werden mittlerweile von fast allen Unternehmen genutzt. Viele Verantwortliche vergessen dabei jedoch, dass die Sicherheit ihrer Cloud-Umgebungen zu großen Teilen ihre Aufgabe ist – Stichwort Shared Responsibility. Die Security Features, die von den Cloud Anbietern zur Verfügung gestellt werden – Firewalls, Reverse Proxys, Web Application Firewalls – sind zudem nicht auf dem Niveau, das man von ausgereifen On-Premises Lösungen kennt.
Dieser Talk soll Erfahrungen aus Cloud-Projekten im Bankenumfeld weitergeben. Ich werde die wichtigsten Anforderungen und Best Practices vorstellen.
„Bekommen Sie Ihre SQL Datenbank unter Kontrolle”
Ein Großteil des existierenden .NET Codes steht unter Quellcodeverwaltung und bereits heute verwenden viele Anwendungsentwickler irgendeine Form von Continuous Integration. Die Datenbankentwickler hängen an dieser Stelle leider ein wenig hinterher. Dabei sind gerade die Daten das Herzstück einer Anwendung und Änderungen an Datenbankstrukturen daher besonders komplex. Der erste Schritt um eine Verbesserung herbeizuführen ist es, die Datenbank ebenfalls unter Quellcodeverwaltung zu stellen. Das erleichtert nicht nur die Zusammenarbeit mit anderen Teammitgliedern und ermöglicht ein einfacheres Deployment, sondern es bildet auch die Grundlage für Continuous Integration, sowie automatisiertes Testing.
Dieser User-Group Abend zeigt:
* wie man seine SQL Datenbank genauso einfach in die Quellcodeverwaltung bringt wie .NET Code
* wie man seine Datenbank direkt aus der Quellcodeverwaltung heraus deployen kann und
* wie man einen ersten Schritt in Richtung Continous Integration machen kann
Weitere ähnliche Inhalte
Ähnlich wie IT-Sicherheit und agile Entwicklung – geht das? Sicher!
Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.
Azure Days 2019: Master the Move to Azure (Konrad Brunner)Trivadis
Die Azure Cloud hat sich in den letzten 10 Jahren etabliert und steht heute sowohl global, als auch lokal zur Verfügung,
der Schritt in die Cloud muss aber gut geplant werden. In diesem Talk teilen wir unsere Erfahrungen aus diversen Projekten mit Ihnen. Wir zeigen, worauf Sie besonders achten müssen, damit Ihr Wechsel in die Cloud ein Erfolg wird.
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps
Continuous Delivery (CD) ist in aller Munde. Zu Recht, doch wollen wir unsere Software kontinuierlich ausliefern, müssen wir auch kontinuierlich Sicherheitstests durchführen.
Continuous Security Testing bedeutet, statische und dynamische Analysen bereits während der Entwicklung durchzuführen, um frühzeitig und regelmäßig Sicherheitsmaßnahmen umzusetzen, bevor manuelle Prüfungen wie Penetrationstests zum Einsatz kommen. Um eine Anwendung bereits während der Entwicklung auf das Vorhandensein sicherheitskritischer Schwachstellen hin überprüfen zu können, ist eine Integration in den Entwicklungsprozess und somit eine kontinuierliche und am besten automatisierte Prüfung notwendig.
Der Vortrag stellt die praktischen Erfahrungen aus einem Projekt vor, bei dem Sicherheitsrichtlinien (Secure Coding Guide) für die eigene Entwicklung von Java-Webanwendungen aufgestellt und Sicherheitstests in den Softwareentwicklungsprozess integriert wurden. Dabei wird auf die organisatorischen, inhaltlichen und technischen Überlegungen eingegangen.
Holistische Sicherheit für Microservice ArchitekturenQAware GmbH
OOP 2020, Februar 2020, München: Vortrag von Mario-Leander Reimer (@LeanderReimer, Technischer Geschäftsbereichsleiter bei QAware)
== Dokument bitte herunterladen, falls unscharf! Please download slides if blurred! ==
Abstract: Holistische Sicherheit für Microservice-Architekturen ist komplex: Eine Vielzahl an Infrastruktur-Bausteinen, Technologien und Betriebseinheiten mit ihren API-Endpunkten und Kommunikationskanälen muss berücksichtigt werden. Hier braucht es ein flexibles und vor allem mehrschichtiges Vorgehen. Dieser Vortrag gibt einen Überblick zu Ansätzen, relevanten Schutzmechanismen und Technologien zur Absicherung von Microservice-Architekturen auf Ebene der Infrastruktur, der Plattform und der Anwendung.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
JCON 2018, Düsseldorf: Vortrag von Mario-Leander Reimer (@LeanderReimer, Cheftechnologe bei QAware)
Abstract:
Jahrzehnte lang haben wir mehr oder weniger erfolgreich monolithische Enterprise Applikationen gebaut. Leider können diese Systeme und deren Betriebsmodelle den hohen Anforderungen moderner Geschäftsmodelle nur noch schwer genügen. Kurze Release-Zyklen, Antifragilität und Hyperscale scheinen unerreichbar zu sein. Was also tun? Muss man diese Systeme alle neu bauen? Das ist sicherlich kein besonders ökonomischer und sinnvoller Weg. Dieser Vortrag zeigt mögliche Wege der Cloud-nativen Evolution von Bestandssystemen und berichtet aus der Praxis.
Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“OPEN KNOWLEDGE GmbH
„Cloud is the new Normal”, so Andrew R. Jassy (CIO AWS). Was also liegt näher, als genau jetzt den Schritt in die Cloud zu wagen? Denn schließlich wollen wir ja alle irgendwie ein klein wenig „normal“ sein. Aber ist dieser Schritt wirklich so einfach, wie uns die verschiedenen Cloudanbieter glauben machen? Lässt sich eine klassische Enterprise-Architektur einfach so in die Cloud überführen oder bedarf es neuer cloud-spezifischer Architekturmuster? Und was steckt eigentlich hinter Akronymen wie IaaS, PaaS, BaaS, SaaS und FaaS?
Im Rahmen der Session werden ich Schritt für Schritt eine bestehende Enterprise-Anwendung in die Cloud migrieren. Angefangen bei der Nutzung von Cloudinfrastruktur (IaaS) über die Anbindung von Cloudplattformkomponenten (PaaS) und Backend-Services (BaaS) bis hin zu Serverless Functions (FaaS) werden wir für die unterschiedlichen Anwendungsszenarien unserer Applikation passende Architekturansätze entwerfen und deren Vor- und Nachteile diskutieren. Natürlich sprechen wir dabei auch Themen wie Testing, Monitoring und automatisiertes Deployment an.
Ein Blick in die Kristallkugel mit dem Ziel spannende und relevante Online-Trends für das Jahr 2006 hervorzusagen. Auf der Liste sind:
- Desktop Widgets
- 2D Barcoding
- JSR-170/286
- REST
- Lightweight APIs und JSON
- Presence und Instant Messaging
- Home Networking
- Microformats/Structured Blogging
- Online Identity
- Antiphishing
Enterprise Cloud Native ist das neue NormalQAware GmbH
CodeDays 2020, Februar 2020, München: Vortrag von Mario-Leander Reimer (@LeanderReimer, Technischer Geschäftsbereichsleiter bei QAware)
== Dokument bitte herunterladen, falls unscharf! Please download slides if blurred! ==
Abstract: Der Einsatz Cloud nativer Technologien gehört in vielen deutschen Unternehmen mittlerweile zur Normalität. Großartig! Doch bei aller Liebe zur Technologie ist derzeit bei vielen Teams und Kunden ein gewisser Grad an Ernüchterung zu beobachten, bis hin zu Zweifeln und Vorbehalten was den Einsatz dieser modernen Tools und Techniken angeht. Mit steigender Verbreitung gibt es naturgemäß auch negative Erfahrungen. Das ist ganz normal! Um so wichtiger ist es aktuelle Trends und Neuerungen kontinuerlich im Auge zu behalten.
Programmierung einer Blockchain zur Verwaltung von ZertifikatenAndreas Wittke
Vortrag bei der Digitalen Woche Kiel zu Blockchain, Digitalen Zertifikaten in Moodle.
Haben analoge Zertifikate in einer digitalen Gesellschaft noch Sinn? Im Zuge der Digitalisierung benötigt man auch digitale Urkunden die man souverän, transparent, flexibel und fälschungssicher benutzen kann. Beim Fraunhofer Institut wurde eine Ethereum Blockchain dafür entwickelt und an der TH Lübeck wird ein Moodle Plugin dafür gerade entwickelt.
Compliance und Governance in der DevOps-AchtBATbern
In der Cloud leben wir im Spannungsfeld zwischen Enterprise Compliance und Continuous Delivery. Wie schaffen wir es, dass Entwickler:innen schnell Wert liefern können, ohne dabei Compliance und Governance zu vernachlässigen oder die DevOps-Acht zu unterbrechen? Wir zeigen anhand von verschiedenen Beispielen wie wir diese Herausforderungen lösen und wie bei uns Shift Left gelebt wird.
Automatisierung von Security Test im Build-Prozessx-celerate
Das Thema Security gewinnt in der Anwendungsentwicklung immer mehr an Bedeutung. Durch die Sensibilisierung durch die Medien und die Einführung der GDPR ist Web Application Security zu den Managern, Kunden und Projektverantwortlichen vorgedrungen. Mit diesem Vortrag begleiten Sie mich auf meiner Reise von den manuellen statischen Security Tests bis zur vollautomatisierten Einbindung in eine CDI Pipeline von agilen Projekten. Die Erlebnisse und Diskussionen bei der Toolauswahl, die Hürden bei der Einbindung in den CI Server, die Probleme und Widerstände bei der täglichen Verwendung der Werkzeuge sowie spaßige Vertriebsgespräche sollen einen Einblick und Vorgeschmack auf die Einführung von Security Tests im Entwicklungsprozess geben.
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Boris Adryan
Talk in German. Abstract: Prospective end users new to IoT are overwhelmed with the vast number of offerings around IoT data brokerage, storage and analysis. This talk exemplifies some of the challenges that have to be met in real-world deployments, and why there is no one-size-fits-all IoT solution. We conclude that IoT solution providers in many cases need to consider PaaS solutions with customer-specific modifications.
Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...QAware GmbH
ECN Summit 2019, München: Workshop von Josef Adersberger (@adersberger, CTO QAware), Helmut Weiss (Beck et al.) und Mario Lohner (Syncier Cloud)
Abstract:
Um eine Anwendungslandschaft in die Zukunft zu führen wird immer deutlicher, dass kein Weg mehr an Cloud Native Plattformen wie Kubernetes vorbei führt. Eine flexiblere Entwicklung, hochfrequente Releases sowie geringere Betriebskosten und eine bessere Skalierbarkeit zählen mit zu den Hauptvorteilen dieser Technologie. Dies erreicht man jedoch nicht durch eine simple Migration der bestehenden Anwendungen in einen Container und einem Betrieb auf Kubernetes.
Im Workshop gliedert sich dabei in drei Teile:
- Migration von IT-Services in die Cloud
- Migration von Anwendungen in die Cloud
- Aufbau einer Kubernetes-Plattform mit Blick auf Day 2
stackconf 2020 | SecDevOps in der Cloud by Florian WiethoffNETWAYS
Public Clouds werden mittlerweile von fast allen Unternehmen genutzt. Viele Verantwortliche vergessen dabei jedoch, dass die Sicherheit ihrer Cloud-Umgebungen zu großen Teilen ihre Aufgabe ist – Stichwort Shared Responsibility. Die Security Features, die von den Cloud Anbietern zur Verfügung gestellt werden – Firewalls, Reverse Proxys, Web Application Firewalls – sind zudem nicht auf dem Niveau, das man von ausgereifen On-Premises Lösungen kennt.
Dieser Talk soll Erfahrungen aus Cloud-Projekten im Bankenumfeld weitergeben. Ich werde die wichtigsten Anforderungen und Best Practices vorstellen.
„Bekommen Sie Ihre SQL Datenbank unter Kontrolle”
Ein Großteil des existierenden .NET Codes steht unter Quellcodeverwaltung und bereits heute verwenden viele Anwendungsentwickler irgendeine Form von Continuous Integration. Die Datenbankentwickler hängen an dieser Stelle leider ein wenig hinterher. Dabei sind gerade die Daten das Herzstück einer Anwendung und Änderungen an Datenbankstrukturen daher besonders komplex. Der erste Schritt um eine Verbesserung herbeizuführen ist es, die Datenbank ebenfalls unter Quellcodeverwaltung zu stellen. Das erleichtert nicht nur die Zusammenarbeit mit anderen Teammitgliedern und ermöglicht ein einfacheres Deployment, sondern es bildet auch die Grundlage für Continuous Integration, sowie automatisiertes Testing.
Dieser User-Group Abend zeigt:
* wie man seine SQL Datenbank genauso einfach in die Quellcodeverwaltung bringt wie .NET Code
* wie man seine Datenbank direkt aus der Quellcodeverwaltung heraus deployen kann und
* wie man einen ersten Schritt in Richtung Continous Integration machen kann
Ähnlich wie IT-Sicherheit und agile Entwicklung – geht das? Sicher! (20)
2. Wer bin ich?
M.Sc. Carsten Cordes
carsten.cordes@hec.de
• (früher mal) Duales Studium in der Bank
• Danach Informatikstudium in Oldenburg
• Gewinner der Cyber-Security-Challenge
Deutschland
• Penetrationstester
• Speaker auf it-sa, CeBIT, JAX und basta
• Leidenschaftlicher Softwareentwickler &
Hacker
3. Wir schreiben das Jahr 20172018…
… und das Internet ist kein Neuland mehr.
Quelle: http://www.internetlivestats.com
12. Die Idee
• Anwälte sollen sicher elektronisch kommunizieren
• Verpflichtend ab 01.01.2018
• Soll bereits vorhandene Kommunikationswege mit Justiz mitnutzen
– Elektronischen Gerichts- und Verwaltungspostfachs (EGVP)
• Zuständig für die Entwicklung und die Einführung ist die BRAK
(Bundesrechtsanwaltskammer)
– Dachorganisation der Rechtsanwälte, kein Softwareentwickler
– Selbst entwickeln?
– Hilfe holen.
13. Wer spielt mit?
• Die Bundesrechtsanwaltskammer (BRAK)
• Mehrere renommierte Beratungs- und Entwicklungsunternehmen
• Ein renommiertes Security-Unternehmen
14. Wer spielt mit?
• Die Bundesrechtsanwaltskammer (BRAK)
• Mehrere renommierte Beratungs- und Entwicklungsunternehmen
• Ein renommiertes Security-Unternehmen
EGAL!
Hätte so in vielen Unternehmen
passieren können!
15. Die Anforderungen
• Ende-zu-Ende Kommunikation
• Andere Büromitarbeiter sollen (bei Abwesenheit o.Ä.) Zugriff aufs
Postfach haben
• 2FA-Authentifizierung über SmartCards
• Webmailer
• HTTPS-Verschlüsselt
• (…)
32. „Sicherheit ist kein wundersamer Feenstaub, den
Sie auf Ihr Produkt streuen können, nachdem es
programmiert wurde.”
(Paul Vixie, CEO Farsight Security) …
Also: ab wann sollte man an Sicherheit denken?
Direkt bei Projektbeginn
37. Ziele und Inhalte von SAD
• SAD ist ein Framework zur Entwicklung sicherer Software
• SAD ist an den Microsoft SDL angelehnt
• Sicherheitsaspekte werden über den ganzen Entwicklungszyklus
überprüft.
• Individuelle Ausgestaltung ist projektspezifisch
• Sicherheitsaspekte müssen regelmäßig überprüft und angepasst
werden
37
38. Wichtige Aspekte im SAD
Identifikation
von Sicherheits-
aspekten
Aufnahme von
Security in die
DoD
Durchführung
von
automatischen
Security-Tests
Durchführung
von Pentests
Review der
Sicherheits-
aspekteFestlegung von
Coding-
Guidelines
Projektstart Kontinuierlich Regelmäßig
Überprüfung
durch statische
Analysen
Reviews durch
Sicherheitsbeauftragten
42. Aufnahme von
Security in die
DoD
Wurden die Coding-
Guidelines eingehalten?
Erkennt die Codeanalyse
keine Probleme?
Wurde ein Code-Review
durchgeführt?
43. Festlegung
auf „sichere“
Frameworks
Wird das Framework noch
aktiv weiterentwickelt?
Wie schnell wird auf
Schwachstellen reagiert?
Wer kontrolliert den Code
des Frameworks?
Wie verbreitet ist das
Framework?
60. Inhaltliche Schwachstellen
• Tests müssen Anwendungsspezifisch entwickelt werden
• Unit-Tests
• Testautomatisierung
– UI-Automation Frameworks für Rich-Client-Anwendungen
– Selenium für Webbasierte Anwendungen
• Manuelle Tests
Idealerweise im Rahmen der Qualitätssicherung
60
61. Sicherheitsszenarien in BDD
Scenario: Users with incorrect passwords should not be able to login
Given I am on the login page
And I enter incorrent credentials
Then I am redirected to the startpage
Scenario: Users with correct passwords should be able to login
Given I am on the login page
And I enter correct credentials
Then I am logged in
• Inhaltlicher Test der Anwendungslogik über Testfälle /
Testautomatisierung:
Bsp.: Login
62. Technische Schwachstellen
• Lassen sich nur schwer mit „normalen“ Tests abbilden
• Vor allem für Webanwendungen interessant
• Schwachstellenscanner
– Mit Vorsicht verwenden, kann Betrieb der Anwendung stören
• Intercepting Proxies (BurpSuite, OWASP ZAP)
– HTTP(S)-Datenverkehr wird aufgezeichnet und kann gezielt oder
automatisch auf Schwachstellen untersucht werden
• Komplexe Protokolle: Untersuchung mit Wireshark, ggf. Custom-Tools
62
65. Umsetzung mit ZAP-API
And the SQL-Injection policy is enabled
And the attack strength is set to High
And the alert threshold is set to Low
ZAP-API (rest)
66. BDD+ +
Testen von Sicherheitsszenarien
Cucumber
Python behave
Codeception
Kontinuierliche Durchführung der Tests z.B. im
Rahmen der CI-Umgebung
75. Ablauf eines (WebApp-)Pentests
Information-
sammlung
Test der
Konfiguration
Test der
Authentifizierung
Test der
Autorisierung
Test des
Session-
Managements
Test der Input-
validierung
Test der
Kryptographie
Test der
Geschäftslogik