Содержание

Слайд 2

$ whoami

Занимаюсь информационной безопасностью более 12 лет
ProtoSecurity фокусируется на безопасности и мониторинге

$ whoami Занимаюсь информационной безопасностью более 12 лет ProtoSecurity фокусируется на безопасности
производительности веб-приложений
Certified Information Systems Auditor, CISA
Certified Information Systems Security Professional, CISSP
Certificate of Cloud Security Knowledge, CCSK

Слайд 3

Источник: https://twitter.com/petecheslock

Источник: https://twitter.com/petecheslock

Слайд 4

Почему это касается вас

Более 50% веб-приложений всегда содержат уязвимости.
На каждое веб-приложение в

Почему это касается вас Более 50% веб-приложений всегда содержат уязвимости. На каждое
среднем приходится 15 уязвимостей, из которых 7 с критическим и высоким риском.
Из этих 15 уязвимостей около половины будут рано или поздно устранены.
Устранение каждой из уязвимостей займет в среднем 158 дней.

Источник: WhiteHat Security Website Security Statistics Report 2016

Слайд 5

Не бывает неуязвимых приложений

Источник: WhiteHat Security Website Security Statistics Report 2016

Не бывает неуязвимых приложений Источник: WhiteHat Security Website Security Statistics Report 2016

Слайд 6

Почему так?

Почему так?

Слайд 7

100 к 1

на 100 разработчиков в среднем 1 специалист по безопасности

Источник: Sonatype

100 к 1 на 100 разработчиков в среднем 1 специалист по безопасности
2017 DevSecOps Community Survey

Слайд 8

Приоритеты или чего хотят

Увеличить скорость деплоев
Уменьшить время на устранение сбоев
Снизить количество проблем

Приоритеты или чего хотят Увеличить скорость деплоев Уменьшить время на устранение сбоев
при деплоях
Увеличить частоту деплоев
Вовлекать Безопасность в процесс разработки на более ранних стадиях
Ускорить устранение проблем с нормативными требованиями

Источник: Chef Survey 2017

DevOps

Слайд 9

Типичный цикл

DevOps – часы или дни
Security – недели и месяцы
Стандартные инструменты «безопасника»

Типичный цикл DevOps – часы или дни Security – недели и месяцы
не подходят
Ручное управление и процессы
Аудит, пентесты, сканирование уязвимостей
Dev и Ops не сильно вовлечены в процессы безопасности
Нет ни знаний, ни мотивации
Процессы безопасности не являются частью процесса разработки
Инструменты слишком далеки от стандартных инструментов разработчиков

Слайд 10

CI/CD глазами Безопасности

Увеличение скорости = потеря контроля
Чаще релизы = больше уязвимостей
Сложнее стэк

CI/CD глазами Безопасности Увеличение скорости = потеря контроля Чаще релизы = больше
= больше поверхность атаки

Слайд 11

DevSecOps

DevSecOps

Слайд 12

Принципы DevSecOps

Безопасность – это общая ответственность всех команд
Автоматизация безопасности для масштабирования

Принципы DevSecOps Безопасность – это общая ответственность всех команд Автоматизация безопасности для масштабирования

Слайд 13

Основные задачи DevSecOps

Безопасность среды CI/CD
Защищенность компонентов, управление учетными записями и ролями и

Основные задачи DevSecOps Безопасность среды CI/CD Защищенность компонентов, управление учетными записями и
тд
Безопасность продукта при CI/CD
Автоматизированные тесты безопасности, анализ кода и тд
Автоматизация безопасности
Автоматизация обнаружения инцидентов, форенсики и тд

Слайд 14

Автоматизация Безопасности

Меры защиты должны быть автоматизируемы
Снижает риск ошибки
Часто именно ошибки являются причиной

Автоматизация Безопасности Меры защиты должны быть автоматизируемы Снижает риск ошибки Часто именно
успешных атак в дальнейшем и прочих инцидентов
Поддерживает скорость DevOps
Необходимы API у всех ИБ-продуктов
Но сейчас это не так
Часто у ИБ есть только GUI
Нужен отдельный человек для управления

Слайд 15

Нужна новая скорость для

Обнаружения атак и инцидентов
Оповещения по ним
Устранения последствий
Принятия контрмер и

Нужна новая скорость для Обнаружения атак и инцидентов Оповещения по ним Устранения
усиления политик
Расследования/форенсики

Слайд 16

Что можно (и нужно) автоматизировать

Выявление уязвимостей инфраструктуры
Выявление уязвимостей приложений
Управление учетными записями и

Что можно (и нужно) автоматизировать Выявление уязвимостей инфраструктуры Выявление уязвимостей приложений Управление
ролями
Управление секретами, паролями, ключами, токенами и тд.
Управление политиками FW

Слайд 17

Security as code

Фиксация политик безопасности и тестов в коде
доступ, конфигурации, логгирование и

Security as code Фиксация политик безопасности и тестов в коде доступ, конфигурации,
тд
Автоматическая проверка соответствия на всех этапах CI/CD
Security тесты как необходимая часть тестирования продукта
Обновление, версионность и контроль
Портативность политик
Не нужно быть безопасником, чтобы использовать

Слайд 18

Рекомендации по управлению конфигурациями

Процессы для автоматического сканирования всех образов систем, включая ОС,

Рекомендации по управлению конфигурациями Процессы для автоматического сканирования всех образов систем, включая
приложения и контейнеры для поиска ошибок конфигураций и уязвимостей
в том числе в open source software
Релиз должен быть остановлен автоматически, если есть критические уязвимости
Удаление всех ненужных модулей, применение политик настройки безопасности систем для соответствия лучшим практикам
Чем проверять
InSpec, Serverspeс, Amazon Inspector и др.

Слайд 19

Безопасность продукта при CI/CD

Безопасность продукта при CI/CD

Слайд 20

Тестирование безопасности приложения DAST, SAST, IAST

Необходимо автоматически проверять код и готовые приложения с

Тестирование безопасности приложения DAST, SAST, IAST Необходимо автоматически проверять код и готовые
помощью DAST, SAST и IAST
Проверки должны встраиваться в обычную процедуру тестирования
Экономит ресурсы разработчиков (проще исправлять)

Слайд 21

Проблемы с тестированием кода и приложений

Ложные срабатывания
Длительное время сканирования
Обоснование и обсуждение находок
Скорость

Проблемы с тестированием кода и приложений Ложные срабатывания Длительное время сканирования Обоснование
устранения – сотни уязвимостей

Слайд 22

Что необходимо

Инкрементальные сканирования
Быстрые циклы проверки и обработки
Отсев ложных срабатываний
Использование существующих инструментов коммуникации

Что необходимо Инкрементальные сканирования Быстрые циклы проверки и обработки Отсев ложных срабатываний Использование существующих инструментов коммуникации

Слайд 23

Пример SAST в SDLС

Инкрементальное сканирование нового кода в репозитории
Внешние Security-аналитики отсеивают ложные

Пример SAST в SDLС Инкрементальное сканирование нового кода в репозитории Внешние Security-аналитики
срабатывания сканера
Все актуальные находки приоритезируются
Создаются тикеты в баг-трекинге по каждой уязвимости
Повторять каждую неделю

Слайд 24

Пример SAST в SDLС - еще быстрее

Инкрементальное сканирование нового кода в репозитории
Сканер

Пример SAST в SDLС - еще быстрее Инкрементальное сканирование нового кода в
ранжирует находки автоматически и добавляет прямо в код комментарии по уязвимостям
Не нужен новый пользовательский интерфейс
Повторять каждую ночь

Слайд 25

Что изменить?

Что изменить?

Слайд 26

Что изменить? Роль Security специалиста

Переход от «делаю сам» к «делаем вместе»
Вместе с

Что изменить? Роль Security специалиста Переход от «делаю сам» к «делаем вместе»
Operations определять политики, которые затем могут быть применены к системам автоматически, даже другими подразделениями

Слайд 27

Что изменить? Навыки Dev и Ops специалистов

Разработчикам НЕ нужно становиться безопасниками
Это невозможно
Но

Что изменить? Навыки Dev и Ops специалистов Разработчикам НЕ нужно становиться безопасниками
нужно знать основы безопасной разработки
Необходимо обучение:
Основы безопасной разработки
Типовым ошибкам/уязвимостям и как их избежать (не только OWASP Top 10)
Методам атак и как защищаться
Реальные примеры из реальной жизни
На тех языках, которые используются у вас
Интерактивные задания, а не скучные лекции

Слайд 28

Что изменить? Инструменты безопасности

100% функций должны быть доступны через API
Поддержка систем управления

Что изменить? Инструменты безопасности 100% функций должны быть доступны через API Поддержка
(Chef, Puppet, Salt и др)
Поддержка контейнеров
SAST и DAST сканеры должны поддерживать инкрементальное сканирование

Слайд 29

Источник: 1 Verizon 2016 Data Breach Investigations Report 2 Gartner Inc., “Market Share:

Источник: 1 Verizon 2016 Data Breach Investigations Report 2 Gartner Inc., “Market
Security Software, Worldwide, 2015”, Sid Deshpande, Ruggero Contu, 06 April 2016

Слайд 30

Общие рекомендации

Командная работа
Безопасность приложений и систем – общая ответственность
Отслеживание состояния и метрик
Мотивация

Общие рекомендации Командная работа Безопасность приложений и систем – общая ответственность Отслеживание
на производство кода с меньшим количеством уязвимостей
Степень безопасности кода = степень качества кода

Слайд 31

Итого

”Архитекторы информационной безопасности должны встраивать безопасность в разные точки DevOps процессов совместным

Итого ”Архитекторы информационной безопасности должны встраивать безопасность в разные точки DevOps процессов
образом, который практически прозрачен для разработчиков, сохраняет командную работу, гибкость и скорость DevOps и гибкость среды разработки”

Источник: DevSecOps: How to Seamlessly Integrate Security Into DevOps. Gartner 2016

Имя файла: 320.pptx
Количество просмотров: 32
Количество скачиваний: 0