320

Март 3, 2021

Содержание

2. $ whoami Занимаюсь информационной безопасностью более 12 лет ProtoSecurity фокусируется на безопасности и мониторинге производительности веб-приложений
3. Источник: https://twitter.com/petecheslock
4. Почему это касается вас Более 50% веб-приложений всегда содержат уязвимости. На каждое веб-приложение в среднем приходится
5. Не бывает неуязвимых приложений Источник: WhiteHat Security Website Security Statistics Report 2016
6. Почему так?
7. 100 к 1 на 100 разработчиков в среднем 1 специалист по безопасности Источник: Sonatype 2017 DevSecOps
8. Приоритеты или чего хотят Увеличить скорость деплоев Уменьшить время на устранение сбоев Снизить количество проблем при
9. Типичный цикл DevOps – часы или дни Security – недели и месяцы Стандартные инструменты «безопасника» не
10. CI/CD глазами Безопасности Увеличение скорости = потеря контроля Чаще релизы = больше уязвимостей Сложнее стэк =
11. DevSecOps
12. Принципы DevSecOps Безопасность – это общая ответственность всех команд Автоматизация безопасности для масштабирования
13. Основные задачи DevSecOps Безопасность среды CI/CD Защищенность компонентов, управление учетными записями и ролями и тд Безопасность
14. Автоматизация Безопасности Меры защиты должны быть автоматизируемы Снижает риск ошибки Часто именно ошибки являются причиной успешных
15. Нужна новая скорость для Обнаружения атак и инцидентов Оповещения по ним Устранения последствий Принятия контрмер и
16. Что можно (и нужно) автоматизировать Выявление уязвимостей инфраструктуры Выявление уязвимостей приложений Управление учетными записями и ролями
17. Security as code Фиксация политик безопасности и тестов в коде доступ, конфигурации, логгирование и тд Автоматическая
18. Рекомендации по управлению конфигурациями Процессы для автоматического сканирования всех образов систем, включая ОС, приложения и контейнеры
19. Безопасность продукта при CI/CD
20. Тестирование безопасности приложения DAST, SAST, IAST Необходимо автоматически проверять код и готовые приложения с помощью DAST,
21. Проблемы с тестированием кода и приложений Ложные срабатывания Длительное время сканирования Обоснование и обсуждение находок Скорость
22. Что необходимо Инкрементальные сканирования Быстрые циклы проверки и обработки Отсев ложных срабатываний Использование существующих инструментов коммуникации
23. Пример SAST в SDLС Инкрементальное сканирование нового кода в репозитории Внешние Security-аналитики отсеивают ложные срабатывания сканера
24. Пример SAST в SDLС - еще быстрее Инкрементальное сканирование нового кода в репозитории Сканер ранжирует находки
25. Что изменить?
26. Что изменить? Роль Security специалиста Переход от «делаю сам» к «делаем вместе» Вместе с Operations определять
27. Что изменить? Навыки Dev и Ops специалистов Разработчикам НЕ нужно становиться безопасниками Это невозможно Но нужно
28. Что изменить? Инструменты безопасности 100% функций должны быть доступны через API Поддержка систем управления (Chef, Puppet,
29. Источник: 1 Verizon 2016 Data Breach Investigations Report 2 Gartner Inc., “Market Share: Security Software, Worldwide,
30. Общие рекомендации Командная работа Безопасность приложений и систем – общая ответственность Отслеживание состояния и метрик Мотивация
31. Итого ”Архитекторы информационной безопасности должны встраивать безопасность в разные точки DevOps процессов совместным образом, который практически
33. Скачать презентацию

$ whoami
Занимаюсь информационной безопасностью более 12 лет
ProtoSecurity фокусируется на безопасности и мониторинге

производительности веб-приложений
Certified Information Systems Auditor, CISA
Certified Information Systems Security Professional, CISSP
Certificate of Cloud Security Knowledge, CCSK

Источник: https://twitter.com/petecheslock

Почему это касается вас
Более 50% веб-приложений всегда содержат уязвимости.
На каждое веб-приложение в

среднем приходится 15 уязвимостей, из которых 7 с критическим и высоким риском.
Из этих 15 уязвимостей около половины будут рано или поздно устранены.
Устранение каждой из уязвимостей займет в среднем 158 дней.

Источник: WhiteHat Security Website Security Statistics Report 2016

Слайд 5

Не бывает неуязвимых приложений
Источник: WhiteHat Security Website Security Statistics Report 2016

Слайд 6

Почему так?

Слайд 7

100 к 1
на 100 разработчиков в среднем 1 специалист по безопасности
Источник: Sonatype

2017 DevSecOps Community Survey

Слайд 8

Приоритеты или чего хотят
Увеличить скорость деплоев
Уменьшить время на устранение сбоев
Снизить количество проблем

при деплоях
Увеличить частоту деплоев
Вовлекать Безопасность в процесс разработки на более ранних стадиях
Ускорить устранение проблем с нормативными требованиями

Источник: Chef Survey 2017

DevOps

Слайд 9

Типичный цикл
DevOps – часы или дни
Security – недели и месяцы
Стандартные инструменты «безопасника»

не подходят
Ручное управление и процессы
Аудит, пентесты, сканирование уязвимостей
Dev и Ops не сильно вовлечены в процессы безопасности
Нет ни знаний, ни мотивации
Процессы безопасности не являются частью процесса разработки
Инструменты слишком далеки от стандартных инструментов разработчиков

Слайд 10

CI/CD глазами Безопасности
Увеличение скорости = потеря контроля
Чаще релизы = больше уязвимостей
Сложнее стэк

= больше поверхность атаки

Слайд 11

DevSecOps

Слайд 12

Принципы DevSecOps
Безопасность – это общая ответственность всех команд
Автоматизация безопасности для масштабирования

Слайд 13

Основные задачи DevSecOps
Безопасность среды CI/CD
Защищенность компонентов, управление учетными записями и ролями и

тд
Безопасность продукта при CI/CD
Автоматизированные тесты безопасности, анализ кода и тд
Автоматизация безопасности
Автоматизация обнаружения инцидентов, форенсики и тд

Слайд 14

Автоматизация Безопасности
Меры защиты должны быть автоматизируемы
Снижает риск ошибки
Часто именно ошибки являются причиной

успешных атак в дальнейшем и прочих инцидентов
Поддерживает скорость DevOps
Необходимы API у всех ИБ-продуктов
Но сейчас это не так
Часто у ИБ есть только GUI
Нужен отдельный человек для управления

Слайд 15

Нужна новая скорость для
Обнаружения атак и инцидентов
Оповещения по ним
Устранения последствий
Принятия контрмер и

усиления политик
Расследования/форенсики

Слайд 16

Что можно (и нужно) автоматизировать
Выявление уязвимостей инфраструктуры
Выявление уязвимостей приложений
Управление учетными записями и

ролями
Управление секретами, паролями, ключами, токенами и тд.
Управление политиками FW

Слайд 17

Security as code
Фиксация политик безопасности и тестов в коде
доступ, конфигурации, логгирование и

тд
Автоматическая проверка соответствия на всех этапах CI/CD
Security тесты как необходимая часть тестирования продукта
Обновление, версионность и контроль
Портативность политик
Не нужно быть безопасником, чтобы использовать

Слайд 18

Рекомендации по управлению конфигурациями
Процессы для автоматического сканирования всех образов систем, включая ОС,

приложения и контейнеры для поиска ошибок конфигураций и уязвимостей
в том числе в open source software
Релиз должен быть остановлен автоматически, если есть критические уязвимости
Удаление всех ненужных модулей, применение политик настройки безопасности систем для соответствия лучшим практикам
Чем проверять
InSpec, Serverspeс, Amazon Inspector и др.

Слайд 19

Безопасность продукта при CI/CD

Слайд 20

Тестирование безопасности приложения DAST, SAST, IAST
Необходимо автоматически проверять код и готовые приложения с

помощью DAST, SAST и IAST
Проверки должны встраиваться в обычную процедуру тестирования
Экономит ресурсы разработчиков (проще исправлять)

Слайд 21

Проблемы с тестированием кода и приложений
Ложные срабатывания
Длительное время сканирования
Обоснование и обсуждение находок
Скорость

устранения – сотни уязвимостей

Слайд 22

Что необходимо
Инкрементальные сканирования
Быстрые циклы проверки и обработки
Отсев ложных срабатываний
Использование существующих инструментов коммуникации

Слайд 23

Пример SAST в SDLС
Инкрементальное сканирование нового кода в репозитории
Внешние Security-аналитики отсеивают ложные

срабатывания сканера
Все актуальные находки приоритезируются
Создаются тикеты в баг-трекинге по каждой уязвимости
Повторять каждую неделю

Слайд 24

Пример SAST в SDLС - еще быстрее
Инкрементальное сканирование нового кода в репозитории
Сканер

ранжирует находки автоматически и добавляет прямо в код комментарии по уязвимостям
Не нужен новый пользовательский интерфейс
Повторять каждую ночь

Слайд 25

Что изменить?

Слайд 26

Что изменить? Роль Security специалиста
Переход от «делаю сам» к «делаем вместе»
Вместе с

Operations определять политики, которые затем могут быть применены к системам автоматически, даже другими подразделениями

Слайд 27

Что изменить? Навыки Dev и Ops специалистов
Разработчикам НЕ нужно становиться безопасниками
Это невозможно
Но

нужно знать основы безопасной разработки
Необходимо обучение:
Основы безопасной разработки
Типовым ошибкам/уязвимостям и как их избежать (не только OWASP Top 10)
Методам атак и как защищаться
Реальные примеры из реальной жизни
На тех языках, которые используются у вас
Интерактивные задания, а не скучные лекции

Слайд 28

Что изменить? Инструменты безопасности
100% функций должны быть доступны через API
Поддержка систем управления

(Chef, Puppet, Salt и др)
Поддержка контейнеров
SAST и DAST сканеры должны поддерживать инкрементальное сканирование

Слайд 29

Источник: 1 Verizon 2016 Data Breach Investigations Report 2 Gartner Inc., “Market Share:

Security Software, Worldwide, 2015”, Sid Deshpande, Ruggero Contu, 06 April 2016

Слайд 30

Общие рекомендации
Командная работа
Безопасность приложений и систем – общая ответственность
Отслеживание состояния и метрик
Мотивация

на производство кода с меньшим количеством уязвимостей
Степень безопасности кода = степень качества кода

Слайд 31

Итого
”Архитекторы информационной безопасности должны встраивать безопасность в разные точки DevOps процессов совместным

образом, который практически прозрачен для разработчиков, сохраняет командную работу, гибкость и скорость DevOps и гибкость среды разработки”

Источник: DevSecOps: How to Seamlessly Integrate Security Into DevOps. Gartner 2016

320

Содержание

$ whoamiЗанимаюсь информационной безопасностью более 12 летProtoSecurity фокусируется на безопасности и мониторинге

Источник: https://twitter.com/petecheslock

Почему это касается васБолее 50% веб-приложений всегда содержат уязвимости.На каждое веб-приложение в

Не бывает неуязвимых приложенийИсточник: WhiteHat Security Website Security Statistics Report 2016

Почему так?

100 к 1на 100 разработчиков в среднем 1 специалист по безопасностиИсточник: Sonatype

Приоритеты или чего хотятУвеличить скорость деплоевУменьшить время на устранение сбоевСнизить количество проблем

Типичный циклDevOps – часы или дниSecurity – недели и месяцыСтандартные инструменты «безопасника»

CI/CD глазами БезопасностиУвеличение скорости = потеря контроляЧаще релизы = больше уязвимостейСложнее стэк

DevSecOps

Принципы DevSecOpsБезопасность – это общая ответственность всех командАвтоматизация безопасности для масштабирования

Основные задачи DevSecOpsБезопасность среды CI/CDЗащищенность компонентов, управление учетными записями и ролями и

Автоматизация БезопасностиМеры защиты должны быть автоматизируемыСнижает риск ошибкиЧасто именно ошибки являются причиной

Нужна новая скорость дляОбнаружения атак и инцидентовОповещения по нимУстранения последствийПринятия контрмер и

Что можно (и нужно) автоматизироватьВыявление уязвимостей инфраструктурыВыявление уязвимостей приложенийУправление учетными записями и

Security as codeФиксация политик безопасности и тестов в кодедоступ, конфигурации, логгирование и

Рекомендации по управлению конфигурациямиПроцессы для автоматического сканирования всех образов систем, включая ОС,