Содержание
- 2. $ whoami Занимаюсь информационной безопасностью более 12 лет ProtoSecurity фокусируется на безопасности и мониторинге производительности веб-приложений
- 3. Источник: https://twitter.com/petecheslock
- 4. Почему это касается вас Более 50% веб-приложений всегда содержат уязвимости. На каждое веб-приложение в среднем приходится
- 5. Не бывает неуязвимых приложений Источник: WhiteHat Security Website Security Statistics Report 2016
- 6. Почему так?
- 7. 100 к 1 на 100 разработчиков в среднем 1 специалист по безопасности Источник: Sonatype 2017 DevSecOps
- 8. Приоритеты или чего хотят Увеличить скорость деплоев Уменьшить время на устранение сбоев Снизить количество проблем при
- 9. Типичный цикл DevOps – часы или дни Security – недели и месяцы Стандартные инструменты «безопасника» не
- 10. CI/CD глазами Безопасности Увеличение скорости = потеря контроля Чаще релизы = больше уязвимостей Сложнее стэк =
- 11. DevSecOps
- 12. Принципы DevSecOps Безопасность – это общая ответственность всех команд Автоматизация безопасности для масштабирования
- 13. Основные задачи DevSecOps Безопасность среды CI/CD Защищенность компонентов, управление учетными записями и ролями и тд Безопасность
- 14. Автоматизация Безопасности Меры защиты должны быть автоматизируемы Снижает риск ошибки Часто именно ошибки являются причиной успешных
- 15. Нужна новая скорость для Обнаружения атак и инцидентов Оповещения по ним Устранения последствий Принятия контрмер и
- 16. Что можно (и нужно) автоматизировать Выявление уязвимостей инфраструктуры Выявление уязвимостей приложений Управление учетными записями и ролями
- 17. Security as code Фиксация политик безопасности и тестов в коде доступ, конфигурации, логгирование и тд Автоматическая
- 18. Рекомендации по управлению конфигурациями Процессы для автоматического сканирования всех образов систем, включая ОС, приложения и контейнеры
- 19. Безопасность продукта при CI/CD
- 20. Тестирование безопасности приложения DAST, SAST, IAST Необходимо автоматически проверять код и готовые приложения с помощью DAST,
- 21. Проблемы с тестированием кода и приложений Ложные срабатывания Длительное время сканирования Обоснование и обсуждение находок Скорость
- 22. Что необходимо Инкрементальные сканирования Быстрые циклы проверки и обработки Отсев ложных срабатываний Использование существующих инструментов коммуникации
- 23. Пример SAST в SDLС Инкрементальное сканирование нового кода в репозитории Внешние Security-аналитики отсеивают ложные срабатывания сканера
- 24. Пример SAST в SDLС - еще быстрее Инкрементальное сканирование нового кода в репозитории Сканер ранжирует находки
- 25. Что изменить?
- 26. Что изменить? Роль Security специалиста Переход от «делаю сам» к «делаем вместе» Вместе с Operations определять
- 27. Что изменить? Навыки Dev и Ops специалистов Разработчикам НЕ нужно становиться безопасниками Это невозможно Но нужно
- 28. Что изменить? Инструменты безопасности 100% функций должны быть доступны через API Поддержка систем управления (Chef, Puppet,
- 29. Источник: 1 Verizon 2016 Data Breach Investigations Report 2 Gartner Inc., “Market Share: Security Software, Worldwide,
- 30. Общие рекомендации Командная работа Безопасность приложений и систем – общая ответственность Отслеживание состояния и метрик Мотивация
- 31. Итого ”Архитекторы информационной безопасности должны встраивать безопасность в разные точки DevOps процессов совместным образом, который практически
- 33. Скачать презентацию