Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Podobne dokumenty
Metody ochrony przed zaawansowanymi cyberatakami

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP The OWASP Foundation

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Szczegółowy opis przedmiotu zamówienia:

Błędy procesu tworzenia oprogramowania (Badania firmy Rational Software Corporation)

Zapewnienie bezpieczeństwa w całym cyklu życia aplikacji (czyli dlaczego lepiej zapobiegać chorobom, niż leczyć je w zaawansowanym stadium)

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Ochrona biznesu w cyfrowej transformacji

Opis metodyki i procesu produkcji oprogramowania

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo dziś i jutro Security InsideOut

Secure Development Lifecycle w chmurze w modelu public i. Aleksander P. Czarnowski AVET Information and Network Security Sp z o.o.

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

AUREA BPM HP Software. TECNA Sp. z o.o. Strona 1 z 7

Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

HP Service Anywhere Uproszczenie zarządzania usługami IT

Etapy życia oprogramowania

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Etapy życia oprogramowania. Modele cyklu życia projektu. Etapy życia oprogramowania. Etapy życia oprogramowania

ISO w Banku Spółdzielczym - od decyzji do realizacji

Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Bezpieczeostwo aplikacyjne

Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić?

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Całościowe podejście do testowania automatycznego dla programistów. (TDD, BDD, Spec. by Example, wzorce, narzędzia)

SIŁA PROSTOTY. Business Suite

Cechy charakterystyczne tworzenia oprogramowania w Inżynierii Biomedycznej. Wykładowca Dr inż. Zofia Kruczkiewicz

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Agile Project Management

Usługa: Testowanie wydajności oprogramowania

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

! Retina. Wyłączny dystrybutor w Polsce

Testowanie aplikacji mobilnych na platformie Android - architektura, wzorce, praktyki i narzędzia

SZCZEGÓŁOWY HARMONOGRAM KURSU

Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Obsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. OWASP The OWASP Foundation

Wdrożenie technologii procesowej IBM BPM w EFL

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

III Etap konkursu TWOJA FIRMA TWOJA SZANSA NA SUKCES

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Promotor: dr inż. Krzysztof Różanowski

Kompleksowe Przygotowanie do Egzaminu CISMP

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

ZARZĄDZANIE WYMAGANIAMI ARCHITEKTONICZNYMI

9:45 Powitanie. 12:30 13:00 Lunch

Nowoczesne aplikacje mobilne i ich rola w podnoszeniu jakości danych

Outsourcing procesów. dr Arkadiusz Wargin CTPartners S.A. Analiza projektu B2B Kielce, 18 października 2012

XXIII Forum Teleinformatyki

17-18 listopada, Warszawa

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect

Usługowy model zarządzania w oparciu o ITIL v3. wprowadzenie do biblioteki ITIL na prostym przykładzie

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

WPROWADZENIE DO UML-a

PYTANIA PRÓBNE DO EGZAMINU NA CERTYFIKAT ZAAWANSOWANY REQB KLUCZ ODPOWIEDZI. Część DODATEK

Complete Patch Management

Fuzzing OWASP The OWASP Foundation Piotr Łaskawiec J2EE Developer/Pentester

Bezpieczeństwo systemów SCADA oraz AMI

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1

Pakiet antykorupcyjny dla firm - wymóg ustawy o jawności życia publicznego

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami

Insider Threat Management - czyli jak skutecznie zapobiegać zagrożeniom wewnętrznym?

Organizacja procesu projektowania, rozwoju i serwisowania systemu wspomagającego zarzadzanie uczelnią

Metody testowania oprogramowania w cyklu wytwarzania aplikacji. Milena Sobolewska. Rule Financial - Software Test Engineer

Zarządzanie inicjatywami i wymaganiami w projektach IT

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

epolska XX lat później Daniel Grabski Paweł Walczak

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

Reforma regulacyjna sektora bankowego

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

z testów penetracyjnych

Symantec Enterprise Security. Andrzej Kontkiewicz

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Security Orchestration, Automation and Respons, czyli jak AI wspiera działy bezpieczeństwa.

Inteligentne bezpieczeństwo. Praktyczne aspekty bezpieczeństwa AMI

Bezpieczeństwo IT w środowisku uczelni

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Usługa: Audyt kodu źródłowego

Jak znaleźć prawdziwe zagrożenia w infrastrukturze IT

Zofia Kruczkiewicz - Modelowanie i analiza systemów informatycznych 2

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Elektroniczny Case Report Form

Międzyplatformowy interfejs systemu FOLANessus wykonany przy użyciu biblioteki Qt4

Testowanie oprogramowania w środowisku IBM Rational Software Architect

Zarządzanie testowaniem wspierane narzędziem HP Quality Center

Overlord - Software Development Plan

Etyczne działanie może zapewnić sukces na rynku!

9. System wykrywania i blokowania włamań ASQ (IPS)

Audyty bezpieczeństwa i zgodności oprogramowania Leszek Miś RHC{A,SS,X} Linux Polska Sp. z o.o.

SHAREPOINT SHAREPOINT QM SHAREPOINT DESINGER SHAREPOINT SERWER. Opr. Barbara Gałkowska

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

Transkrypt:

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej Michał Kurek, Partner KPMG, Cyber Security Forum Bezpieczeństwo Sieci Technologicznych Konstancin-Jeziorna, 21 listopada 2017

Plan prezentacji Aktualny stan bezpieczeństwa aplikacji Przykłady najgroźniejszych podatności Przyczyny obecnej sytuacji Sposoby na poprawę bezpieczeństwa aplikacji

Liczba zgłaszanych podatności Statystyki dotyczące podatności w aplikacjach Aplikacje Narzędzia systemowe Systemy operacyjne Przeglądarki internetowe Źródło: Microsoft Security Intelligence Report, Volume 21, grudzień 2016

Niepokojące statystyki 83% Testowanych aplikacji zawiera istotne podatności Źródło: Doświadczenia ekspertów KPMG 98% Paneli administracyjnych urządzeń IoT zawiera fundamentalne luki w bezpieczeństwie Źródło: High-Tech Bridge Application Security Trends Report 2017 Firmy mają problem z identyfikacją i wyeliminowaniem podatności Niemal połowa aplikacji jest stale podatna na atak Średni czas usunięcia podatności: - Priorytet Krytyczny: 126 dni - Priorytet Wysoki: 196 dni Źródło: 2017 WhiteHat Security - Application Security Statistics Report

Przykłady istotnych zagrożeń w aplikacjach Nieautoryzowany pełny dostęp do danych aplikacji Przejęcie kontroli nad serwerem Przejęcie sesji lub konta innego użytkownika Dostęp do danych innych użytkowników Obejście logiki biznesowej aplikacji

Brak świadomości zagrożeń jest głównym źródłem występowania podatności w aplikacjach

Przyczyny problemów z bezpieczeństwem aplikacji Przyczyny 1 2 3 Brak wiedzy w obszarze bezpiecznego programowania aplikacji Brak świadomości kadry zarządzającej w zakresie występujących ryzyk Bezpieczeństwo najczęściej nie jest najwyższym priorytetem dla biznesu! Występowanie podatności świadczy o słabościach w procesach i organizacji

Najczęstsze błędy związane z bezpieczeństwem aplikacji Brak konieczności tworzenia wymagań bezpieczeństwa oczywistym jest, że aplikacja musi być bezpieczna Założenie, że audyt bezpieczeństwa przed wdrożeniem aplikacji rozwiązuje problem Ignorowanie ryzyk dla aplikacji wewnętrznych Brak regularnych testów bezpieczeństwa aplikacji

Metody zabezpieczeń Wdrożenie procesów bezpieczeństwo w procesie tworzenia oprogramowania zarządzanie podatnościami zarządzanie bezpieczeństwem konfiguracji monitorowanie bezpieczeństwa Wdrożenie środków technicznych separacja na poziomie sieci filtrowanie ruchu w warstwie aplikacji wykrywanie i przeciwdziałanie atakom sieciowym systemy przeciwdziałania nadużyciom reagowanie na incydenty bezpieczeństwa zapewnienie integralności systemu plików

Bezpieczeństwo w procesie tworzenia oprogramowania (SDLC) Główne mechanizmy kontrolne: szkolenia modelowanie zagrożeń specyfikacja wymagań bezpieczeństwa testy automatyczne audyt bezpieczeństwa Najlepsze praktyki: SDL (Security Development Lifecycle Microsoft) OWASP SAMM (Software Assurance Maturity Model) BSIMM (Building Security In Maturity Model)! Koszty naprawy błędów rosną im później są one wykrywane w cyklu rozwoju aplikacji

OWASP SAMM (Software Assurance Maturity Model) 12 obszarów najlepszych praktyk pogrupowanych w 4 funkcje 3 poziomy dojrzałości ze zdefiniowanymi: Celem kontrolnym Metodą oceny Głównymi zadaniami Oczekiwanymi rezultatami Software Development Governance Construction Verification Operations Strategy & Metrics Threat Assessment Design Review Issue Management Policy & Compliance Security Requirements Implementation Review Environment Hardening Education & Guidance Secure Architecture Security Testing Operational Enablement Źródło: OWASP Software Assurance Maturity Model version 1.5

OWASP Application Security Verification Standard Standard opracowany w celu zapewnienia jednolitego podejścia zarówno do weryfikacji, jak i definiowania wymagań odnośnie bezpieczeństwa aplikacji Łącznie 16 celów kontrolnych wraz z przeszło 200 mechanizmami kontrolnymi Cztery poziomy wymagań bezpieczeństwa uzależnione od złożoności aplikacji: Poziom 0 (Cursory) oraz Poziom 1 (Opportunistic) zawierają wymagania do zastosowania w każdej aplikacji Poziom 2 (Standard) dla aplikacji przetwarzającej wrażliwe dane Poziom 3 (Advanced) dla aplikacji krytycznych z punktu widzenia wpływu na wspierane procesy

Podsumowanie Aplikacje są dziś źródłem największej ilości podatności Brak świadomości zagrożeń jest główną przyczyną tego problemu Konieczne jest wdrożenie kompleksowych zabezpieczeń w tym obszarze

Zapraszam do kontaktu Michał Kurek Partner KPMG Cyber Security michalkurek@kpmg.pl +48 660 440 041

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres