И разработчик станет хакером!

5b723186bd1e23af569bd623f193a2b9?s=47 oxdef
April 24, 2018

И разработчик станет хакером!

CISO Forum 2018

5b723186bd1e23af569bd623f193a2b9?s=128

oxdef

April 24, 2018
Tweet

Transcript

  1. И разработчик станет хакером!

  2. $ whoami • Лидер российского отделения OWASP • (yandex|google)://oxdef •

    Продуктовая безопасность Mail.Ru
  3. Ответ безопасности на проблему ускоряющегося цикла разработки?

  4. None
  5. Но...

  6. Писать безопасный код сразу лучше!

  7. Проблемы и вопросы • Перестать отвечать на вопросы о типовых

    уязвимостях? • Сделать так, чтобы разработчики были в курсе процессов и контролей ИБ? • Сделать так, чтобы разработчики читали руководства по безопасности? • Как измерить результат?
  8. Безопасность в жизни разработчика • Собеседование • Первый рабочий день

    • Первые строки кода • Первый аудит безопасности • Первые уязвимости в коде...
  9. Собеседование • Узнавайте о новых разработчиках • Если используется HR-платформа,

    то добавьте вопросы по ИБ в неё • Анализируйте результаты собеседования
  10. Первый рабочий день • “Welcome”-встреча и небольшой рассказ о процессах

    и базовых рекомендациях ИБ • Внутренний staff-портал c API • Используйте это API для мониторинга новых разработчиков • Автоматическое приветственное письмо
  11. Александр, добро пожаловать в нашу команду! В нашей Компании мы

    разрабатываем не только красивые, функциональные и быстрые сервисы, но и безопасные. Мы подготовили для тебя руководства по разработке безопасных приложений. Пожалуйста, найди пару минут для ознакомления с ними https://internal-portal/security-guides -- С интересом, Команда ИБ
  12. Портал ИБ

  13. Внутренний портал ИБ • Рукодства по безопасности • Быстрые ссылки

    на сервисы самопроверки • Форма для вопросов • Последние посты с внутреннего блога ИБ • Текущие проекты
  14. Обучение

  15. Структура • Отдельные гайды для разработчиков веб, мобильных и C/C++

    приложений • От основ до типовых проблем и специфичных сценариев • Используйте «карточки» для освещения сложных тем • Встроенный опросник для самопроверки
  16. Содержание • Высокоуровне: аутентифиция и авторизация, валидация входных даных, кодирование

    выходных, обработка ошибок • Процессы, контроли и сервисы ИБ • OWASP Top 10 • Специфичные внутренние сценарии
  17. Проверка знаний

  18. Курсы и опросники • Как измерить, насколько хорошо читают гайды?

    • Опросник не должен требовать много времени • И он не должен быть скучным ;-) • Используйте СПО, например Moodle или OWASP Security Knowledge Framework
  19. Карма

  20. Профиль разработчика • Бейджи за ИБ активности • Специальные флажки

    за чтение гайдов • «Карма безопасности» • Используйте эту информацию для прогнозирования безопасности релизов
  21. Метрики • 60% разработчиков ознакомилсь с руководствами за последний год

    • Стало меньше вопросов о типовых уязвимостях • Стало больше подписчиков обновлений внутреннего портала ИБ • OpenSAMM
  22. Безопасность должна быть ближе к разработчикам. С первых рабочих дней

    и строк кода.
  23. None
  24. Credits • Kung Fury, www.kungfury.com Тарас Иващенко, oxdef@oxdef.info

  25. None