Save 37% off PRO during our Black Friday Sale! »

La sicurezza ai tempi dell'ASAP

La sicurezza ai tempi dell'ASAP

Perché ASAP è il male dal punto di vista della sicurezza informatica... tra l'altro.

Follow @codiceinsicuro

857c770ccb0a8e869994f663f09b22ec?s=128

Paolo Perego

November 06, 2014
Tweet

Transcript

  1. La sicurezza ai tempi dell’ASAP La fretta è cattiva consigliera

    Festival ICT - Milano, 6 Novembre 2014 @thesp0nge
  2. $ thesp0nge.inspect • Application Security Specialist • Codesake::Dawn e wordstress

    project leader • technical blogger at https:// codiceinsicuro.it • Papà && Marito && atleta di Taekwon - do ITF • Odia la parola ASAP
  3. Non oggi…

  4. As Soon As Possible

  5. La buona progettazione non è un lusso

  6. Ma noi lo vogliamo ASAP • Mancanza di strategia: non

    so quello che voglio, ma lo voglio ora • Cost saving: team non senior con poca esperienza e senza attitudine a lavorare sotto stress • Time saving: troppi requisiti + troppo codice da scrivere + poco tempo = 0 test https://flic.kr/p/7qaTZM
  7. Roma non è stata costruita in un giorno • Perché

    lo voglio ASAP? • So cosa voglio? • Conosco l’effort necessario per realizzarlo? https://flic.kr/p/4RqnXP
  8. Il potere di dire no! • Approccio agile alla realizzazione

    di un prodotto • Realizzare le funzionalità principali e poi man mano aggiungere solo quello strettamente necessario • Non cadere nella tentazione di fare tutto https://flic.kr/p/8xs5cc
  9. Perché non farlo ASAP?

  10. http://www.idtheftcenter.org/images/breach/DataBreachReports_2014.pdf

  11. Secure As Soon As Possible Ovvero, con raziocinio

  12. SASAP I - Essere consapevoli • Sensibilizzare gli stakeholder sul

    rischio di non eseguire test di security • “Non siamo una banca” non è una scusa; potete essere sotto attacco proprio ora • La sicurezza è nel business e nei processi, la tecnologia è secondaria https://flic.kr/p/3k4LEN
  13. SASAP II - Formazione agli sviluppatori • Linee guida di

    sviluppo sicuro • Come implemento la cifratura? • Che algoritmo di hashing scelgo? • Come si implementa un reset password? • … https://flic.kr/p/bWLxnw
  14. SASAP III - Automatizzare • Meno intervento umano = Meno

    delay = ASAP (sicuro) • Molte parti del SSDLC si possono automatizzare • Concentro i punti di test manuale nei momenti critici e per funzionalità core https://flic.kr/p/i9onV9
  15. SASAP IV - I voti • Do dei voti con

    in scala da A ad F per • livello di sicurezza perimetrale (threat modeling) • livello di sicurezza infrastrutturale (vulnerability management) • livello di sicurezza applicativa (code review) • livello di sicurezza applicativa (penetration test) http://img.wikinut.com/img/1x91f0yehycqs2ie/jpeg/0/grade-F.jpeg
  16. Caso di studio: mettere online wordpress e dormire la notte

  17. Caso di studio: cosa proteggo • Il business vuole mettere

    online un sito basato su wordpress • Tra due giorni • Vediamo perché dormirò tranquillo… https://flic.kr/p/8Up8qK
  18. Caso di studio: Threat model • Intervisto lo stakeholder •

    Censisco i flussi applicativi • Disegno dove sono i server, i DB, i FW perimetrali, i WAF • Indico i protocolli utilizzati • (non è una parte automatizzabile) https://flic.kr/p/fkJPh
  19. Caso di studio: Vulnerability Management • Scelgo uno strumento di

    scansione automatica • Produco periodicamente un report con le vulnerabilità più critiche • Concordo la mitigazione delle vulnerabilità con le persone che gestiscono quei server • Questo processo porterà ad avere macchine gestite e sicure… nel tempo
  20. Caso di studio: code review • Un software in grado

    di eseguire una code review di un altro software è utopia • Si può automatizzare il calcolo di metriche, la ricerca di API insicure o la taint analysis per cercare cross site scripting o sql injection https://flic.kr/p/64tcvq
  21. Caso di studio: WAPT Uso wpscan per testare i miei

    wordpress per vulnerabilità legate alla versione di wp, ai plugin ed ai temi installati
  22. Caso di studio: WAPT Ho realizzato una dashboard in Rails

    che prende i dati dall’output di wpscan e presenta dati sulle scansioni
  23. Caso di studio: WAPT In maniera visuale ho l’andamento nel

    tempo delle vulnerabilità ed il dettaglio delle issue trovate sui miei wordpress
  24. Posso dormire tranquillo E tu? https://flic.kr/p/jZbArT