La sicurezza ai tempi dell'ASAP

Transcript

1. La sicurezza ai tempi dell’ASAP La fretta è cattiva consigliera

   Festival ICT - Milano, 6 Novembre 2014 @thesp0nge

2. $ thesp0nge.inspect • Application Security Specialist • Codesake::Dawn e wordstress

   project leader • technical blogger at https:// codiceinsicuro.it • Papà && Marito && atleta di Taekwon - do ITF • Odia la parola ASAP

3. Non oggi…

4. As Soon As Possible

5. La buona progettazione non è un lusso

6. Ma noi lo vogliamo ASAP • Mancanza di strategia: non

   so quello che voglio, ma lo voglio ora • Cost saving: team non senior con poca esperienza e senza attitudine a lavorare sotto stress • Time saving: troppi requisiti + troppo codice da scrivere + poco tempo = 0 test https://flic.kr/p/7qaTZM

7. Roma non è stata costruita in un giorno • Perché

   lo voglio ASAP? • So cosa voglio? • Conosco l’effort necessario per realizzarlo? https://flic.kr/p/4RqnXP

8. Il potere di dire no! • Approccio agile alla realizzazione

   di un prodotto • Realizzare le funzionalità principali e poi man mano aggiungere solo quello strettamente necessario • Non cadere nella tentazione di fare tutto https://flic.kr/p/8xs5cc

9. Perché non farlo ASAP?

10. http://www.idtheftcenter.org/images/breach/DataBreachReports_2014.pdf

11. Secure As Soon As Possible Ovvero, con raziocinio

12. SASAP I - Essere consapevoli • Sensibilizzare gli stakeholder sul

    rischio di non eseguire test di security • “Non siamo una banca” non è una scusa; potete essere sotto attacco proprio ora • La sicurezza è nel business e nei processi, la tecnologia è secondaria https://flic.kr/p/3k4LEN

13. SASAP II - Formazione agli sviluppatori • Linee guida di

    sviluppo sicuro • Come implemento la cifratura? • Che algoritmo di hashing scelgo? • Come si implementa un reset password? • … https://flic.kr/p/bWLxnw

14. SASAP III - Automatizzare • Meno intervento umano = Meno

    delay = ASAP (sicuro) • Molte parti del SSDLC si possono automatizzare • Concentro i punti di test manuale nei momenti critici e per funzionalità core https://flic.kr/p/i9onV9

15. SASAP IV - I voti • Do dei voti con

    in scala da A ad F per • livello di sicurezza perimetrale (threat modeling) • livello di sicurezza infrastrutturale (vulnerability management) • livello di sicurezza applicativa (code review) • livello di sicurezza applicativa (penetration test) http://img.wikinut.com/img/1x91f0yehycqs2ie/jpeg/0/grade-F.jpeg

16. Caso di studio: mettere online wordpress e dormire la notte

17. Caso di studio: cosa proteggo • Il business vuole mettere

    online un sito basato su wordpress • Tra due giorni • Vediamo perché dormirò tranquillo… https://flic.kr/p/8Up8qK

18. Caso di studio: Threat model • Intervisto lo stakeholder •

    Censisco i flussi applicativi • Disegno dove sono i server, i DB, i FW perimetrali, i WAF • Indico i protocolli utilizzati • (non è una parte automatizzabile) https://flic.kr/p/fkJPh

19. Caso di studio: Vulnerability Management • Scelgo uno strumento di

    scansione automatica • Produco periodicamente un report con le vulnerabilità più critiche • Concordo la mitigazione delle vulnerabilità con le persone che gestiscono quei server • Questo processo porterà ad avere macchine gestite e sicure… nel tempo

20. Caso di studio: code review • Un software in grado

    di eseguire una code review di un altro software è utopia • Si può automatizzare il calcolo di metriche, la ricerca di API insicure o la taint analysis per cercare cross site scripting o sql injection https://flic.kr/p/64tcvq

21. Caso di studio: WAPT Uso wpscan per testare i miei

    wordpress per vulnerabilità legate alla versione di wp, ai plugin ed ai temi installati

22. Caso di studio: WAPT Ho realizzato una dashboard in Rails

    che prende i dati dall’output di wpscan e presenta dati sulle scansioni

23. Caso di studio: WAPT In maniera visuale ho l’andamento nel

    tempo delle vulnerabilità ed il dettaglio delle issue trovate sui miei wordpress

24. Posso dormire tranquillo E tu? https://flic.kr/p/jZbArT