Smau milano 2013 paolo perego

Transcript of Smau milano 2013 paolo perego

Io faccio application security, e tu?

Smau - Milano, Italy - Ottobre 2013 @armoredcodeThursday, October 24, 13

self.inspect

https://github.com/thesp0nge

@thesp0nge

http://armoredcode.com

Thursday, October 24, 13

https://twitter.com/thesp0nge

https://github.com/thesp0nge

Un gioco: la scorecard dell’application security

• 4 categorie: tool, team, workflow, awareness

• 5 temi per ciascuna categoria

• ciascun tema vedrà assegnato un punteggio

• a fine talk avrete un metro per giudicare la vostra application security

3Thursday, October 24, 13

1. I tool• L’efficacia di uno strumento è indipendente

dal suo costo a budget

• “A fool with a tool is still a fool”

• Le aree che dovrete coprire riguardano:

• gli asset fisici (server, postazioni di lavoro, apparati di rete)

• i database

• le applicazioni web (test dinamici e test statici)

1. I tool

5

“Come scegli i tuoi strumenti? Licenze commerciali o tool opensource”

Risposta Punteggio

Vengono utilizzati sia tool commerciali che opensource

+3

Abbiamo solo strumenti commerciali / opensource

+1

Non abbiamo alcun strumento di scansione automatica

-2

1. I tool

5

“Come scegli i tuoi strumenti? Licenze commerciali o tool opensource”

Risposta Punteggio

Vengono utilizzati sia tool commerciali che opensource

+3

Abbiamo solo strumenti commerciali / opensource

+1

Non abbiamo alcun strumento di scansione automatica

-2

1. I tool

6

“Qual è stato il criterio di valutazione per la scelta dei tool?”

Risposta Punteggio

Leggendo su blog e forum quali fossero gli strumenti migliori

+3

Scelti dal magic quadrant Gartner +1

Per il blasone del vendor -2

1. I tool

6

“Qual è stato il criterio di valutazione per la scelta dei tool?”

Risposta Punteggio

Leggendo su blog e forum quali fossero gli strumenti migliori

+3

Scelti dal magic quadrant Gartner +1

Per il blasone del vendor -2

1. I tool

7

“Sono s ta t i s ce l t i so lamente s t rument i commerciali?”

Risposta Punteggio

No, sono stati scelti in base alla loro usabilità/caratteristiche

+3

Sì, il supporto in caso di problemi è la cosa più importante

0

Sì, il tool più costoso è sinonimo di affidabile -2

1. I tool

7

“Sono s ta t i s ce l t i so lamente s t rument i commerciali?”

Risposta Punteggio

No, sono stati scelti in base alla loro usabilità/caratteristiche

+3

Sì, il supporto in caso di problemi è la cosa più importante

0

Sì, il tool più costoso è sinonimo di affidabile -2

1. I tool

8

“I tool possono interagire tra di loro? Esistono delle API?”

Risposta Punteggio

Sì +3

No 0

1. I tool

8

“I tool possono interagire tra di loro? Esistono delle API?”

Risposta Punteggio

Sì +3

No 0

1. I tool

9

“I tuoi strumenti vengono effettivamente utilizzati?”

Risposta Punteggio

Sì, quotidianamente +3

Sì, qualche volta -1

No, mai -2

1. I tool

9

“I tuoi strumenti vengono effettivamente utilizzati?”

Risposta Punteggio

Sì, quotidianamente +3

Sì, qualche volta -1

No, mai -2

2. Il team

• Un team preparato e motivato è alla base

• Il team deve essere di una numerosità adeguata per dare un servizio di qualità

• Il team deve mantenersi aggiornato ed avere buone competenze tecniche (almeno pari a quelle degli attaccanti)

2. Il team

11

“Esiste in azienda un team interno che si occupa di application security?”

Risposta Punteggio

Sì, ci sono anche delle persone interne per i test +4

Sì, ma si occupano solo di coordinare i fornitori +2

No, la parte tecnologica di test è totalmente esternalizzata

-4

2. Il team

11

“Esiste in azienda un team interno che si occupa di application security?”

Risposta Punteggio

Sì, ci sono anche delle persone interne per i test +4

Sì, ma si occupano solo di coordinare i fornitori +2

No, la parte tecnologica di test è totalmente esternalizzata

-4

2. Il team

12

“Il tuo team spende del tempo nella lettura di blog/fonti twitter di appsec/riviste tecniche di settore?”

Risposta Punteggio

Sì, regolarmente +4

Sì, a volte +2

No, mai / Non so -4

2. Il team

12

“Il tuo team spende del tempo nella lettura di blog/fonti twitter di appsec/riviste tecniche di settore?”

Risposta Punteggio

Sì, regolarmente +4

Sì, a volte +2

No, mai / Non so -4

2. Il team

13

“Il tuo team ha il giusto committment?”

Risposta Punteggio

Sì, sulle aree di competenza sono decision maker e tracciano la strategia del gruppo di lavoro

+4

Danno un loro contributo tecnico ma la decisione è del security manager

+2

Non sono interpellati su decisioni strategiche -4

2. Il team

13

“Il tuo team ha il giusto committment?”

Risposta Punteggio

Sì, sulle aree di competenza sono decision maker e tracciano la strategia del gruppo di lavoro

+4

Danno un loro contributo tecnico ma la decisione è del security manager

+2

Non sono interpellati su decisioni strategiche -4

2. Il team

14

“Il tuo team ha il giusto training?”

Risposta Punteggio

Hanno a disposizione un budget per libri/conferenze/corsi

+4

Non hanno un budget a disposizione ma sono organizzati corsi tematici dal team

+2

Non hanno un percorso formativo all'interno del loro lavoro

-4

2. Il team

14

“Il tuo team ha il giusto training?”

Risposta Punteggio

Hanno a disposizione un budget per libri/conferenze/corsi

+4

Non hanno un budget a disposizione ma sono organizzati corsi tematici dal team

+2

Non hanno un percorso formativo all'interno del loro lavoro

-4

2. Il team

15

“Il tuo team partecipa a conferenze e/o community di settore?”

Risposta Punteggio

Sì, spesso anche come relatori in conferenze tematiche

+4

Sì, ma hanno un ruolo passivo +2

No -4

2. Il team

15

“Il tuo team partecipa a conferenze e/o community di settore?”

Risposta Punteggio

Sì, spesso anche come relatori in conferenze tematiche

+4

Sì, ma hanno un ruolo passivo +2

No -4

3. Il workflow

• Procedure snelle ed ergonomiche sono alla base di un processo efficace di application security

• Solo questa categoria ha un bonus per ciascun tema

3. Il workflow

17

“Esiste una procedura di vulnerability management per server?”

Risposta Punteggio

Sì, server, desktop e laptop aziendali (*) +2

Sì, solo per i server (*) +1

No -5

(*) +1 se sono inclusi i server di collaudo; +2 se sono inclusi i server di sviluppo

3. Il workflow

17

“Esiste una procedura di vulnerability management per server?”

Risposta Punteggio

Sì, server, desktop e laptop aziendali (*) +2

Sì, solo per i server (*) +1

No -5

3. Il workflow

18

“Sono applicate procedure di hardening secondo uno standard di compliance?”

Risposta Punteggio

Sì (*) +2

No -5

3. Il workflow

18

“Sono applicate procedure di hardening secondo uno standard di compliance?”

Risposta Punteggio

Sì (*) +2

No -5

3. Il workflow

19

“Vengono eseguiti regolarmente dei penetration test sulle web application?”

Risposta Punteggio

Sì (*) +2

Solo al momento del rilascio (*) +1

No -5

(*) +1 se sono incluse le applicazioni web Intranet; +2 se sono inclusi le applicazioni in collaudo

3. Il workflow

19

“Vengono eseguiti regolarmente dei penetration test sulle web application?”

Risposta Punteggio

Sì (*) +2

Solo al momento del rilascio (*) +1

No -5

(*) +1 se sono incluse le applicazioni web Intranet; +2 se sono inclusi le applicazioni in collaudo

3. Il workflow

20

“Vengono eseguite regolarmente revisioni del codice applicativo?”

Risposta Punteggio

Sì, ad ogni minor release dei software critici per l'azienda

+5

Sì, ma solo per le major release dei software critici per l'azienda

+2

Sì, ma solo al rilascio di una nuova applicazione -2

No -5

3. Il workflow

20

“Vengono eseguite regolarmente revisioni del codice applicativo?”

Risposta Punteggio

Sì, ad ogni minor release dei software critici per l'azienda

+5

Sì, ma solo per le major release dei software critici per l'azienda

+2

Sì, ma solo al rilascio di una nuova applicazione -2

No -5

3. Il workflow

21

“Vengono effettuat i per iodicamente degl i assessment sui database?”

Risposta Punteggio

Sì (*) +2

No -5

(*) +1 se sono inclusi i db di sviluppo; +2 se sono inclusi i db di collaudo

3. Il workflow

21

“Vengono effettuat i per iodicamente degl i assessment sui database?”

Risposta Punteggio

Sì (*) +2

No -5

(*) +1 se sono inclusi i db di sviluppo; +2 se sono inclusi i db di collaudo

4. Awareness

• La consapevolezza delle possibili minacce interne/esterne è il primo passo per un buon processo di application security

• L’awareness deve essere per tutti, IT e non

• Pesa infatti come tutte e 3 le categorie precedenti

4. Awareness

23

“Vengono tenuti incontri schedulati con gli amministratori di sistema? Costruite un piano di mitigazione delle principali vulnerabilità?”

Risposta Punteggio

Sì, compresi i sistemisti in outsourcing presenti in azienda

+10

Sì, solo i sistemisti interni +5

No -10

4. Awareness

23

“Vengono tenuti incontri schedulati con gli amministratori di sistema? Costruite un piano di mitigazione delle principali vulnerabilità?”

Risposta Punteggio

Sì, compresi i sistemisti in outsourcing presenti in azienda

+10

Sì, solo i sistemisti interni +5

No -10

4. Awareness

24

“Vengono tenuti incontri schedulati con gli sviluppatori per indirizzare le vulnerabilità applicative?”

Risposta Punteggio

Sì, compresi gli sviluppatori in outsourcing presenti in azienda

+10

Sì, solo i team di sviluppo interni +5

No -10

4. Awareness

24

“Vengono tenuti incontri schedulati con gli sviluppatori per indirizzare le vulnerabilità applicative?”

Risposta Punteggio

Sì, compresi gli sviluppatori in outsourcing presenti in azienda

+10

Sì, solo i team di sviluppo interni +5

No -10

4. Awareness

25

“Vengono tenute sessioni tematiche su hardening/sviluppo sicuro?”

Risposta Punteggio

Sì, compreso il personale in outsourcing presente in azienda

+10

Sì, solo i team interni +5

No -10

4. Awareness

25

“Vengono tenute sessioni tematiche su hardening/sviluppo sicuro?”

Risposta Punteggio

Sì, compreso il personale in outsourcing presente in azienda

+10

Sì, solo i team interni +5

No -10

4. Awareness

26

“Sono state emanate delle linee guida per i tuoi outsourcer?”

Risposta Punteggio

Sì +10

No -10

4. Awareness

26

“Sono state emanate delle linee guida per i tuoi outsourcer?”

Risposta Punteggio

Sì +10

No -10

4. Awareness

27

“Sono state emanate delle linee guida base per la sicurezza della postazione di lavoro?”

Risposta Punteggio

Sì e sono state implementate in un ghost usato per clonare tutte le nuove macchine

+10

Sì ma vengono implementate con una procedura manuale

+5

Sì ma non vengono implementate su tutte le macchine

+2

No -10

4. Awareness

27

“Sono state emanate delle linee guida base per la sicurezza della postazione di lavoro?”

Risposta Punteggio

Sì e sono state implementate in un ghost usato per clonare tutte le nuove macchine

+10

Sì ma vengono implementate con una procedura manuale

+5

Sì ma non vengono implementate su tutte le macchine

+2

No -10

I punteggi

Hai ottenuto più di 90 punti...

29

A OTTIMO LAVORO

Hai ottenuto tra i 70 e i 90 punti...

30

B Buon punteggio, hai ancora margini di miglioramento

31

CHai iniziato ad introdurre l’application security. Non fermarti proprio ora!

32

DIl tuo processo di application security non è adeguato.Forse va rivisto in toto.Se hai appena iniziato, rifai questo test tra un anno e non scoraggiarti.

Hai ottenuto meno di 20 punti...

33

E Al momento non si può dire che tu faccia application security in azienda. Se hai appena iniziato, ripeti questo test tra 2 anni.Se non hai appena iniziato, prova a fare una review del tuo processo.