Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Nebezpečí webových aplikací Tomáš Strýček Invex Forum Brno6. 10. 2009
2
AEC, spol. s r.o. Kdo jsme? – Významný hráč v oblasti IT security AEC – člen skupiny CLEVERLANCE Co řešíme? - IT security services ISMS Bezpečnost infrastruktury Bezpečnost aplikací Bezpečnost procesů Bezpečnostní audit Pro koho? Finanční sektor, pojišťovny, telco, utilities, industry a státní správa
3
Rozšířenost webových aplikací Aktuální stav bezpečnosti webových aplikací: 80% útoků směrovaných na webové aplikace Twitter (letos 2 velké úspěšné útoky) Facebook (značné množství úspěšných útoků) Google hacking obchodování s osobními údaji (cena již od 0.06$) …a jak jsou tyto aplikace bezpečné? Posun v oblasti zranitelností od infrastruktury k aplikační vrstvě
4
Co nás čeká? Častější útoky na webový prohlížeč není třeba ovládnout OS, vše potřebné je již v prohlížeči Sofistikovanost útoků na webové aplikace rostoucí složitost aplikací, business logika, implementace HTTPS, Web 2.0.
5
Jak se řeší bezpečnost webových aplikací? a) Vůbec nebo ex-post (po úniku dat, po jiném bezpečnostním incidentu) b) Penetrační testy aplikace dle OWASP a následné opravy v aplikaci a infrastruktuře (ošetření SQL-injection, XSRF, nasazení aplikačního firewallu) c) Bezpečnostní architekt při vývoji aplikace (NIST)
6
Access Control Awareness and Training Audit and Accountability Certification and Security Assessments Configuration Management Identification and Authentication Incident Response System and Services Acquisition System and Communications Protection System and Information Integrity Contingency Planning Maintenance Bezpečnost v cyklu SDLC - Software Development Lifecycle Risk Analysis Architecture Assessment, Secure Design Secure Development Secure Testing (including penetration tests) Integration into infrastructure Migration & Data handling Documentation Support People, processes and technology
7
Co to znamená pro webové aplikací - + Ušetření nákladů na řešení následků bezpečnostních incidentů Ušetření nákladů na odstranění chyb v aplikaci ex-post Zvýšení důvěryhodnosti organizace Zvýšení prvotních nákladů na vývoj Zapojení týmu bezpečnosti (architekt, analytik, tester) Přínosy implementace bezpečnosti do vývoje Analýza rizik Definice bezpečnostních požadavků (autentizace, nepopíratelnost, integrita) Návrh bezpečnostní architektury (infrastruktura, databáze, aplikace) Bezpečnostní metodika pro vývoj Školení bezpečnosti pro vývojový tým Procesy kontrol během vývoje Penetrační testy aplikace Hardering komponent IS Bezpečná konfigurace Řešení bezpečnostních incidentů Security monitoring Bezpečnostní dokumentace Audit aplikace v prostředí Analýza rizik Definice bezpečnostních požadavků (autentizace, nepopíratelnost, integrita) Návrh bezpečnostní architektury (infrastruktura, databáze, aplikace) Bezpečnostní metodika pro vývoj Školení bezpečnosti pro vývojový tým Procesy kontrol během vývoje Penetrační testy aplikace Hardering komponent IS Bezpečná konfigurace Řešení bezpečnostních incidentů Security monitoring Bezpečnostní dokumentace Audit aplikace v prostředí Vždy je třeba vycházet z hodnoty aktiva dané webové aplikace. Kolik do zabezpečení investovat?
8
Děkuji za pozornost Tomáš Strýček Chief of Security Division tomas.strycek@aec.cz tomas.strycek@aec.cz www.aec.cz
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.