Abstract image of a woman sitting on books and studying on a laptop

«Практика Software Security в Сбертех», Дмитрий Янченко и Юрий Шабалин, эксперты отдела тестирования информационной безопасности приложений, АО «Сбербанк-Технологии»

Mail.ru Group, profile picture
Mail.ru Group

Документ описывает интеграцию практик безопасности программного обеспечения в жизненный цикл разработки для крупнейшего банка России и Восточной Европы, подчеркивая важность взаимодействия с производственными подразделениями и необходимость развития внутренних компетенций. Основное внимание уделяется управлению уязвимостями и рисками, а также распространению базовых практик безопасной разработки для достижения максимального эффекта. Включены рекомендации по автоматизации процессов и анализу угроз с учетом реалистичных уязвимостей.

Software
1 of 23
Downloaded 10 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Практика Software Security в СБТ ЮРИЙ ШАБАЛИН
Комплексно интегрировать практики защиты ПО в жизненный цикл разработки (SDLC) для крупнейшего Банка России и Восточной Европы.  Позиционирование сервиса внутри и взаимодействие с производственными подразделениями  Несовершенный инструментарий  Минимальная экспертиза на рынке  Масштабирование CHALLENGES ЗАДАЧИ ВЫЗОВЫ 2
 Интеграция в проекты на начальных стадиях жизненного цикла разработки БАЗОВЫЕ ПОДХОДЫ СТРАТЕГИЯ 3 ПРИОРИТЕТЫ  Приложения и сервисы с высоким уровнем риска  Фокус на базовые практики Software Security 20% усилий vs. 80% эффекта  Реалистичные угрозы и уязвимости МАСШТАБИРУЕМОСТЬ  Развитие внутренних ключевых компетенций  Автоматизация процесса
СТАНДАРТЫ БЕЗОПАСНОСТИ vs ПРОЦЕСС РАЗРАБОТКИ 4 OWASP OpenSAMM СТО БР ИББСBSIMM СТАРТ ПРОЕКТА РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕАНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА РАЗРАБОТКА ЗАЩИЩЕННОГО ПО
СТАРТ ПРОЕКТА РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕАНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА 5 Управление ЖЦ уязвимости Управление рисками ИБ Моделирование угроз Анализ бизнес- требований Разработка требований ИБ Гайдлайны Анализ платформ и библиотек SAST CI Разработка спец. правил анализа Код-ревью Статический анализ кода Код-ревью Динамически й анализ Фаззинг Пентест Конфигурацион ный анализ Ретроспектива Пентест Динамический анализ Анализ системных требований Процессы Управление компетенциями Тренинги Осведомлен ность Гайдлайны Внутренние конференции Информационный портал Геймификация Архитектура и дизайн Разработка Тестирование
СТАРТ ПРОЕКТА РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕАНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА 5 Управление ЖЦ уязвимости Управление рисками ИБ Моделирование угроз Анализ бизнес- требований Разработка требований ИБ Гайдлайны Анализ платформ и библиотек SAST CI Разработка спец. правил анализа Код-ревью Статический анализ кода Код-ревью Динамически й анализ Фаззинг Пентест Конфигурацион ный анализ Ретроспектива Пентест Динамический анализ Анализ системных требований Процессы Управление компетенциями Тренинги Осведомлен ность Гайдлайны Внутренние конференции Информационный портал Геймификация Архитектура и дизайн Разработка Тестирование
СТАРТ ПРОЕКТА РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕАНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА 5 Управление ЖЦ уязвимости Управление рисками ИБ Моделирование угроз Анализ бизнес- требований Разработка требований ИБ Гайдлайны Анализ платформ и библиотек SAST CI Разработка спец. правил анализа Код-ревью Статический анализ кода Код-ревью Динамически й анализ Фаззинг Пентест Конфигурацион ный анализ Ретроспектива Пентест Динамический анализ Анализ системных требований Процессы Управление компетенциями Тренинги Осведомлен ность Гайдлайны Внутренние конференции Информационный портал Геймификация Архитектура и дизайн Разработка Тестирование
СТАРТ ПРОЕКТА РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕАНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА 5 Управление ЖЦ уязвимости Управление рисками ИБ Моделирование угроз Анализ бизнес- требований Разработка требований ИБ Гайдлайны Анализ платформ и библиотек SAST CI Разработка спец. правил анализа Код-ревью Статический анализ кода Код-ревью Динамически й анализ Фаззинг Пентест Конфигурацион ный анализ Ретроспектива Пентест Динамический анализ Анализ системных требований Процессы Управление компетенциями Тренинги Осведомлен ность Гайдлайны Внутренние конференции Информационный портал Геймификация Архитектура и дизайн Разработка Тестирование
9 Процесс взаимодействия с проектными командами 6 - скоуп - даты - релизы Архитектурный портал Архитектура National Vulnerability Database Анализ библиотек Уязвимости библитек Дизайн Требования Модель угрозГайдлайныТребования Проектные команды Подразделение Software Security ЗависимостиПроектный репозиторий
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 00001 Управление уязвимостями в ЖЦ 00010 Управление рисками ИБ 00011 КоТ ИБ 00100 Ретроспектива 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 00001 Управление уязвимостями в ЖЦ 00010 Управление рисками ИБ 00011 КоТ ИБ 00100 Ретроспектива 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 00101 Шаблоны защищенной архитектуры 00110 Сервисы уровня предприятия 00111 Инструменты защиты архитектуры 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 01000 Частная модель угроз 01001 Частная модель нарушителя 01010 Классификация данных 01011 Классификация пользователей 01101 Разработка требований ИБ 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 01000 Частная модель угроз 01001 Частная модель нарушителя 01010 Классификация данных 01011 Классификация пользователей 01101 Разработка требований ИБ 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 01101 Анализ компонент 01110 Статический анализ исходного кода (CI) 01111 Разработка спец. правил анализа кода 10000 Требования к защищенной конфигурации 10001 Ручная ревизия критичных участков кода 10010 Использование согласованных компонент 10011 Использование гайдлайнов разработки 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 01101 Анализ компонент 01110 Статический анализ исходного кода (CI) 01111 Разработка спец. правил анализа кода 10000 Требования к защищенной конфигурации 10001 Ручная ревизия критичных участков кода 10010 Использование согласованных компонент 10011 Использование гайдлайнов разработки 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 10100 Методика тестирования ИБ 10101 Сценарии пен. тестов 10110 Разработка спец. инструментария 10111 Ручная ревизия критичных участков кода 11000 Анализ конфигурации 11001 Пен. тест 11010 Fuzzing-тестирование 11011 Динамический анализ 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
HA KMAN CTF Awareness Education Misconfiguration Authentication XSS XXE Injection Deliverable Security CSRF Testing OWASP Exploit CWE NVDVulnerabilityBSIMM Threat Black-box White-box Risk Hack Architecture PCI SAST DAST Exposure Data SDLC SAST Уже сделано:  Гайдлайны разработки  Базовые интенсив-курсы  Внутренние конференции  Геймификация (соревнования в формате CTF) В планах:  Meet-up’ы  Новые версии CTF 8 РАЗВИТИЕ КОМПЕТЕНЦИЙ
HA KMAN CTF Awareness Education Misconfiguration Authentication XSS XXE Injection Deliverable Security CSRF Testing OWASP Exploit CWE NVDVulnerabilityBSIMM Threat Black-box White-box Risk Hack Architecture PCI SAST DAST Exposure Data SDLC SAST Уже сделано:  Гайдлайны разработки  Базовые интенсив-курсы  Внутренние конференции  Геймификация (соревнования в формате CTF) В планах:  Meet-up’ы  Новые версии CTF 8 РАЗВИТИЕ КОМПЕТЕНЦИЙ
11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 11 0001 100100101010 000100100 0101 11 0 01 00 01101010100010011 11 0 01 00 01101010100010011 0 000 1111 001 0111100 001001 00100 1 10 1 00 1 1 1 100 00 111 10 11 000 10 10 0 001110 10 0 00 00 11 01000111000 1 1 1 0 00011 1 1 1 00 1 0 01100 1 1 01 01 0001 2 01111 00 1 0 0 1 1 0 00 10 01 11100 011100 01 111 000 0 10 00 1 0 0 01 0 0011 00011ЭВОЛЮЦИЯ ПРОЦЕССА УСКОРЕНИЕИССЛЕДОВАНИЕ РЕАГИРОВАНИЕ Анализ и исправление кода ПРОАКТИВНЫЙ ПОДХОД Тиражирование лучших практик Требования Архитектура Исходный код Стенды Интервью с командой Выделение в проектной команде роли Security Champion Передача практик в проектную команду Наращивание экспертизы Повторяемый процесс Экспертная поддержка Тренинги Контроль результатов Безопасность ПОСТФАКТУМ Безопасность В ПРОЦЕССЕ разработки 9
Спасибо за внимание! Юрий Шабалин Software Security @ СберТех SBT_DK_OTIB@sberbank.ru 10
Come to the Green side… 11SBT_DK_OTIB@sberbank.ru

More Related Content

PDF
Практика безопасной разработки в СберТех / Дмитрий Янченко (СберТех)
Ontico
 
PDF
«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик И...
Mail.ru Group
 
PDF
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
Mail.ru Group
 
PDF
«Product Security Incident Response Team (PSIRT) - Изнутри Cisco PSIRT», Алек...
Mail.ru Group
 
PDF
Digital : ce qu'il faut faire vite, monsieur Macron - Olivier Mathiot - Franc...
West Web Valley
 
PPTX
Posthuman invention visual aid
dougs1993
 
PPTX
мой компьютер лаб_0
Vladimir Burdaev
 
PDF
看的更精準 ─ 目光行銷與 Big data 的相遇
Etu Solution
 
Практика безопасной разработки в СберТех / Дмитрий Янченко (СберТех)
Ontico
 
«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик И...
Mail.ru Group
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
Mail.ru Group
 
«Product Security Incident Response Team (PSIRT) - Изнутри Cisco PSIRT», Алек...
Mail.ru Group
 
Digital : ce qu'il faut faire vite, monsieur Macron - Olivier Mathiot - Franc...
West Web Valley
 
Posthuman invention visual aid
dougs1993
 
мой компьютер лаб_0
Vladimir Burdaev
 
看的更精準 ─ 目光行銷與 Big data 的相遇
Etu Solution
 

Similar to «Практика Software Security в Сбертех», Дмитрий Янченко и Юрий Шабалин, эксперты отдела тестирования информационной безопасности приложений, АО «Сбербанк-Технологии» (12)

PDF
20120912 falltermopening
Computer Science Club
 
PDF
20120912 falltermopening
Computer Science Club
 
PDF
Journey To Open Source
Prottay Karim
 
PDF
Как отбирают стартапы в бизнес-инкубаторах и работают с ними
Школьная лига РОСНАНО
 
PPTX
сегментированные поисковые системы»
Avtozapchasti Rossii
 
PDF
Z-таблицы
SixSigmaOnline
 
PDF
Цена свободы и безопасности. Индекс ИКТ-законодательств Евразии за 2016г.
Vadim Dryganov
 
PDF
プログラミング言語の仕組み
mrmkmrm
 
PDF
Презентация комплекса "Простой бизнес"
kulibin
 
PPTX
кодирование графической информации
Princess_Tusi
 
PDF
KUICS 리버싱 스터디 1회차
준혁 이
 
PDF
Slides -a._beloborodov
BioinformaticsInstitute
 
20120912 falltermopening
Computer Science Club
 
20120912 falltermopening
Computer Science Club
 
Journey To Open Source
Prottay Karim
 
Как отбирают стартапы в бизнес-инкубаторах и работают с ними
Школьная лига РОСНАНО
 
сегментированные поисковые системы»
Avtozapchasti Rossii
 
Z-таблицы
SixSigmaOnline
 
Цена свободы и безопасности. Индекс ИКТ-законодательств Евразии за 2016г.
Vadim Dryganov
 
プログラミング言語の仕組み
mrmkmrm
 
Презентация комплекса "Простой бизнес"
kulibin
 
кодирование графической информации
Princess_Tusi
 
KUICS 리버싱 스터디 1회차
준혁 이
 
Slides -a._beloborodov
BioinformaticsInstitute
 
Ad

More from Mail.ru Group (20)

PDF
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Mail.ru Group
 
PDF
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
Mail.ru Group
 
PDF
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Mail.ru Group
 
PDF
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Mail.ru Group
 
PDF
Управление инцидентами в Почте Mail.ru, Антон Викторов
Mail.ru Group
 
PDF
DAST в CI/CD, Ольга Свиридова
Mail.ru Group
 
PDF
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Mail.ru Group
 
PDF
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
Mail.ru Group
 
PDF
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
Mail.ru Group
 
PDF
WebAuthn в реальной жизни, Анатолий Остапенко
Mail.ru Group
 
PDF
AMP для электронной почты, Сергей Пешков
Mail.ru Group
 
PDF
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Mail.ru Group
 
PDF
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Mail.ru Group
 
PDF
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Mail.ru Group
 
PDF
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Mail.ru Group
 
PDF
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Mail.ru Group
 
PDF
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Mail.ru Group
 
PDF
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Mail.ru Group
 
PDF
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Mail.ru Group
 
PDF
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Mail.ru Group
 
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Mail.ru Group
 
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
Mail.ru Group
 
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Mail.ru Group
 
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Mail.ru Group
 
Управление инцидентами в Почте Mail.ru, Антон Викторов
Mail.ru Group
 
DAST в CI/CD, Ольга Свиридова
Mail.ru Group
 
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Mail.ru Group
 
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
Mail.ru Group
 
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
Mail.ru Group
 
WebAuthn в реальной жизни, Анатолий Остапенко
Mail.ru Group
 
AMP для электронной почты, Сергей Пешков
Mail.ru Group
 
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Mail.ru Group
 
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Mail.ru Group
 
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Mail.ru Group
 
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Mail.ru Group
 
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Mail.ru Group
 
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Mail.ru Group
 
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Mail.ru Group
 
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Mail.ru Group
 
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Mail.ru Group
 
Ad

«Практика Software Security в Сбертех», Дмитрий Янченко и Юрий Шабалин, эксперты отдела тестирования информационной безопасности приложений, АО «Сбербанк-Технологии»

  • 1. Практика Software Security в СБТ ЮРИЙ ШАБАЛИН
  • 2. Комплексно интегрировать практики защиты ПО в жизненный цикл разработки (SDLC) для крупнейшего Банка России и Восточной Европы.  Позиционирование сервиса внутри и взаимодействие с производственными подразделениями  Несовершенный инструментарий  Минимальная экспертиза на рынке  Масштабирование CHALLENGES ЗАДАЧИ ВЫЗОВЫ 2
  • 3.  Интеграция в проекты на начальных стадиях жизненного цикла разработки БАЗОВЫЕ ПОДХОДЫ СТРАТЕГИЯ 3 ПРИОРИТЕТЫ  Приложения и сервисы с высоким уровнем риска  Фокус на базовые практики Software Security 20% усилий vs. 80% эффекта  Реалистичные угрозы и уязвимости МАСШТАБИРУЕМОСТЬ  Развитие внутренних ключевых компетенций  Автоматизация процесса
  • 4. СТАНДАРТЫ БЕЗОПАСНОСТИ vs ПРОЦЕСС РАЗРАБОТКИ 4 OWASP OpenSAMM СТО БР ИББСBSIMM СТАРТ ПРОЕКТА РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕАНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА РАЗРАБОТКА ЗАЩИЩЕННОГО ПО
  • 5. СТАРТ ПРОЕКТА РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕАНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА 5 Управление ЖЦ уязвимости Управление рисками ИБ Моделирование угроз Анализ бизнес- требований Разработка требований ИБ Гайдлайны Анализ платформ и библиотек SAST CI Разработка спец. правил анализа Код-ревью Статический анализ кода Код-ревью Динамически й анализ Фаззинг Пентест Конфигурацион ный анализ Ретроспектива Пентест Динамический анализ Анализ системных требований Процессы Управление компетенциями Тренинги Осведомлен ность Гайдлайны Внутренние конференции Информационный портал Геймификация Архитектура и дизайн Разработка Тестирование
  • 6. СТАРТ ПРОЕКТА РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕАНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА 5 Управление ЖЦ уязвимости Управление рисками ИБ Моделирование угроз Анализ бизнес- требований Разработка требований ИБ Гайдлайны Анализ платформ и библиотек SAST CI Разработка спец. правил анализа Код-ревью Статический анализ кода Код-ревью Динамически й анализ Фаззинг Пентест Конфигурацион ный анализ Ретроспектива Пентест Динамический анализ Анализ системных требований Процессы Управление компетенциями Тренинги Осведомлен ность Гайдлайны Внутренние конференции Информационный портал Геймификация Архитектура и дизайн Разработка Тестирование
  • 7. СТАРТ ПРОЕКТА РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕАНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА 5 Управление ЖЦ уязвимости Управление рисками ИБ Моделирование угроз Анализ бизнес- требований Разработка требований ИБ Гайдлайны Анализ платформ и библиотек SAST CI Разработка спец. правил анализа Код-ревью Статический анализ кода Код-ревью Динамически й анализ Фаззинг Пентест Конфигурацион ный анализ Ретроспектива Пентест Динамический анализ Анализ системных требований Процессы Управление компетенциями Тренинги Осведомлен ность Гайдлайны Внутренние конференции Информационный портал Геймификация Архитектура и дизайн Разработка Тестирование
  • 8. СТАРТ ПРОЕКТА РАЗВЕРТЫВАНИЕ ЗАКРЫТИЕАНАЛИЗ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ РЕАЛИЗАЦИЯ ТЕСТИРОВАНИЕ ПРИЕМКА 5 Управление ЖЦ уязвимости Управление рисками ИБ Моделирование угроз Анализ бизнес- требований Разработка требований ИБ Гайдлайны Анализ платформ и библиотек SAST CI Разработка спец. правил анализа Код-ревью Статический анализ кода Код-ревью Динамически й анализ Фаззинг Пентест Конфигурацион ный анализ Ретроспектива Пентест Динамический анализ Анализ системных требований Процессы Управление компетенциями Тренинги Осведомлен ность Гайдлайны Внутренние конференции Информационный портал Геймификация Архитектура и дизайн Разработка Тестирование
  • 9. 9 Процесс взаимодействия с проектными командами 6 - скоуп - даты - релизы Архитектурный портал Архитектура National Vulnerability Database Анализ библиотек Уязвимости библитек Дизайн Требования Модель угрозГайдлайныТребования Проектные команды Подразделение Software Security ЗависимостиПроектный репозиторий
  • 10. 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
  • 11. 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 00001 Управление уязвимостями в ЖЦ 00010 Управление рисками ИБ 00011 КоТ ИБ 00100 Ретроспектива 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
  • 12. 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 00001 Управление уязвимостями в ЖЦ 00010 Управление рисками ИБ 00011 КоТ ИБ 00100 Ретроспектива 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
  • 13. 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 00101 Шаблоны защищенной архитектуры 00110 Сервисы уровня предприятия 00111 Инструменты защиты архитектуры 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
  • 14. 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 01000 Частная модель угроз 01001 Частная модель нарушителя 01010 Классификация данных 01011 Классификация пользователей 01101 Разработка требований ИБ 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
  • 15. 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 01000 Частная модель угроз 01001 Частная модель нарушителя 01010 Классификация данных 01011 Классификация пользователей 01101 Разработка требований ИБ 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
  • 16. 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 01101 Анализ компонент 01110 Статический анализ исходного кода (CI) 01111 Разработка спец. правил анализа кода 10000 Требования к защищенной конфигурации 10001 Ручная ревизия критичных участков кода 10010 Использование согласованных компонент 10011 Использование гайдлайнов разработки 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
  • 17. 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 01101 Анализ компонент 01110 Статический анализ исходного кода (CI) 01111 Разработка спец. правил анализа кода 10000 Требования к защищенной конфигурации 10001 Ручная ревизия критичных участков кода 10010 Использование согласованных компонент 10011 Использование гайдлайнов разработки 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
  • 18. 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 1 1 1 00 1 0 011 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 1 1 11 001 100 11101 01001 1 01 010 1001 11 0 01 00 011 10 1 00 1 1 1 10 0 00 00 11 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 1001 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 10100 Методика тестирования ИБ 10101 Сценарии пен. тестов 10110 Разработка спец. инструментария 10111 Ручная ревизия критичных участков кода 11000 Анализ конфигурации 11001 Пен. тест 11010 Fuzzing-тестирование 11011 Динамический анализ 11 0 01 00 011 10 1 00 1 1 1 01 01 1 10 0 00 00 11 00 10 01 0 1 1 1 00 1 0 011 01 0 0 100101 0 00 1 0 1 1 1 000 01 0 0 100101 01 111 000 0 10 0 10011 001 0 0 0 110011 ../ ОБЩИЕ ПРАКТИКИ ../ АРХИТЕКТУРА ../ ТРЕБОВАНИЯ ../ РАЗРАБОТКА ../ ТЕСТИРОВАНИЕ 7 Архитектура стека СБТ & Практики App Sec
  • 19. HA KMAN CTF Awareness Education Misconfiguration Authentication XSS XXE Injection Deliverable Security CSRF Testing OWASP Exploit CWE NVDVulnerabilityBSIMM Threat Black-box White-box Risk Hack Architecture PCI SAST DAST Exposure Data SDLC SAST Уже сделано:  Гайдлайны разработки  Базовые интенсив-курсы  Внутренние конференции  Геймификация (соревнования в формате CTF) В планах:  Meet-up’ы  Новые версии CTF 8 РАЗВИТИЕ КОМПЕТЕНЦИЙ
  • 20. HA KMAN CTF Awareness Education Misconfiguration Authentication XSS XXE Injection Deliverable Security CSRF Testing OWASP Exploit CWE NVDVulnerabilityBSIMM Threat Black-box White-box Risk Hack Architecture PCI SAST DAST Exposure Data SDLC SAST Уже сделано:  Гайдлайны разработки  Базовые интенсив-курсы  Внутренние конференции  Геймификация (соревнования в формате CTF) В планах:  Meet-up’ы  Новые версии CTF 8 РАЗВИТИЕ КОМПЕТЕНЦИЙ
  • 21. 11 0 01 00 01101010100010011 10 1 00 1 1 1 100 00 111 10 10 0 00 00 11 01000111000 00 1 1 1 1 00 1 0 01100 1 1111000 00 1 01 0 0 100101 111 000 001111 01 111 000 0 10 00 1111 10000 0 10011 001 0000 1010101 0 0 0 1100111111 0101010 0000 0 1 1 11 001 100 111100 001 11101 01001 010011111 1 01 010 100100111 11 0001 100100101010 000100100 0101 11 0 01 00 01101010100010011 11 0 01 00 01101010100010011 0 000 1111 001 0111100 001001 00100 1 10 1 00 1 1 1 100 00 111 10 11 000 10 10 0 001110 10 0 00 00 11 01000111000 1 1 1 0 00011 1 1 1 00 1 0 01100 1 1 01 01 0001 2 01111 00 1 0 0 1 1 0 00 10 01 11100 011100 01 111 000 0 10 00 1 0 0 01 0 0011 00011ЭВОЛЮЦИЯ ПРОЦЕССА УСКОРЕНИЕИССЛЕДОВАНИЕ РЕАГИРОВАНИЕ Анализ и исправление кода ПРОАКТИВНЫЙ ПОДХОД Тиражирование лучших практик Требования Архитектура Исходный код Стенды Интервью с командой Выделение в проектной команде роли Security Champion Передача практик в проектную команду Наращивание экспертизы Повторяемый процесс Экспертная поддержка Тренинги Контроль результатов Безопасность ПОСТФАКТУМ Безопасность В ПРОЦЕССЕ разработки 9
  • 22. Спасибо за внимание! Юрий Шабалин Software Security @ СберТех SBT_DK_OTIB@sberbank.ru 10
  • 23. Come to the Green side… 11SBT_DK_OTIB@sberbank.ru