алексей лукацкий
0 likes371 views
Документ описывает концепцию защищенного программирования в Cisco и важность безопасного проектирования на всех этапах разработки. В нем рассматриваются методы защиты, как функции безопасности и практики тестирования, включая обучение и осведомленность сотрудников. Также приводятся рекомендации по разработке и тестированию облачных сервисов и управлению рисками.
алексей лукацкий
- 1. if (empty($secureCodeDesign)) {return FAIL; } или Cisco Secure Development Lifecycle Лукацкий Алексей, консультант по безопасности
- 2. Что такое защищенный код? • 10% функций защиты – МСЭ – ACL – криптография • 90% защищенных функций – Защита от переполнения – Проверка входных данных – Контроль выходных данных • Требуется непрерывный процесс обеспечения и повышения качества ПО, включающий решение различных задач • Для Cisco важно не только программное обеспечение, но и железо – Включая риски Supply Chain Management
- 4. Учет задач CSDL на всех этапах Запрос на продукт Дизайн продукта Разработка продукта Тесты продукта Сертификация Адаптация Доверенная платформа Архитектура Подпись кода Secure Boot ASLR Криптомодуль Разработка функций безопасности Общие инструменты и библиотеки безопасности Общие требования по сертификации Индустриальные помощники Тестирование и проверка соответствия Cisco Secure Development Lifecycle Исследования угроз PSIRT Сертификация Бюллетени 3rd
- 5. Лучшие практики по обеспечению качества ПО • Включает не только анализ качества ПО, но и также • Правила защищенного программирования • Регулярные тренинги и программы повышения осведомленности • Моделирование угроз • Тестирование • И т.д.
- 6. Меры по защите информации
- 7. Cisco Security Ninja: все начинается с тренингов и повышения осведомленности • Стимулирование изучения CSDL широким спектром сотрудников Cisco • Система распознавания и мотивации сотрудников • Применение практик CSDL в работе
- 8. PSIRT находит больше проблем, чем TAC FY10 FY11 FY12 PSIRT TAC
- 9. Библиотека угроз при разработке ПО ускоряет время разработки
- 10. Библиотека угроз при разработке ПО ускоряет время разработки
- 11. Модели угроз / графы атак
- 12. Оценка рисков для каждой угрозы позволяет учесть приоритеты
- 13. Не только ПО: базовые требования по безопасности Cisco SaaS
- 14. Рекомендации по защищенному программированию
- 15. Рекомендации для разработки облачных сервисов
- 16. Рекомендации по тестированию ПО
- 18. Как протестировать Cisco Smart Grid Router?
- 19. Как протестировать Cisco Smart Grid Router?
- 20. Как оценить для руководства? Пример SaaS-метрик
- 21. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 21 Благодарю вас за внимание security-request@cisco.com