Od bug`a do fix`a - patchowanie w praktyce blazej.miga
Transkrypt
Od bug`a do fix`a - patchowanie w praktyce blazej.miga
Od bug'a do fix'a - patchowanie w praktyce [email protected] Kim jestem •Twórca Zespołu Bezpieczeństwa Systemów IT •x lat praktyki wdrażania Procesów Bezpieczeństwa IT •Automatyzacja Testów •Mierzenie Bezpieczeństwa •Certyfikacja systemów IT (PCI-DSS) •OWASP •miniPLNOG •CERT Allegro Group 15-2-9 Od bug'a do fix'a 2 Podstawowe pojęcia -bug, vulnerability • 15-2-9 Od bug'a do fix'a 3 Podstawowe pojęcia -fix,patch •Fix 15-2-9 Od bug'a do fix'a 4 Podstawowe pojęcia - Patching Patching – Bieg z przeszkodami 15-2-9 Od bug'a do fix'a 5 Bug – pozyskiwanie •Testy wewnętrzne •Testy zewnętrzne (audyty, pentesty) •Listy dyskusyjne •CVE – Common Vulnaribilities and Exposure •Programy Bug Bounties – bugcrowd.com •Skupowanie błędów - ZDI •Z systemów IDS •Z analizy powłamaniowej 15-2-9 Od bug'a do fix'a 6 Bug – pozyskiwanie - zagrożenia •Brak umiejętności przeprowadzania testów bezpieczeństwa •Brak zasobów na pozyskanie informacji o błędach •Brak pieniędzy na kupno błędów •Kompromitacja systemów 15-2-9 Od bug'a do fix'a 7 Bug – weryfikacja „co autor miał na myśli” •Potwierdzenie istnienia błędu •Weryfikacja listy zainstalowanego oprogramowania •Weryfikacja wersji oprogramowania •Analiza 15-2-9 Od bug'a do fix'a 8 Bug – weryfikacja - zagrożenia •Zniecierpliwienie osób zgłaszających błędy •Problemy w zrozumieniu istoty błędu •Błędna weryfikacja zainstalowanego oprogramowania •Brak inwentaryzacji posiadanych zasobów 15-2-9 Od bug'a do fix'a 9 Bug – klasyfikacja i ocena ryzyka •OWASP - TOP10 •CWE – Common Weakness Enumeration •CVSS – Common Vulnerability Scoring System 15-2-9 Od bug'a do fix'a 10 Bug – klasyfikacja i ocena ryzyka zagrożenia •Błędna klasyfikacja •Brak wiedzy o standardach w organizacji 15-2-9 Od bug'a do fix'a 11 Fix •“Akceptacja Biznesowa” - Nic nie robimy •Usunięcie podatnego oprogramowania •Napisanie i przetestowanie poprawki •Mitygacja ryzyka 15-2-9 Od bug'a do fix'a 12 Fix - zagrożenia •Brak osób decyzyjnych •Brak wiedzy i umiejętności potrzebnych do poprawienia błędu •Brak możliwości poprawienia błędu – naruszenie warunków licencyjnych •Brak wykupionego supportu 15-2-9 Od bug'a do fix'a 13 Patching •Zróbmy to świadomie •Weryfikujmy wiarygodność łatki •Testy przedwdrożeniowe •Instalacja oprogramowania na właściwych systemach •Restart podatnych usług!! 15-2-9 Od bug'a do fix'a 14 Patching - zagrożenia •Utrata certyfikacji •Brak możliwości zainstalowania patcha •Brak możliwości przetestowania patch'a •Łatki bez cofnięcia do poprzedniej wersji •„Zabicie” systemów produkcyjnych •Kompromitacja systemów 15-2-9 Od bug'a do fix'a 15 Idealny Patching – Proces patchowania •Spisane procedury •Przeszkolony personel •Rozdzielność ról – developer/tester/wdrożeniowiec/SEC/IM/Monitoring •Współpracujące ze sobą zespoły •Rozdzielność środowisk – środowiska developerskie, środowiska testowe, środowiska produkcyjne •Zmiany są przetestowane – codereview, testy przedwdrożeniowe na środowisku testowym, testy na produkcji •Ustalone SLA – w 90% nie ma potrzeby pośpiechu •Zaplanowane wdrożenia – okienka wdrożeniowe dla infrastruktury i dla aplikacji 15-2-9 Od bug'a do fix'a 16 Pierwszy kroki... •Szkolenie OWASP •Projekt na githubie •Wspólnie wykonanie projektu •Projekt przejdzie test bezpieczeństwa •Napisana i wdrożona łatka 15-2-9 Od bug'a do fix'a 17 Pytania? [email protected] •[email protected] kariera.allegro.pl 15-2-9 Od bug'a do fix'a 18