Od bug`a do fix`a - patchowanie w praktyce blazej.miga

Od bug`a do fix`a - patchowanie w praktyce blazej.miga

Od bug'a do fix'a - patchowanie w praktyce
[email protected]
Kim jestem
•Twórca
Zespołu Bezpieczeństwa Systemów IT
•x lat praktyki wdrażania Procesów Bezpieczeństwa IT
•Automatyzacja Testów
•Mierzenie
Bezpieczeństwa
•Certyfikacja
systemów IT (PCI-DSS)
•OWASP
•miniPLNOG
•CERT
Allegro Group
15-2-9
Od bug'a do fix'a
2
Podstawowe pojęcia -bug, vulnerability
•
15-2-9
Od bug'a do fix'a
3
Podstawowe pojęcia -fix,patch
•Fix
15-2-9
Od bug'a do fix'a
4
Podstawowe pojęcia - Patching
Patching – Bieg z przeszkodami
15-2-9
Od bug'a do fix'a
5
Bug – pozyskiwanie
•Testy
wewnętrzne
•Testy zewnętrzne (audyty, pentesty)
•Listy dyskusyjne
•CVE – Common Vulnaribilities and Exposure
•Programy Bug Bounties – bugcrowd.com
•Skupowanie błędów - ZDI
•Z systemów IDS
•Z analizy powłamaniowej
15-2-9
Od bug'a do fix'a
6
Bug – pozyskiwanie - zagrożenia
•Brak
umiejętności przeprowadzania testów bezpieczeństwa
•Brak zasobów na pozyskanie informacji o błędach
•Brak pieniędzy na kupno błędów
•Kompromitacja systemów
15-2-9
Od bug'a do fix'a
7
Bug – weryfikacja
„co autor miał na myśli”
•Potwierdzenie istnienia błędu
•Weryfikacja listy zainstalowanego oprogramowania
•Weryfikacja wersji oprogramowania
•Analiza
15-2-9
Od bug'a do fix'a
8
Bug – weryfikacja - zagrożenia
•Zniecierpliwienie
osób zgłaszających błędy
•Problemy w zrozumieniu istoty błędu
•Błędna weryfikacja zainstalowanego oprogramowania
•Brak inwentaryzacji posiadanych zasobów
15-2-9
Od bug'a do fix'a
9
Bug – klasyfikacja i ocena ryzyka
•OWASP
- TOP10
•CWE – Common Weakness Enumeration
•CVSS – Common Vulnerability Scoring System
15-2-9
Od bug'a do fix'a
10
Bug – klasyfikacja i ocena ryzyka zagrożenia
•Błędna
klasyfikacja
•Brak wiedzy o standardach w organizacji
15-2-9
Od bug'a do fix'a
11
Fix
•“Akceptacja
Biznesowa” - Nic nie robimy
•Usunięcie podatnego oprogramowania
•Napisanie i przetestowanie poprawki
•Mitygacja ryzyka
15-2-9
Od bug'a do fix'a
12
Fix - zagrożenia
•Brak
osób decyzyjnych
•Brak wiedzy i umiejętności potrzebnych do poprawienia błędu
•Brak możliwości poprawienia błędu – naruszenie warunków licencyjnych
•Brak wykupionego supportu
15-2-9
Od bug'a do fix'a
13
Patching
•Zróbmy
to świadomie
•Weryfikujmy wiarygodność łatki
•Testy przedwdrożeniowe
•Instalacja oprogramowania na właściwych systemach
•Restart podatnych usług!!
15-2-9
Od bug'a do fix'a
14
Patching - zagrożenia
•Utrata
certyfikacji
•Brak możliwości zainstalowania patcha
•Brak możliwości przetestowania patch'a
•Łatki bez cofnięcia do poprzedniej wersji
•„Zabicie” systemów produkcyjnych
•Kompromitacja systemów
15-2-9
Od bug'a do fix'a
15
Idealny Patching – Proces patchowania
•Spisane
procedury
•Przeszkolony personel
•Rozdzielność ról – developer/tester/wdrożeniowiec/SEC/IM/Monitoring
•Współpracujące ze sobą zespoły
•Rozdzielność środowisk – środowiska developerskie, środowiska
testowe, środowiska produkcyjne
•Zmiany są przetestowane – codereview, testy przedwdrożeniowe na
środowisku testowym, testy na produkcji
•Ustalone SLA – w 90% nie ma potrzeby pośpiechu
•Zaplanowane wdrożenia – okienka wdrożeniowe dla infrastruktury i dla
aplikacji
15-2-9
Od bug'a do fix'a
16
Pierwszy kroki...
•Szkolenie
OWASP
•Projekt na githubie
•Wspólnie wykonanie projektu
•Projekt przejdzie test bezpieczeństwa
•Napisana i wdrożona łatka
15-2-9
Od bug'a do fix'a
17
Pytania?
[email protected]
•[email protected]
kariera.allegro.pl
15-2-9
Od bug'a do fix'a
18