Bezpečnost ve vývoji webových aplikací

Podobné dokumenty
Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Efektivní řízení rizik webových a portálových aplikací

Elektronická podatelna a výpravna České správy sociálního zabezpečení v návaznosti na systém datových schránek

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Informační bezpečnost. Dana Pochmanová, Boris Šimák

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

Security. v českých firmách

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Bezpečnostní politika a dokumentace

Praktické zkušenosti s certifikací na ISO/IEC 20000

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

POŘÍZENÍ A IMPLEMENTACE INFORMAČNÍCH SYSTÉMŮ

WINCOR NIXDORF. Certifikovaný PCI DSS auditor - QSA

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

End-to-end testování. 26. dubna Bořek Zelinka

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

PENETRAČNÍ TESTY CYBER SECURITY

Security. v českých firmách

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

PŘÍLOHA C Požadavky na Dokumentaci

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

DATABASE SECURITY SUITE STRUČNÝ POPIS

Accelerate your ambition

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

Komunikační strategie a plán rozvoje portálu portal.gov.cz

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Je Smart Grid bezpečný?

Efektivní informační služby NTK pro veřejnost a státní správu. 25. dubna 2012

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

1) Má Váš orgán platnou informační koncepci dle zákona 365/2000 Sb.? ano

TOP. Agenda. bezpečnostní témata pro Milan Chromý. Zavádíme a provozujeme užitečné informační technologie v organizacích.

Sjednocení dohledových systémů a CMDB

MĚSTSKÝ ROK INFORMATIKY - ZKUŠENOSTI S NASAZENÍM STANDARDNÍCH APLIKAČNÍCH ŘEŠENÍ V PROSTŘEDÍ STATUTÁRNÍHO MĚSTA LIBEREC

Řízení privilegovaný účtů

Ekonomika IT PRE od A do Z

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Případová studie.

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Specifikace Části 1 Hacking

AEC, spol. s r. o. Bezpečnostní incidenty v IT v ČR příklady z praxe firem. Tomáš Strýček Internet & Komunikace Modrá

ANECT & SOCA ANECT Security Day

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

České Budějovice. 2. dubna 2014

Zkušenosti z nasazení a provozu systémů SIEM

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Implementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,

Aktuální otázky provozu datových skladů PAVEL HNÍK

PILOTNÍ PROJEKT PRÁCE

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Dopady Průmyslu 4.0 na kybernetickou bezpečnost. Ing. Tomáš Přibyl Ing. Michal Kohút

Představení normy ČSN ISO/IEC Management služeb

Výroční zpráva společnosti Corpus Solutions a.s. za rok Popis účetní jednotky. Název společnosti: Corpus Solutions

Microsoft SharePoint Portal Server Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie. OTE, a. s. AEC, spol. s r. o.

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Digitální Český Krumlov

SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

Zranitelnost databáze a ochrana vašich citlivých dat. Michal Lukanič, Database Specialist

Bezpečnost intranetových aplikací

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Aby vaše data dorazila kam mají. Bezpečně a včas.

BI-TIS Případová studie

Nasazení jednotné správy identit a řízení přístupu na Masarykově univerzitě s využitím systému Perun. Slávek Licehammer

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

P R OVÁDĚCÍ SMLOUVA ODBORNÝCH SLUŽEB ICT ( OPOS) Č Á S T B E Z PEČNOST INFORM AC Í

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Monitorování datových sítí: Dnes

Požadavky na parametry SLA

GDPR, eidas Procesní nebo technologický problém?

Vulnerabilities - Zranitelnosti

Řešení ochrany databázových dat

Informace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti

Cyber Security GINIS. Ing. Igor Štverka GORDIC spol. s r. o.

Tomáš HEBELKA, MSc. Skepse vůči cloudu. 21. června 2011 VI. Konference ČIMIB, Hotel Continental, Brno

Příloha č. 6 ZD - Požadavky na členy realizačního týmu

Cíle a měřitelné parametry budování a provozu egc. Příloha č. 1 Souhrnné analytické zprávy

Krajská digitální spisovna jako sdílená služba

Hynek Cihlář Podnikový architekt Od Indoše ke Cloudu

Česká Telekomunikační Infrastruktura a.s

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

ZPŘÍSTUPNĚNÍ RESORTNÍCH REGISTRŮ VEŘEJNOSTI. Webový Portál farmáře byl vytvořen pro Ministerstvo zemědělství České republiky (MZe).

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Služba Rychlý výpis umožňuje on-line službám získat elektronický a snadno zpracovatelný výpis z bankovního účtu klienta.

Řízení přístupu k dokumentům a monitorování aktivit zaměstnanců. Pavel Krátký Technical & Development Manager COSECT

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost

ČESKÁ TECHNICKÁ NORMA

Projekt SEPIe - Datový sklad a analytická nadstavba MIS - manažerský informační systém pro vedoucí zaměstnance resortu MV (konference)

Chytrá systémová architektura jako základ Smart Administration

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Zásady managementu incidentů

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Analýza zranitelností databází. Michal Lukanič, Database Specialist

Transkript:

Bezpečnost ve vývoji webových aplikací Security 2010 Daniel Kefer 17. 02. 2010

Představení Daniel Kefer: IT Security Consultant zaměstnanec AEC, spol. s.r.o. (od r. 2005) realizace penetračních testů a bezpečnostních auditů garant kompetence bezpečného aplikačního vývoje

Agenda Aktuální stav bezpečnosti webových aplikací Bezpečnost ve vývoji/životním cyklu webových aplikací Case study

Aktuální stav bezpečnosti aplikací Pozorování konzultačních společností: Gartner: 80 % úspěšných útoků je realizováno skrz webové aplikace Forrester: 36 % zákazníků nevyužívá služby poskytované webovými aplikacemi z důvodu o svoji bezpečnost McAffee: Průměrná cena narušení bezpečnosti střední firmy v roce 2008 byla 43 000 dolarů Verizon: 25 % útoků je detekováno až v řádech týdnů, 49 % dokonce v řádu měsíců => Provozování webových aplikací je spojeno s riziky zásadního charakteru

Aktuální stav bezpečnosti aplikací příklad prosinec 2009: SQL Injection únik uživatelských účtů: pravděpodobně slovenský hacker Igigi nejznámější hack: rockyou.com - přes 32 milionů účtů hacknuto mnoho CZ a SK webů během 2 týdnů csfd.cz, shoptet.cz, rozzlobenimuzi.com, zoner.cz, union.sk, denik.cz, atlas.sk, aaaauto.cz, games.tiscali.cz, auto.cz, azet.sk... hesla uživatelů ukládána v plain textu nebo pomocí slabých algoritmů

Červené tlačítko Legislativa? Phishing? Bezpečnostní opatření?

Aktuální stav - naše pozorování Zranitelnosti z pen. testů: CRITICAL: 42 % projektů HIGH: 88 % projektů Bezpečnost při vývoji: 1. Neřešena 2. Pouze penetrační testy 3. Řešena od začátku vývoje, ale nedůsledně Oddělení bezpečnosti (pokud je vybudováno) je nedostatečně zapojeno do oblasti vývoje aplikací

Proč bezpečnost!= penetrační testy Penetrační testy: zhodnocení bezpečnosti z omezeného pohledu důraz hlavně na nefunkcionální vlastnosti aplikace ve vývojovém cyklu až v testovací fázi odražejí stav aplikace pouze v konkrétním čase za specifických podmínek Nákladná oprava nalezených zranitelností chyby v designu pracnosti vývojářů zadavatel X dodavatel

Bezpečnost v SDLC Zapojení bezpečnosti do vývoje aplikací: již od analytické fáze na míru specifikům a metodikám organizace postaveno na základě obecně uznávaných metodik: NIST OWASP ISO/OSI Vhodné pro: Aplikace vyvíjené in-house Dodávané aplikace Krabicová řešení

Bezpečnost v SDLC Bezpečnostní oblasti řešení: Technické Kontrola přístupu, Ochrana aplikace a komunikace... Provozní Bezpečnost obsluhy, Incident Response... Plánovací Analýza rizik, Autorizace aplikace... Kategorizace Princip zapojení bezpečnosti: Monitorování Výběr opatření Autorizace aplikace Implementace opatření Kontrola opatření

Bezpečnost v SDLC - Rizika Neefektivita procesu Vznik bílých míst Omezení rizik: Důležité je nepodcenění analytické fáze Důsledné naplánování procesů a nastavení očekávání Je vhodné stavět na zavedených normách, standardech a metodikách Využití zkušeností z již realizovaných projektů

Case Study Vodafone Park

Case Study Vodafone Park AEC dodavatelem bezpečnosti již od analytické fáze projektu Nejdůležitější aktivity: Analýza business požadavků Školení a konzultace vývojářům Aktivní identifikace rizik po celou dobu projektu Penetrační testy Přínosy: Důvěryhodnost portálu - posílení dobrého jména společnosti Výrazné ponížení rizik finančních ztrát spojených s provozem portálu

Závěr Aktuální situace může mít pro firmy i důsledky likvidačního charakteru Je potřeba více pochopení mezi businessem a bezpečností Realizované případy ukazují, že zapojení bezpečnosti do vývoje aplikací přináší: nižší TCO kratší ROI snížení provozních rizik posilování dobrého jména... společnosti

Dotazy? Děkuji za pozornost!

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář