Upload
tomasz-watras
View
226
Download
2
Embed Size (px)
DESCRIPTION
Jak to sie robi?
Citation preview
Wojciech Dworakowski
Testowanie bezpieczeństwa Jak to się robi
2
Wsparcie procesoacutew związanych z utrzymaniem
bezpieczeństwa IT
Od identyfikacji zagrożeń i tworzenia założeńhellip
hellippo testy odbiorcze i okresowe testy podczas eksploatacji
+ specjalizowane szkolenia
Niezależność od dostawcoacutew rozwiązań
Nie sprzedajemy produktoacutew zabezpieczających
Wyłącznie usługi dotyczącyce bezpieczeństwa IT
Doświadczenie
Działamy od 2003 roku
Zbadaliśmy bezpieczeństwo ponad 200 systemoacutew i aplikacji
3
Agenda
Przygotowanie testu
Wykonanie testu
Raportowanie
Przygotowanie testoacutew
bezpieczeństwa
5
Przykład Kontrola dostępu
Aplikacja mobilna
Testy przed wdrożeniem
Testy penetracyjne Całkowity brak kontroli
dostępu do danych
Dev Kontrola dostępu jest ale bdquonie włączonardquo
Po bdquowłączeniurdquo ndash znalezione kolejne przypadki
Koszt Opoacuteźnienie kary umowne wizerunek
6
Rosnące koszty usuwania
podatności
Definiowanie
Projektowanie
Wytwarzanie
Wdrażanie
Utrzymanie
Testowanie koncepcji
(modelowanie zagrożeń)
Testy jednostkowe mechanizmoacutew
zabezpieczających
Testy odbiorcze
Testy w trakcie
eksploatacji
7
Intruz vs Tester
Nieograniczony czas
Wiele grup
Duża motywacja
Ograniczony czas
Jeden zespoacuteł
8
Syndrom bdquogumowegordquo czasu
Testy funkcjonalne Testy
bezpieczeństwa Pilotaż
Go live
Poprawki
Usunięte
podatności
Zależność bdquofinish to startrdquo
Testy
bezpieczeństwa
Poprawki
9
Właściwy zakres testoacutew
Zagrożenia Skutki Scenariusze
ataku
10
Przygotowanie testu
Blackbox
Whitebox
Dokumentacja
Scenariusze testoacutew funkcjonalnych
Możliwość konsultacji
Wgląd do kodu
hellip
Wykonanie testu
12
Skanery automatyczne ndash
istnieją alehellip
False negatives
Wykrywają tylko bdquoczubek goacutery
lodowejrdquo
False positives
Wynik musi być zinterpretowany
przez specjalistę
13
Skaner kodu źroacutedłowego -
- Studium przypadku
15 mln linii kodu
Skaner uruchomiony metodą bdquofire and forgetrdquo
100+ podatności o znaczeniu critical high
Weryfikacja false positives
kilka podatności
o znaczeniu bdquomediumrdquo
Koszt weryfikacji 20 man-days
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
2
Wsparcie procesoacutew związanych z utrzymaniem
bezpieczeństwa IT
Od identyfikacji zagrożeń i tworzenia założeńhellip
hellippo testy odbiorcze i okresowe testy podczas eksploatacji
+ specjalizowane szkolenia
Niezależność od dostawcoacutew rozwiązań
Nie sprzedajemy produktoacutew zabezpieczających
Wyłącznie usługi dotyczącyce bezpieczeństwa IT
Doświadczenie
Działamy od 2003 roku
Zbadaliśmy bezpieczeństwo ponad 200 systemoacutew i aplikacji
3
Agenda
Przygotowanie testu
Wykonanie testu
Raportowanie
Przygotowanie testoacutew
bezpieczeństwa
5
Przykład Kontrola dostępu
Aplikacja mobilna
Testy przed wdrożeniem
Testy penetracyjne Całkowity brak kontroli
dostępu do danych
Dev Kontrola dostępu jest ale bdquonie włączonardquo
Po bdquowłączeniurdquo ndash znalezione kolejne przypadki
Koszt Opoacuteźnienie kary umowne wizerunek
6
Rosnące koszty usuwania
podatności
Definiowanie
Projektowanie
Wytwarzanie
Wdrażanie
Utrzymanie
Testowanie koncepcji
(modelowanie zagrożeń)
Testy jednostkowe mechanizmoacutew
zabezpieczających
Testy odbiorcze
Testy w trakcie
eksploatacji
7
Intruz vs Tester
Nieograniczony czas
Wiele grup
Duża motywacja
Ograniczony czas
Jeden zespoacuteł
8
Syndrom bdquogumowegordquo czasu
Testy funkcjonalne Testy
bezpieczeństwa Pilotaż
Go live
Poprawki
Usunięte
podatności
Zależność bdquofinish to startrdquo
Testy
bezpieczeństwa
Poprawki
9
Właściwy zakres testoacutew
Zagrożenia Skutki Scenariusze
ataku
10
Przygotowanie testu
Blackbox
Whitebox
Dokumentacja
Scenariusze testoacutew funkcjonalnych
Możliwość konsultacji
Wgląd do kodu
hellip
Wykonanie testu
12
Skanery automatyczne ndash
istnieją alehellip
False negatives
Wykrywają tylko bdquoczubek goacutery
lodowejrdquo
False positives
Wynik musi być zinterpretowany
przez specjalistę
13
Skaner kodu źroacutedłowego -
- Studium przypadku
15 mln linii kodu
Skaner uruchomiony metodą bdquofire and forgetrdquo
100+ podatności o znaczeniu critical high
Weryfikacja false positives
kilka podatności
o znaczeniu bdquomediumrdquo
Koszt weryfikacji 20 man-days
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
3
Agenda
Przygotowanie testu
Wykonanie testu
Raportowanie
Przygotowanie testoacutew
bezpieczeństwa
5
Przykład Kontrola dostępu
Aplikacja mobilna
Testy przed wdrożeniem
Testy penetracyjne Całkowity brak kontroli
dostępu do danych
Dev Kontrola dostępu jest ale bdquonie włączonardquo
Po bdquowłączeniurdquo ndash znalezione kolejne przypadki
Koszt Opoacuteźnienie kary umowne wizerunek
6
Rosnące koszty usuwania
podatności
Definiowanie
Projektowanie
Wytwarzanie
Wdrażanie
Utrzymanie
Testowanie koncepcji
(modelowanie zagrożeń)
Testy jednostkowe mechanizmoacutew
zabezpieczających
Testy odbiorcze
Testy w trakcie
eksploatacji
7
Intruz vs Tester
Nieograniczony czas
Wiele grup
Duża motywacja
Ograniczony czas
Jeden zespoacuteł
8
Syndrom bdquogumowegordquo czasu
Testy funkcjonalne Testy
bezpieczeństwa Pilotaż
Go live
Poprawki
Usunięte
podatności
Zależność bdquofinish to startrdquo
Testy
bezpieczeństwa
Poprawki
9
Właściwy zakres testoacutew
Zagrożenia Skutki Scenariusze
ataku
10
Przygotowanie testu
Blackbox
Whitebox
Dokumentacja
Scenariusze testoacutew funkcjonalnych
Możliwość konsultacji
Wgląd do kodu
hellip
Wykonanie testu
12
Skanery automatyczne ndash
istnieją alehellip
False negatives
Wykrywają tylko bdquoczubek goacutery
lodowejrdquo
False positives
Wynik musi być zinterpretowany
przez specjalistę
13
Skaner kodu źroacutedłowego -
- Studium przypadku
15 mln linii kodu
Skaner uruchomiony metodą bdquofire and forgetrdquo
100+ podatności o znaczeniu critical high
Weryfikacja false positives
kilka podatności
o znaczeniu bdquomediumrdquo
Koszt weryfikacji 20 man-days
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
Przygotowanie testoacutew
bezpieczeństwa
5
Przykład Kontrola dostępu
Aplikacja mobilna
Testy przed wdrożeniem
Testy penetracyjne Całkowity brak kontroli
dostępu do danych
Dev Kontrola dostępu jest ale bdquonie włączonardquo
Po bdquowłączeniurdquo ndash znalezione kolejne przypadki
Koszt Opoacuteźnienie kary umowne wizerunek
6
Rosnące koszty usuwania
podatności
Definiowanie
Projektowanie
Wytwarzanie
Wdrażanie
Utrzymanie
Testowanie koncepcji
(modelowanie zagrożeń)
Testy jednostkowe mechanizmoacutew
zabezpieczających
Testy odbiorcze
Testy w trakcie
eksploatacji
7
Intruz vs Tester
Nieograniczony czas
Wiele grup
Duża motywacja
Ograniczony czas
Jeden zespoacuteł
8
Syndrom bdquogumowegordquo czasu
Testy funkcjonalne Testy
bezpieczeństwa Pilotaż
Go live
Poprawki
Usunięte
podatności
Zależność bdquofinish to startrdquo
Testy
bezpieczeństwa
Poprawki
9
Właściwy zakres testoacutew
Zagrożenia Skutki Scenariusze
ataku
10
Przygotowanie testu
Blackbox
Whitebox
Dokumentacja
Scenariusze testoacutew funkcjonalnych
Możliwość konsultacji
Wgląd do kodu
hellip
Wykonanie testu
12
Skanery automatyczne ndash
istnieją alehellip
False negatives
Wykrywają tylko bdquoczubek goacutery
lodowejrdquo
False positives
Wynik musi być zinterpretowany
przez specjalistę
13
Skaner kodu źroacutedłowego -
- Studium przypadku
15 mln linii kodu
Skaner uruchomiony metodą bdquofire and forgetrdquo
100+ podatności o znaczeniu critical high
Weryfikacja false positives
kilka podatności
o znaczeniu bdquomediumrdquo
Koszt weryfikacji 20 man-days
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
5
Przykład Kontrola dostępu
Aplikacja mobilna
Testy przed wdrożeniem
Testy penetracyjne Całkowity brak kontroli
dostępu do danych
Dev Kontrola dostępu jest ale bdquonie włączonardquo
Po bdquowłączeniurdquo ndash znalezione kolejne przypadki
Koszt Opoacuteźnienie kary umowne wizerunek
6
Rosnące koszty usuwania
podatności
Definiowanie
Projektowanie
Wytwarzanie
Wdrażanie
Utrzymanie
Testowanie koncepcji
(modelowanie zagrożeń)
Testy jednostkowe mechanizmoacutew
zabezpieczających
Testy odbiorcze
Testy w trakcie
eksploatacji
7
Intruz vs Tester
Nieograniczony czas
Wiele grup
Duża motywacja
Ograniczony czas
Jeden zespoacuteł
8
Syndrom bdquogumowegordquo czasu
Testy funkcjonalne Testy
bezpieczeństwa Pilotaż
Go live
Poprawki
Usunięte
podatności
Zależność bdquofinish to startrdquo
Testy
bezpieczeństwa
Poprawki
9
Właściwy zakres testoacutew
Zagrożenia Skutki Scenariusze
ataku
10
Przygotowanie testu
Blackbox
Whitebox
Dokumentacja
Scenariusze testoacutew funkcjonalnych
Możliwość konsultacji
Wgląd do kodu
hellip
Wykonanie testu
12
Skanery automatyczne ndash
istnieją alehellip
False negatives
Wykrywają tylko bdquoczubek goacutery
lodowejrdquo
False positives
Wynik musi być zinterpretowany
przez specjalistę
13
Skaner kodu źroacutedłowego -
- Studium przypadku
15 mln linii kodu
Skaner uruchomiony metodą bdquofire and forgetrdquo
100+ podatności o znaczeniu critical high
Weryfikacja false positives
kilka podatności
o znaczeniu bdquomediumrdquo
Koszt weryfikacji 20 man-days
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
6
Rosnące koszty usuwania
podatności
Definiowanie
Projektowanie
Wytwarzanie
Wdrażanie
Utrzymanie
Testowanie koncepcji
(modelowanie zagrożeń)
Testy jednostkowe mechanizmoacutew
zabezpieczających
Testy odbiorcze
Testy w trakcie
eksploatacji
7
Intruz vs Tester
Nieograniczony czas
Wiele grup
Duża motywacja
Ograniczony czas
Jeden zespoacuteł
8
Syndrom bdquogumowegordquo czasu
Testy funkcjonalne Testy
bezpieczeństwa Pilotaż
Go live
Poprawki
Usunięte
podatności
Zależność bdquofinish to startrdquo
Testy
bezpieczeństwa
Poprawki
9
Właściwy zakres testoacutew
Zagrożenia Skutki Scenariusze
ataku
10
Przygotowanie testu
Blackbox
Whitebox
Dokumentacja
Scenariusze testoacutew funkcjonalnych
Możliwość konsultacji
Wgląd do kodu
hellip
Wykonanie testu
12
Skanery automatyczne ndash
istnieją alehellip
False negatives
Wykrywają tylko bdquoczubek goacutery
lodowejrdquo
False positives
Wynik musi być zinterpretowany
przez specjalistę
13
Skaner kodu źroacutedłowego -
- Studium przypadku
15 mln linii kodu
Skaner uruchomiony metodą bdquofire and forgetrdquo
100+ podatności o znaczeniu critical high
Weryfikacja false positives
kilka podatności
o znaczeniu bdquomediumrdquo
Koszt weryfikacji 20 man-days
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
7
Intruz vs Tester
Nieograniczony czas
Wiele grup
Duża motywacja
Ograniczony czas
Jeden zespoacuteł
8
Syndrom bdquogumowegordquo czasu
Testy funkcjonalne Testy
bezpieczeństwa Pilotaż
Go live
Poprawki
Usunięte
podatności
Zależność bdquofinish to startrdquo
Testy
bezpieczeństwa
Poprawki
9
Właściwy zakres testoacutew
Zagrożenia Skutki Scenariusze
ataku
10
Przygotowanie testu
Blackbox
Whitebox
Dokumentacja
Scenariusze testoacutew funkcjonalnych
Możliwość konsultacji
Wgląd do kodu
hellip
Wykonanie testu
12
Skanery automatyczne ndash
istnieją alehellip
False negatives
Wykrywają tylko bdquoczubek goacutery
lodowejrdquo
False positives
Wynik musi być zinterpretowany
przez specjalistę
13
Skaner kodu źroacutedłowego -
- Studium przypadku
15 mln linii kodu
Skaner uruchomiony metodą bdquofire and forgetrdquo
100+ podatności o znaczeniu critical high
Weryfikacja false positives
kilka podatności
o znaczeniu bdquomediumrdquo
Koszt weryfikacji 20 man-days
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
8
Syndrom bdquogumowegordquo czasu
Testy funkcjonalne Testy
bezpieczeństwa Pilotaż
Go live
Poprawki
Usunięte
podatności
Zależność bdquofinish to startrdquo
Testy
bezpieczeństwa
Poprawki
9
Właściwy zakres testoacutew
Zagrożenia Skutki Scenariusze
ataku
10
Przygotowanie testu
Blackbox
Whitebox
Dokumentacja
Scenariusze testoacutew funkcjonalnych
Możliwość konsultacji
Wgląd do kodu
hellip
Wykonanie testu
12
Skanery automatyczne ndash
istnieją alehellip
False negatives
Wykrywają tylko bdquoczubek goacutery
lodowejrdquo
False positives
Wynik musi być zinterpretowany
przez specjalistę
13
Skaner kodu źroacutedłowego -
- Studium przypadku
15 mln linii kodu
Skaner uruchomiony metodą bdquofire and forgetrdquo
100+ podatności o znaczeniu critical high
Weryfikacja false positives
kilka podatności
o znaczeniu bdquomediumrdquo
Koszt weryfikacji 20 man-days
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
9
Właściwy zakres testoacutew
Zagrożenia Skutki Scenariusze
ataku
10
Przygotowanie testu
Blackbox
Whitebox
Dokumentacja
Scenariusze testoacutew funkcjonalnych
Możliwość konsultacji
Wgląd do kodu
hellip
Wykonanie testu
12
Skanery automatyczne ndash
istnieją alehellip
False negatives
Wykrywają tylko bdquoczubek goacutery
lodowejrdquo
False positives
Wynik musi być zinterpretowany
przez specjalistę
13
Skaner kodu źroacutedłowego -
- Studium przypadku
15 mln linii kodu
Skaner uruchomiony metodą bdquofire and forgetrdquo
100+ podatności o znaczeniu critical high
Weryfikacja false positives
kilka podatności
o znaczeniu bdquomediumrdquo
Koszt weryfikacji 20 man-days
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
10
Przygotowanie testu
Blackbox
Whitebox
Dokumentacja
Scenariusze testoacutew funkcjonalnych
Możliwość konsultacji
Wgląd do kodu
hellip
Wykonanie testu
12
Skanery automatyczne ndash
istnieją alehellip
False negatives
Wykrywają tylko bdquoczubek goacutery
lodowejrdquo
False positives
Wynik musi być zinterpretowany
przez specjalistę
13
Skaner kodu źroacutedłowego -
- Studium przypadku
15 mln linii kodu
Skaner uruchomiony metodą bdquofire and forgetrdquo
100+ podatności o znaczeniu critical high
Weryfikacja false positives
kilka podatności
o znaczeniu bdquomediumrdquo
Koszt weryfikacji 20 man-days
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
Wykonanie testu
12
Skanery automatyczne ndash
istnieją alehellip
False negatives
Wykrywają tylko bdquoczubek goacutery
lodowejrdquo
False positives
Wynik musi być zinterpretowany
przez specjalistę
13
Skaner kodu źroacutedłowego -
- Studium przypadku
15 mln linii kodu
Skaner uruchomiony metodą bdquofire and forgetrdquo
100+ podatności o znaczeniu critical high
Weryfikacja false positives
kilka podatności
o znaczeniu bdquomediumrdquo
Koszt weryfikacji 20 man-days
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
12
Skanery automatyczne ndash
istnieją alehellip
False negatives
Wykrywają tylko bdquoczubek goacutery
lodowejrdquo
False positives
Wynik musi być zinterpretowany
przez specjalistę
13
Skaner kodu źroacutedłowego -
- Studium przypadku
15 mln linii kodu
Skaner uruchomiony metodą bdquofire and forgetrdquo
100+ podatności o znaczeniu critical high
Weryfikacja false positives
kilka podatności
o znaczeniu bdquomediumrdquo
Koszt weryfikacji 20 man-days
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
13
Skaner kodu źroacutedłowego -
- Studium przypadku
15 mln linii kodu
Skaner uruchomiony metodą bdquofire and forgetrdquo
100+ podatności o znaczeniu critical high
Weryfikacja false positives
kilka podatności
o znaczeniu bdquomediumrdquo
Koszt weryfikacji 20 man-days
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
14
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
15
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
16
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
Raportowanie
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
18
Po co wykonujemy testy
Testowany system Raport
Testy bezpieczeń
stwa
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
19
Raport
KOMPATYBILNOŚĆ
Właściwa forma
Wspoacutelny język
Dobre zrozumienie kontekstu
biznesowego
Właściwe szacowanie
podatności
Realne zalecenia
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
20
hellip ale hellip czy możemy mieć do nich zaufanie
hellip i czy da się z nimi dogadać
ph
oto
cre
dit m
afa
te6
9 v
ia p
ho
top
in c
c
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
21
Doświadczenie
Technika Kompaty-bilność
Komunikacja
Raport
Kontekst
Analiza
HTML5
JSON
jQuery
Mobile
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
22
Podsumowanie
Optymalizacja testu bezpieczeństwa
1Whitebox
2 Identyfikacja zagrożeń i celoacutew
Scenariusze testowe
3Właściwa ocena wpływu na ryzyko i
realne zalecenia
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550
23
Dziękuję za uwagę
httpwwwsecuringpl
e-mail infosecuringpl
Jontkowa Goacuterka 14a
30-224 Krakoacutew
tel (12) 4252575
fax (12) 4252593
Wojciech Dworakowski
wojciechdworakowskisecuringpl
tel 506 184 550